Saltar al contenido
Dr. Mario Anselmo Gómez Sánchez
Abogado especializado en Derecho de las Tecnologías de la Información, Ciberseguridad y Protección de Datos Personales. Director Legal de Zona Abierta Legal & Technology, fundador de ProtectoDato y catedrático en diversas instituciones de educación superior.
En los últimos años, la inteligencia artificial (IA) ha dejado de ser tema de ciencia ficción para convertirse en una realidad que define nuestro día a día. Desde el celular que desbloqueamos con el rostro hasta los sistemas que deciden si una transacción bancaria es sospechosa, la IA ha penetrado profundamente en nuestra vida digital. Pero detrás de esta revolución silenciosa, se esconde una pregunta que cada vez preocupa más a juristas, ingenieros y ciudadanos: ¿quién es responsable cuando una inteligencia artificial falla?
Este dilema cobra especial relevancia en el terreno de la ciberseguridad, un ámbito donde la IA ha transformado tanto las defensas como las amenazas. México, al igual que muchas otras naciones, enfrenta el desafío de aprovechar su potencial sin perder de vista las implicaciones legales, éticas y sociales que conlleva.
Una aliada poderosa, pero no infalible
La IA es, esencialmente, la capacidad de las máquinas para aprender, razonar y tomar decisiones basadas en datos. En el campo de la ciberseguridad, su papel ha sido fundamental. Gracias a los algoritmos de aprendizaje automático, los sistemas pueden identificar comportamientos anómalos, detectar intrusiones en segundos y responder a ataques sin intervención humana. En un entorno digital donde cada segundo cuenta, esta velocidad puede marcar la diferencia entre un incidente controlado y una catástrofe.
Por ejemplo, los sistemas de detección basados en IA analizan millones de conexiones por minuto, aprendiendo a reconocer patrones que un ojo humano jamás podría identificar. De igual modo, pueden anticipar ataques antes de que ocurran, prediciendo vulnerabilidades o comportamientos sospechosos. Todo esto representa una verdadera revolución para la seguridad digital.
Sin embargo, el entusiasmo tecnológico suele olvidar un detalle: toda herramienta poderosa implica riesgos proporcionales. La IA no es neutra. Aprende de los datos que recibe y reproduce los sesgos, omisiones o errores presentes en ellos. Si el algoritmo fue entrenado con información incompleta o discriminatoria, sus decisiones también lo serán. Así, un sistema diseñado para proteger puede convertirse, sin intención, en un mecanismo de exclusión o vigilancia excesiva.
A esto se suma un fenómeno conocido como adversarial AI, que consiste en manipular los datos que alimentan al sistema para confundirlo. Los ciberdelincuentes han aprendido a explotar estas debilidades, introduciendo información engañosa que hace que la IA “crea” que una amenaza es inofensiva. En otras palabras, están aprendiendo a engañar a las máquinas inteligentes.
El dilema de la responsabilidad
Cuando un sistema automatizado falla, la pregunta inevitable es: ¿de quién es la culpa?
¿Del desarrollador que programó el algoritmo? ¿De la empresa que lo implementó? ¿Del usuario que lo utiliza sin comprenderlo del todo?
Responder no es sencillo, porque la IA introduce un nuevo tipo de autonomía. Ya no estamos frente a herramientas pasivas, sino ante sistemas que aprenden y deciden por sí mismos. La cadena de responsabilidad se difumina.
Desde el punto de vista jurídico, pueden distinguirse tres grandes actores:
Los desarrolladores, responsables del diseño del algoritmo y de la integridad de los datos que lo alimentan. Si un error de programación o una omisión técnica conduce a una brecha de seguridad, su responsabilidad podría ser directa.
Los usuarios, que pueden incurrir en negligencia si desactivan medidas de protección o manipulan indebidamente el sistema. Sin embargo, su control sobre la IA suele ser limitado.
Las empresas proveedoras, que deben garantizar que los productos que comercializan cumplan con los estándares de seguridad y transparencia. Si un sistema defectuoso causa un daño, la ley podría considerar que se trata de un “producto inseguro”, similar a un medicamento mal formulado.
