Un nuevo documento de trabajo de la Plataforma para Sistemas de Aprendizaje expone las oportunidades y riesgos de la IA generativa para los negocios y la industria, con nueve recomendaciones concretas de actuación.
Pocas tecnologías han penetrado tan rápidamente en los pasillos corporativos como la inteligencia artificial generativa. ChatGPT, Copilot, Le Chat: las herramientas están a solo unos clics de distancia y ofrecen textos, código y análisis a gran velocidad. Pero detrás de esa impresionante fachada acechan riesgos que muchas empresas todavía subestiman. Un nuevo documento de trabajo de la Plataforma para Sistemas de Aprendizaje, elaborado por expertos de la academia, la industria y los organismos de seguridad, ofrece orientación: fundada, práctica y respaldada por nueve recomendaciones concretas.
Eficiencia, sí, pero no sin esfuerzo
La IA generativa hace referencia a los sistemas que generan nuevos contenidos a partir de conjuntos de datos masivos: textos, imágenes, vídeos, código, música. En su núcleo se encuentran los llamados modelos de base, sobre todo los Grandes Modelos de Lenguaje (LLM) como los que impulsan ChatGPT o Gemini. El atractivo para las empresas es evidente: las tareas rutinarias como responder correos electrónicos, redactar actas, planificar proyectos o elaborar documentación pueden acelerarse considerablemente con la ayuda de la IA.
Sin embargo, la precaución está justificada: las ganancias de eficiencia y el alivio real para los empleados no son la misma cosa. El documento deja claro que la IA generativa no simplemente asume los procesos de trabajo, sino que a menudo los intensifica y comprime. Las tareas se aceleran, pero también se vuelven más exigentes. Quienes pierdan el control sobre los resultados generados por la IA arriesgan nuevas sobrecargas en lugar de alivio. Las directrices claras sobre transparencia, cualificación y participación no son, por tanto, opcionales, sino requisitos previos para un uso exitoso de la IA.
¿Usuario o proveedor? Una encrucijada estratégica
Una pregunta clave que plantea el documento: ¿quieren las empresas simplemente usar la IA generativa, o también contribuir a darle forma? La distinción entre los roles de usuario y proveedor tiene consecuencias de largo alcance. Quienes dependan de forma permanente de soluciones de los grandes consorcios tecnológicos estadounidenses se arriesgan a crear dependencias: en costes, soberanía de datos y ritmo de innovación.
De especial interés: los Modelos de Lenguaje Pequeños (SLM). Son más eficientes en cuanto a recursos, pueden ejecutarse localmente y pueden entrenarse con datos empresariales confidenciales sin enviarlos a servidores externos. Para las medianas empresas y las administraciones públicas que deben operar en conformidad con el RGPD, los SLM pueden ser la clave de la soberanía digital. Un proyecto europeo destacado es Teuken 7B, un modelo de código abierto del Fraunhofer IAIS, entrenado en las 24 lenguas de la UE: de uso libre, adaptable y conforme con la protección de datos.
Seguridad: más que un problema informático
La IA generativa está cambiando fundamentalmente el panorama de la seguridad informática, en ambas direcciones. Por un lado, abre nuevas posibilidades defensivas: los eventos de seguridad pueden analizarse más rápidamente, las simulaciones de red team pueden hacerse más realistas y las comprobaciones de cumplimiento pueden automatizarse parcialmente. Por otro lado, surgen nuevos vectores de ataque: a través de instrucciones manipuladas (la llamada inyección de instrucciones), filtraciones de datos no controladas o resultados de modelos erróneos con consecuencias potencialmente graves.
Especialmente preocupante es el llamado uso en la sombra. Los empleados suelen utilizar herramientas de IA sin conocimiento del departamento de TI, en dispositivos personales, con datos de la empresa. Una vez introducida, la información sensible no puede recuperarse. La Oficina Federal Alemana para la Seguridad de la Información (BSI) advierte expresamente: la IA generativa debe regularse claramente, controlarse e integrarse correctamente en las estructuras de seguridad existentes.
