Me ha pasado mil veces: leo un artículo sobre riesgos de la IA generativa, asiento con la cabeza, cierro la pestaña y sigo con el mismo chatbot en el navegador, sin cambiar políticas, sin formar al equipo y sin revisar el contrato del proveedor. No es que el texto sea malo; al contrario. ESET, en Welivesecurity, resume cinco frentes: moderación de contenidos, derechos de autor e imagen, privacidad, ética y desinformación. Son los que te esperas si llevas un poco tiempo en esto. El problema es otro: que esas listas convierten un problema sistémico en una checklist mental que nadie ejecuta.
Te lo digo como quien ha vendido proyectos web y luego ha tenido que recoger cable cuando el cliente pegaba datos sensibles en un prompt sin leer las condiciones. La IA generativa no es un plugin más: es un agujero donde entra tu marca, tu voz y tu base de datos si no pones limites claros desde el primer día.
En el día a día de una tienda online o un sitio corporativo en WordPress, el riesgo no es solo «el hacker de turno». Es el comercial que resume un contrato en el chat, es la plantilla de email que escribe un asistente con datos de clientes reales y es la imagen de producto que «sale bien» pero incumple derechos. Yo no estoy en contra de usar herramientas: lo que me mosquea es que se vendan como magia cuando en realidad son un amplificador de tus fallos organizativos.
Cuando la moderación es de cartón
El artículo apunta a que hay plataformas con términos ambiguos y que el usuario tiene herramientas a mano con políticas poco claras. Eso es verdad, pero en la práctica lo que falla es la cadena de responsabilidad. Si tu equipo publica en redes con un flujo hecho con IA y no tienes quién revise, el término de uso del proveedor te importa un pepino el día que hay un incidente. La moderación no es solo legal: es proceso. Y si no está documentado, no existe.
En mi experiencia, lo que más duele no es el tuit raro: es cuando alguien del equipo mete en producción un texto generado sin pasar por una persona que entienda el tono de la marca. Entonces la «moderación» se reduce a borrar a las malas cuando ya ha explotado. Eso no es estrategia, es parche.
Derechos de autor y cara prestada
El texto recuerda el conflicto en Hollywood con guionistas y actores frente al uso de la IA sin consentimiento. Fuera del cine, en una pyme que maquetas con Midjourney o clonas voz para un spot, el mismo drama llega en miniatura: ¿quién es el dueño del resultado? ¿Quién indemniza si el modelo se ha entrenado con algo que no debía? Aquí la gente suele hacer como si el botón «acepto» fuera un seguro. No lo es.
Si montas una web para un cliente y le dejas el flujo de contenidos abierto, tarde o temprano alguien va a cruzar la línea sin mala intención: una foto «sacada de la IA», un texto que suena a otra marca, un claim que no puedes demostrar. El problema no es la herramienta, es que nadie haya definido qué se puede publicar y con qué licencia. Eso en un proyecto serio debería estar en el mismo sitio que el presupuesto, no en un correo perdido.
Privacidad: el dato que ya soltaste
Los modelos necesitan datos. Tú necesitas cumplir RGPD y sentido común. Si no separas entornos (datos públicos vs internos, prompts con anonimización, etc.) vas a terminar en la misma situación que cuando alguien sube un Excel a un correo sin cifrar: el problema no es la tecnología, es la cultura. La IA generativa solo acelera el error.
La pieza también menciona el marco europeo y el GDPR como referencia cuando faltan normas locales. Eso me parece bien como mapa, pero en una pyme lo que importa es lo aburrido: inventario de datos, accesos, proveedores y cláusulas de tratamiento. Si no sabes qué datos entran en un prompt, no estás «innovando»: estás jugando a la ruleta con la confianza de tus usuarios.
Ética y desinformación en el mismo paquete
Suplantación, phishing más creíble, bulos con mejor maquillaje. No hace falta ser un genio para verlo venir. Lo que me preocupa no es que exista el riesgo, sino que las empresas lo traten como «cosa de Facebook» o «cosa de política» cuando su marca puede ser la próxima víctima de un deepfake barato.
Aquí la conversación en inglés suele ir varios pasos por delante: hablan de watermarking, de firmas criptográficas y de políticas de desconfianza por defecto. En castellano a veces tenemos el mismo contenido pero con menos debate sobre cómo aplicarlo en un departamento de marketing real, con presión por resultados y poco tiempo. La ética no es un powerpoint: es decir que no a una campaña cuando el riesgo reputacional no cuadra aunque el CTR suba.
Lo que sí te puedes llevar
La pieza de ESET no es un manifiesto vacío: enumera riesgos y propone líneas de actuación (moderación, datos de entrenamiento más éticos, transparencia, evaluación continua, educación). Todo suena razonable. Mi crítica va a que, sin presupuesto y sin dueño del proceso, eso se queda en un párrafo bonito. La IA generativa en el mundo real no la frena un artículo: la frenan políticas internas, proveedores con trazabilidad y gente que entienda qué es un dato personal.
La misma fuente recoge que en encuestas a sector industrial muchas empresas ven oportunidades, pero también listan barreras: falta de talento, coste, caso de negocio flojo, liderazgo que no termina de creérselo. Yo lo leo así: el mercado sabe que esto va a pegar fuerte, pero sigue improvisando. Y cuando improvisas con automatización, no ganas velocidad: ganas incidentes más rápido.
Si me preguntas qué haría mañana en un proyecto típico, no te hablaría de «aplastar el futuro» ni de «prohibir la IA». Haría tres cosas simples: un responsable explícito (nombre y apellidos), reglas de uso por rol (quién puede meter datos, quién puede publicar) y revisión humana antes de publicar nada que lleve la marca. No es glamuroso. Funciona mejor que otra lista de cinco puntos que nadie va a cumplir.
Si mañana tu proveedor de IA te ofreciera un plan más barato a cambio de que aceptes que tus prompts puedan usarse para entrenar modelos y que el soporte sea solo por email, sin auditoría de seguridad, lo firmarías con el mismo pulgar con el que hoy le das al «acepto» en el cuadro de chat?