El problema se agrava cuando la IA toma decisiones imprevisibles. ¿Puede una máquina ser responsable de sus actos?
Hoy, la respuesta jurídica es negativa: la responsabilidad siempre recae en las personas o entidades detrás de su desarrollo y operación. Pero conforme la IA adquiera más autonomía, esta respuesta se volverá cada vez más insatisfactoria.
El vacío legal en México
En México, la regulación sobre inteligencia artificial se encuentra en una etapa embrionaria. A diferencia de la Unión Europea —que ya impulsa una Ley de IA y un esquema de clasificación por niveles de riesgo— nuestro país carece de una norma integral que aborde los desafíos éticos y jurídicos de esta tecnología.
Existen esfuerzos aislados, como la Ley Fintech, que regula el uso de tecnologías financieras, o las recomendaciones del INAI sobre el tratamiento de datos personales en sistemas automatizados. Pero estos instrumentos son fragmentarios. No existe todavía una ley que defina con claridad las responsabilidades de los desarrolladores, proveedores y usuarios cuando la IA participa en un fallo de ciberseguridad.
En los últimos años, el Congreso ha recibido diversas propuestas: una Ley de Regulación Ética de la Inteligencia Artificial y la Robótica, la creación de una Agencia Mexicana para el Desarrollo de la IA, e incluso reformas al Código Penal Federal para sancionar el uso malicioso de algoritmos en ciberataques o la generación de deepfakes. Sin embargo, ninguna de estas iniciativas se ha traducido aún en una regulación efectiva.
La ausencia de un marco normativo deja a empresas y ciudadanos en un terreno incierto. Las organizaciones que adoptan IA para proteger sus redes enfrentan el riesgo de ser sancionadas si algo falla, incluso cuando el error proviene del propio sistema. Y los usuarios carecen de mecanismos claros para reclamar sus derechos ante una decisión automatizada injusta.
El problema de las “cajas negras”
Uno de los grandes dilemas de la IA es su falta de transparencia. Muchos algoritmos funcionan como verdaderas “cajas negras”: producen resultados correctos o incorrectos, pero nadie —ni siquiera sus creadores— puede explicar con precisión cómo llegaron a esas conclusiones.
Esta opacidad es especialmente grave en materia de ciberseguridad. Si un sistema automatizado bloquea una cuenta, clasifica una amenaza o filtra información, los afectados deberían tener derecho a saber por qué. Sin embargo, en la práctica, los algoritmos complejos de redes neuronales no siempre permiten esa explicación. Las decisiones se vuelven incuestionables simplemente porque son incomprensibles.
En el ámbito internacional ya se han dado pasos hacia la transparencia algorítmica. El Reglamento General de Protección de Datos (GDPR) de la Unión Europea reconoce el derecho de toda persona a obtener una explicación sobre las decisiones automatizadas que le afecten. Estados Unidos, por su parte, ha impulsado la Declaración de Derechos sobre la IA (AI Bill of Rights), que busca garantizar la equidad, la supervisión humana y la explicabilidad de los sistemas automatizados.
México aún no cuenta con disposiciones semejantes. La legislación en materia de protección de datos personales se basa en principios sólidos —como el consentimiento informado y la proporcionalidad—, pero no contempla el derecho a conocer los fundamentos de una decisión algorítmica. En otras palabras, un ciudadano puede saber qué datos se recopilan sobre él, pero no necesariamente cómo se usan para tomar decisiones.
Sesgos, vigilancia y discriminación digital
Los sesgos en la IA no son un mito tecnológico, sino un reflejo de nuestras propias estructuras sociales. Si los datos de entrenamiento provienen de contextos desiguales o discriminatorios, los resultados también lo serán. Así, un sistema de seguridad basado en reconocimiento facial puede identificar erróneamente a personas de piel más oscura, o una IA bancaria puede considerar “más riesgosos” a usuarios de ciertos códigos postales.
