Leo que México avanza hacia una ley integral de inteligencia artificial con autoridad nacional, registro de sistemas de alto riesgo y hasta penas de prisión para usos indebidos. Al mismo tiempo, en Europa el calendario del AI Act sigue apretando: obligaciones que muchos equipos aún tienen en un PDF olvidado. Yo no voy a venderte tranquilidad. Lo que veo es legislación ambiciosa, debate público encendido y, debajo, el mismo problema de siempre: quien desarrolla web o producto digital se queda con el morro torcido porque las leyes hablan de “sistemas” y tú tienes un WordPress, una API y un chatbot en el footer.
En WIRED en español ya se apunta una tensión que me interesa más que la lista de artículos prohibidos: conceptos tan amplios como la “manipulación de la narrativa” pueden vaciarse en manos hábiles y acabar en censura encubierta. Infobae, citando el pulso del Senado y el entorno mediático, recoge la otra cara: un marco técnicamente exigente en un país con infraestructura y ciberseguridad que no siempre acompañan. Yo traduzco eso a algo que te suena si montas sites para terceros: el cliente te pedirá “cumplir la ley” sin saber si su proveedor de hosting firma DPA, si el backup está cifrado o si el plugin de formularios registra prompts.
En paralelo, los riesgos reales de la IA generativa no son solo éticos, son operativos. El informe de WeLiveSecurity resume desafíos que en el día a día te machacan igual aunque no salgas en el telediario: deepfakes, robo de información sensible, sesgos, dependencia de terceros y, en el fondo, la falta de transparencia. No es una lista para asustar al personal de marketing; es el menú de incidentes que alimenta el ransomware y el suplantación que luego tu cliente achaca al “chico de sistemas”.
Aquí entra lo que me mosquea cuando junto legislación y oficina técnica. Las leyes prometen autoridades, registros y sanciones. Tu sprint promete entregar en dos semanas. El hueco entre ambos lo paga quien integra herramientas generativas sin traza: qué modelo, qué datos entraron, qué salió, quién lo revisó. El Consejo General de la Abogacía Española lo dice sin rodeos para textos jurídicos: usar IA como atajo sin supervisión es una bomba de responsabilidad profesional. Cambia “escrito” por “landing corporativa” o “asistente en el checkout” y la dinámica es la misma: el día que algo grave falle, buscarán el log. Si no existe el log, inventarán la culpa.
En serio: si pones un módulo que redacta ficha de producto o responde al cliente, ya eres parte de una cadena con riesgo reputacional y legal. No porque el código sea malo sino porque la norma cada vez exige más etiquetado documentación y gobernanza, mientras el mercado de plugins y APIs sigue vendiendo magia en caja cerrada. México y la UE no están coordinando tu roadmap, pero compiten por el titular y eso acelera la presión sobre cualquier negocio que opere transfronterizo o que use datos personales con un chatbot ridículamente prometedor.
Lo que echo en falta en el discurso público no es otro manifiesto sobre la singularidad. Echo en falta guías honestas para pymes: cómo auditar un proveedor de modelo, cómo versionar prompts, cómo aislar datos de clientes en RAG, cómo cerrar un contrato con un SaaS que “entiende IA” solo en la landing. Mientras eso no llega nos queda el trabajo sucio: criterio propio, trazabilidad mínima y dejar de confundir “cumplir” con “instalar la última extensión de moda”.
Yo creo que estamos entrando en una fase donde mezclar teatro legislativo con infraestructura frágil es peor que no regular. Si la ley asusta pero la inspección no llega al proveedor de turno, el efecto práctico es cinismo: nadie invierte en controles y todos firman casillas en formularios que nadie lee. Si la ley es ambiciosa y tiene dientes, pero tu stack no está documentado, te comerás el marrón operativo aunque seas buena gente. No hay heroísmo en ignorar eso.
Fuentes
- WeLiveSecurity: cinco desafíos de la IA generativa
- WIRED: México y penas de prisión por usos indebidos de IA
- Infobae: debate y viabilidad de la ley mexicana
- El Derecho: aviso del CGAE sobre IA en textos profesionales
Si mañana tu CMS te obligara a etiquetar cada texto asistido por IA y a conservar el prompt asociado durante dos años sólo con fines de auditoría, ¿replantearías el proyecto actual o buscarías otra forma de publicar sin tocar modelos de terceros?