Fundado en 1910

Este año, en ISACA preguntamos a miles de profesionales europeos una cuestión aparentemente sencilla: ¿ha sufrido su organización algún ciberataque impulsado por inteligencia artificial?

La respuesta más preocupante no fue el número de quienes respondieron afirmativamente.

Fue otra. Uno de cada tres reconoció que, sencillamente, no lo sabe.

En un momento en el que la inteligencia artificial está transformando la forma en que trabajamos, producimos, nos comunicamos y tomamos decisiones, que una organización no sea capaz de determinar si ya ha sido objetivo de un ataque impulsado por IA debería hacernos reflexionar. No solo porque las amenazas evolucionan a un ritmo sin precedentes, sino porque revela una realidad más profunda: muchas organizaciones están incorporando la inteligencia artificial a su actividad diaria sin contar todavía con las capacidades necesarias para gobernarla de forma eficaz.

Por eso, la reciente decisión del Consejo de la Unión Europea de aplazar algunos de los plazos de aplicación del Reglamento Europeo de Inteligencia Artificial (AI Act) no debería interpretarse como una pausa. Mucho menos como una invitación a la complacencia.

Debería entenderse como una oportunidad.

Europa no ha cambiado de rumbo. Sigue apostando por un modelo de inteligencia artificial basado en la confianza, la transparencia y la gestión del riesgo. Lo que las instituciones europeas han reconocido es algo que muchas organizaciones ya habían comprobado en la práctica: desarrollar una gobernanza sólida para la IA lleva bastante más tiempo que implantar una nueva herramienta basada en esta tecnología.

Y esa diferencia es crucial.

Además, las organizaciones siguen necesitando más orientación para aplicar correctamente el nuevo marco regulatorio. Un ejemplo es la reciente publicación, por parte de la Comisión Europea, del Código de Buenas Prácticas sobre Transparencia de los Contenidos Generados por IA, una guía voluntaria que ofrece recomendaciones para facilitar el cumplimiento de las obligaciones de transparencia previstas en el AI Act, desde la identificación de contenidos generados por IA hasta la detección y validación de deepfakes y otros contenidos sintéticos.

Durante los dos últimos años, la adopción de la inteligencia artificial ha avanzado a una velocidad extraordinaria. En Europa, más de ocho de cada diez organizaciones permiten ya el uso de herramientas de IA en el entorno laboral y tres de cada cuatro autorizan expresamente la utilización de IA generativa. La inteligencia artificial ha dejado de ser una promesa de futuro para convertirse en una herramienta cotidiana. Redacta documentos, automatiza procesos, analiza grandes volúmenes de información, genera código, resume reuniones y completa en minutos tareas que antes requerían horas de trabajo.

Los beneficios son indiscutibles. Aumenta la productividad, mejora la eficiencia y abre nuevas oportunidades para innovar.

Pero la velocidad de adopción ha ido muy por delante de la velocidad de la gobernanza.

Nuestro estudio AI Pulse Poll muestra que menos de la mitad de las organizaciones cuenta con una política integral sobre el uso de la inteligencia artificial. En muchas empresas ni siquiera se exige que los empleados indiquen cuándo un informe, un análisis o cualquier otro contenido ha sido elaborado con ayuda de IA. En otras palabras, la inteligencia artificial ya forma parte de los procesos de negocio, pero sigue siendo, en demasiados casos, invisible para quienes deben supervisarla.

Y no se puede gobernar aquello que no se ve.

Esta falta de visibilidad tiene consecuencias muy reales.

Siete de cada diez profesionales consideran que la inteligencia artificial ha hecho mucho más difíciles de detectar los ataques de phishing y de ingeniería social. Más de la mitad afirma que verificar la autenticidad de la información digital es hoy considerablemente más complejo. La propia IA está elevando el nivel de sofisticación de los ciberataques a un ritmo que las capacidades tradicionales de detección ya no siempre pueden seguir.

El resultado es paradójico.

La misma tecnología que ayuda a las organizaciones a ser más eficientes también está proporcionando nuevas capacidades a quienes pretenden atacarlas. Cada vez será menos importante quién adopte antes la inteligencia artificial y mucho más relevante quién sea capaz de gobernarla mejor.