En ciberseguridad, estos sesgos pueden derivar en vigilancia selectiva o en la asignación de riesgos de manera injusta. Por ejemplo, un algoritmo podría concentrar sus alertas en regiones o perfiles de usuario que históricamente presentan más incidentes, sin considerar las causas estructurales que explican esos patrones. Esto no solo reproduce desigualdades, sino que debilita la confianza en la tecnología.
Frente a ello, algunos países han empezado a exigir auditorías algorítmicas independientes. Estas revisiones buscan identificar sesgos antes de que los sistemas sean desplegados masivamente. En México, el concepto de auditoría en IA aún no se ha adoptado formalmente, pero podría convertirse en una herramienta clave para garantizar la equidad y la seguridad digital.
El consentimiento y los datos personales
El consentimiento informado es la piedra angular de la protección de datos. Pero en el mundo de la IA, este principio se ha vuelto difícil de aplicar.
Cuando aceptamos los términos de una aplicación, ¿realmente comprendemos que nuestros datos serán usados para entrenar algoritmos? ¿Sabemos qué decisiones puede tomar esa inteligencia a partir de ellos?
En muchos casos, los usuarios ni siquiera son conscientes de que están siendo analizados por sistemas automatizados. La IA recopila y procesa información en tiempo real, cruzando datos biométricos, hábitos de navegación y ubicación geográfica. Todo ello configura un retrato digital del individuo, muchas veces sin su conocimiento o autorización explícita.
Legalmente, esto constituye un riesgo de violación a los derechos de privacidad. Si los datos se usan sin consentimiento o con fines distintos a los autorizados, la organización responsable podría incurrir en sanciones. Sin embargo, en la práctica, la velocidad con la que evoluciona la IA supera la capacidad del derecho para regularla.
Por eso, se requiere una nueva cultura del consentimiento digital: un modelo que no se limite a las letras pequeñas de un contrato, sino que garantice comprensión, transparencia y control real por parte del usuario.
Hacia una regulación ética y humana
El futuro de la IA en México dependerá de la capacidad del país para equilibrar innovación y protección. La regulación no debe ser un freno al desarrollo tecnológico, pero sí un marco que asegure responsabilidad y respeto a los derechos humanos.
Una de las propuestas más viables es la certificación de algoritmos, un proceso similar al que ya se aplica en otros sectores de alto riesgo, como la salud o la industria automotriz. Mediante auditorías técnicas y éticas, se evaluaría la seguridad, la equidad y la transparencia de los sistemas antes de su implementación. Esto no solo aumentaría la confianza pública, sino que también protegería a las empresas frente a posibles litigios.
Otro elemento indispensable será la creación de mecanismos claros de rendición de cuentas. Las compañías que operen con IA deberán informar sobre su funcionamiento, los datos que utiliza y los criterios con los que toma decisiones. Asimismo, el Estado tendrá que definir un organismo con capacidad técnica para supervisar, sancionar y acompañar el desarrollo de estas tecnologías.
Finalmente, la educación digital será clave. Ninguna ley será suficiente si la sociedad no comprende las implicaciones de convivir con inteligencias artificiales. Se necesita fomentar una cultura de ética tecnológica, donde los ciudadanos exijan transparencia, los desarrolladores asuman su responsabilidad y las empresas entiendan que la confianza es su principal activo.
Conclusión: el futuro de la responsabilidad digital
La inteligencia artificial no es buena ni mala por naturaleza: es una herramienta moldeada por quienes la crean y la utilizan. En materia de ciberseguridad, puede ser la mejor aliada para protegernos o el peor enemigo si se usa sin control.
México tiene ante sí la oportunidad de diseñar un modelo regulatorio que combine innovación con respeto a los derechos fundamentales. No basta con adoptar tecnologías inteligentes; es indispensable construir instituciones igualmente inteligentes que sepan supervisarlas, entenderlas y exigir rendición de cuentas.
En un mundo donde las máquinas deciden cada vez más, el verdadero desafío es mantener el control humano sobre las consecuencias de esas decisiones. Porque cuando la inteligencia artificial falla, la pregunta sigue siendo profundamente humana: ¿quién responde?
Related Posts