Derecho y cumplimiento normativo: la Ley de IA ya está en vigor
La Ley de IA europea lleva en vigor desde agosto de 2024 y se está implementando de forma progresiva como legislación vinculante desde agosto de 2025. Las empresas están obligadas a clasificar sus aplicaciones de IA por categorías de riesgo — de mínimo a inaceptable — y cumplir los requisitos correspondientes en materia de transparencia, documentación y supervisión humana. Para la denominada IA de propósito general (GPAI) se aplican obligaciones adicionales: divulgación de datos de entrenamiento, respeto de los derechos de autor y documentación técnica.
Además, siguen aplicándose el RGPD y la legislación nacional de protección de datos. La responsabilidad legal recae expresamente no solo en el departamento de TI, sino en la dirección de la empresa. Solo pueden desplegarse en una organización soluciones de IA verificadas y conformes con el cumplimiento normativo. Por ello, la formación jurídica del personal sobre el tema de «IA y derecho» es indispensable.
Análisis DAFO en lugar de intuición
¿Cómo puede evaluarse sistemáticamente el despliegue de la IA en ámbitos de aplicación específicos? El documento propone análisis DAFO y ofrece tres evaluaciones ejemplares: para la gestión del conocimiento, la producción industrial y el desarrollo de software.
En la gestión del conocimiento, los puntos fuertes son evidentes: investigación más rápida, conexión de silos de conocimiento y preservación del conocimiento experiencial de los expertos que se van. Las debilidades son igualmente reales: alucinaciones que pasan desapercibidas en las bases de datos del conocimiento, o un enfoque excesivo en el conocimiento capturado digitalmente a expensas del saber tácito.
En la industria, la IA destaca gracias a los procesos estandarizables y los grandes conjuntos de datos estructurados, ideales para el análisis de fallos, la programación CNC o la ingeniería de requisitos. Los riesgos surgen del comportamiento de caja negra, la falta de trazabilidad y las nuevas superficies de ataque en ciberseguridad. El desarrollo de software se beneficia de una generación de código más rápida y del alivio en las tareas rutinarias, pero lucha con riesgos de calidad, pérdida de conocimiento y posibles conflictos de licencias.
Nueve recomendaciones para la práctica
De todo ello, los autores extraen nueve recomendaciones de actuación. En resumen: las empresas deben establecer una cultura de uso responsable de la IA, hacer cumplir normas de uso transparentes, evaluar sistemáticamente los proyectos piloto e incorporar la seguridad en los sistemas de IA desde el principio como principio de diseño. La protección de datos, la gobernanza de la IA y el cumplimiento legal deben ser promovidos por la alta dirección, no delegados y olvidados.
El documento no es un llamado a la alarma, pero sí una llamada de atención clara: la IA generativa es lo suficientemente poderosa como para hacer avanzar o poner en peligro a las empresas, dependiendo de la conciencia con que se utilice. La tecnología avanza a un ritmo vertiginoso. Quienes establezcan el rumbo correcto hoy llevarán ventaja mañana.
El Dr. Jakob Jung es redactor jefe de Security Storage y Channel Germany. Lleva más de 20 años trabajando en el periodismo especializado en TI. A lo largo de su carrera ha colaborado con Computer Reseller News, Heise Resale, Informationweek, Techtarget (almacenamiento y centros de datos) y ChannelBiz. Además, colabora como freelance con numerosas publicaciones del sector de las TI, entre las que se incluyen Computerwoche, Channelpartner, IT-Business, Storage-Insider y ZDnet. Sus temas principales son el canal, el almacenamiento, la seguridad, los centros de datos, los sistemas ERP y CRM.
Contacto – Contacto por correo electrónico: jakob.jung@security-storage-und-channel-germany.de