Ese es, probablemente, el verdadero debate que plantea el AI Act.

Durante demasiado tiempo hemos reducido esta conversación a una cuestión de cumplimiento normativo. ¿Qué obligaciones entran en vigor? ¿Qué plazos cambian? ¿Qué documentación será necesaria?

Son preguntas legítimas. Pero no suficientes.

La gobernanza de la inteligencia artificial no comienza cuando una norma obliga a cumplir determinados requisitos. Empieza mucho antes, cuando una organización puede responder con seguridad a preguntas mucho más básicas: ¿qué sistemas de IA estamos utilizando?, ¿quién responde por ellos?, ¿qué decisiones automatizan?, ¿sobre qué datos trabajan?, ¿qué riesgos generan?, ¿cómo supervisamos sus resultados?, ¿qué ocurre si un modelo se equivoca o si un empleado utiliza una herramienta no autorizada para procesar información sensible?

Sorprendentemente, muchas organizaciones todavía no pueden responder con claridad a esas preguntas.

Y esa brecha no es un problema regulatorio. Es un problema de gestión.

La inteligencia artificial no es simplemente otra tecnología. Representa una nueva dimensión del riesgo empresarial. Igual que ocurrió en su día con la ciberseguridad, ha dejado de ser una cuestión exclusiva de los departamentos tecnológicos para convertirse en un asunto estratégico. Hoy, los consejos de administración no solo deberían preguntarse cuánto invierten en inteligencia artificial, sino también cómo garantizan que esas inversiones son seguras, transparentes y generan la confianza necesaria.

La buena noticia es que la propia IA también puede convertirse en una de las herramientas más eficaces para reforzar la seguridad y la resiliencia de las organizaciones. Cada vez más empresas la utilizan para detectar amenazas con mayor rapidez, automatizar la respuesta ante incidentes o identificar anomalías que pasarían inadvertidas para un analista humano.

Pero ese potencial solo puede materializarse si existe una gobernanza robusta. Sin profesionales cualificados, políticas claras, mecanismos eficaces de supervisión y una adecuada gestión del riesgo, la inteligencia artificial deja de ser una ventaja competitiva para convertirse en una nueva fuente de incertidumbre.

Por eso, el tiempo adicional que Europa ha concedido no debería servir para ralentizar los esfuerzos de las organizaciones, sino para acelerarlos.

Las empresas que aprovechen este periodo para identificar dónde utilizan inteligencia artificial, asignar responsabilidades, formar a sus profesionales, implantar mecanismos efectivos de supervisión y construir una auténtica cultura de gobernanza estarán mucho mejor preparadas cuando el nuevo calendario regulatorio entre plenamente en vigor.

Las demás seguirán reaccionando a los cambios, en lugar de anticiparse a ellos.

La inteligencia artificial seguirá evolucionando con independencia del calendario legislativo. Los ciberdelincuentes no esperarán a que entren en vigor nuevas obligaciones para perfeccionar sus técnicas. La innovación tampoco se detiene porque lo haga la regulación.

Por eso, la pregunta que hoy deberían hacerse los líderes empresariales no es cuándo llegará la siguiente obligación del AI Act.

La pregunta realmente importante es otra. ¿Sabemos realmente qué inteligencia artificial se está utilizando dentro de nuestra organización?

Porque si la respuesta es «no lo sabemos», el problema ya no es el cumplimiento del AI Act. El problema es que hemos empezado a construir el futuro antes de aprender a gobernarlo.

Precisamente por eso, organizaciones independientes y sin ánimo de lucro como ISACA están impulsando iniciativas para ayudar a cerrar esta brecha. Desde la formación de profesionales especializados en aseguramiento, riesgo y ciberseguridad aplicada a la IA hasta el desarrollo de marcos como CMMI-AIM, el objetivo es acompañar a las organizaciones en la construcción de una gobernanza que permita innovar de forma sostenible, segura y con confianza.

  • Chris Dimitriadis es director de Estrategia Global de ISACA