La noticia gorda hoy no es otra: sigues llenando de pilotos a tu CRM y, cuando toca pasar a producción, alguien pregunta por la cadena de custodia de los datos, el prompt que no debía salir a internet y el responsable con nombre y apellidos si un cliente recibe un texto con una burrada legal. Eso es el mundo real, no el anuncio de un modelo nuevo.
WeLiveSecurity, el blog de ESET, resume bien el paquete de fricción: riesgo de ciberataques, privacidad, compliance y, encima, la fuga de personal sensible que aprovecha aires de misterio alrededor de la “magia negra” de la IA. Si montas producto, ya sabes qué pasa: el modelo es barato de probar, caro de mantener con control serio, y nada de eso se ve en un roadshow de cinco minutos. Las demos ganan, los contratos reales piden trazas.
En España el tono de los medios de economía ha apretado. El Periódico ha recogido el mensaje de que 2026 se presenta como año decisivo para muchas compañías en temas de inversión, talento e integración de la IA; es decir, o pasas de experimento a cifras o alguien te va a pedir explicaciones al cierre. No hace falta leer oráculos: basta con mirar a tu alrededor en proyectos reales, donde todavía hay más PowerPoint que métricas. Yo lo veo asi, sin romanticismo, el que tenga miedo a la mesa de seguimiento es que aún confunde presentación con producto.
Mientras, el mapa de negocio deja títulos concretos. Cinco Días (El País) ha cubierto recientemente la financiación de apuestas nacionales en soluciones de IA generativa; es la misma ola que oyes en cenas de inversores: mucho interés, mucho ruido y la prueba al final se reduce a si esos euros acaban en ingresos recurrentes o en otra tanda de pilotos con aroma a innovación. No estoy diciendo que toda inversión sea humo, digo que el titular fácil nunca reemplaza el análisis de riesgo que tú, si llevas a clientes, terminas sosteniendo tú.
De fuera, los informes técnicos llevan un tiempo insistiendo en lo mismo con otros números. MIT Technology Review y consultoras que cita reiteradamente a la gente de datos hablan de la brecha entre prueba y despliegue, de costes de inferencia, de dudas sobre la calidad de la salida y de integración con sistemas heredados. Traducción: no es un tema de “cualquier chatbot”, sino de arquitectura, permisos y cultura. Si tu proveedor de hosting se enrolla solo con tokens y nunca con registros, ya tienes pista de qué fiesta es. En web y pymes, el patrón se repite: plugin con IA, widget con IA, nadie sabe dónde acaba el log del usuario.
Aquí toca bajar a tierra gorda: regulación, datos personales, propiedad intelectual de entradas y salidas, y de nuevo la responsabilidad civil cuando algo sale mal. Cada mes sale un ajuste normativo, un juicio, un borrador, y la conversación con el cliente pasa de “qué chulo” a “qué pasa si copiamos esto, si entrena con esto, si filtra con aquello”. Tú, que vives de proyectos, no puedes dejar eso solo a legal si legal no sabe de qué API hablas, como tampoco basta con que tú, técnico, desestimes el riesgo porque “el proveedor lo dice en la web”.
Qué hago yo, que no soy una multinacional
Te dejo cinco mínimos que yo aplico antes de ponerle color corporativo a nada con IA: (1) documentar qué datos entran, dónde se procesan y con qué proveedor, sin confundir nube pública y nombre del cliente; (2) nombrar un responsable de revisión de salidas, no un “sí, lo mira alguien”; (3) fijar un criterio de baja calidad, por ejemplo cuándo se escala a humano o se corta la respuesta; (4) medir ahorro de tiempo o ingreso evitado, aunque sea con muestreo la primera vez; (5) ensayar un incidente: si filtras un dato, ¿a quién llamas a las 22:00? Si el plan es subir a Slack, no tienes plan. Suena a burocracia, es lo único que te separa de un sábado maldiciendo a quien eligió un modelo en autopromoción y sin plan B.
A veces, la IA generativa es la pieza adecuada, en logística, asistencia interna, redacción de borradores con revisión, pero no reemplaza el juicio, ni tampoco la paciencia con la plantilla humana, es decir, formar a gente de negocio y técnicos en el mismo idioma, para que dejen de mezclar demo y producción. Si una agencia te vende “integración con IA en dos semanas” y no nombra responsables, presupuesto de revisión humana o pruebas de carga, te están vendiendo calendario, no entrega. La escala afecta, pero el engaño es el mismo aunque seas pequeño.
También pasa otra cosa: los proveedores te venden “capa de inteligencia” y tú asumes que bajo el capó hay criterio, cuando a veces solo hay un endpoint y logging pobre, cosa de la que tú, como responsable, acabas haciéndote cargo frente a tu cliente, sea una web de una pyme, una tienda, o un departamento con dos internos. Ahí, la conversación con el proveedor debería ser tan aburrida como un checklist de seguridad, no tan emocionante como un anuncio de lanzamiento, pero quien tiene tiempo para letra pequeña a estas alturas, verdad? (No te engañes, sin esa letra el problema es tuyo, no de la nube.)
Resumiendo: la IA generativa no es el enemigo ni la varita; es otra capa con coste, riesgo y oportunidad, y 2026 lo que hace es quitarte el paraguas de “fase de prueba” si tu negocio depende de ella, pero solo si tú aceptas medir, documentar y asumir fricción frente a la mesa, que es el sitio incómodo donde de verdad se decide, no en el hilo de Twitter.
Si mañana tu cliente te pidiera en contrato un listado de prompts aprobados y trazas de qué dato alimenta cada salida, ¿tendrías a mano el Excel, o todavía apelarías a que “el proveedor ya cumple con lo que pone en la página de condiciones”?
Fuentes
- ESET / WeLiveSecurity: cinco desafíos de la IA generativa (seguridad, privacidad, cumplimiento)
- El Periódico: IA, inversión y retos en empresas españolas (2026)
- Cinco Días: ronda de financiación en torno a soluciones de IA generativa (España)
- MIT Technology Review: pasar la IA generativa a producción (datos, costes, integración, calidad)