Ocho de cada 10 empresas en México ignoran qué inteligencia artificial usan y dónde opera

Ocho de cada 10 empresas que utilizan inteligencia artificial en México carecen de una visión completa sobre las funcionalidades que han incorporado y los lugares de su infraestructura tecnológica donde operan, una falta de control que dificulta proteger los datos, medir los costos, así como responder por las decisiones automatizadas.

Solo 20% de las organizaciones mexicanas consultadas sabe exactamente qué capacidades de IA tiene implementadas y dónde se encuentran, de acuerdo con resultados presentados por IBM a partir de un estudio de su Institute for Business Value y la Dubai Future Foundation. La investigación global reunió las respuestas de más de 1,000 ejecutivos de alto nivel pertenecientes a 21 industrias y más de 20 países. IBM no precisó durante la presentación cuántas empresas integraron la submuestra mexicana.

La adopción avanza más rápido que los mecanismos utilizados para registrarla. Apenas 13% de las organizaciones encuestadas en México mantiene un inventario de sus sistemas de IA, una herramienta básica para identificar qué modelo usa cada área, qué información recibe, qué decisiones puede tomar y quién debe responder cuando se produce un error.

“De los encuestados mexicanos de este estudio de gobernanza de la IA, solo el 20% reportó que sabe exactamente qué funcionalidades de IA se están implementando y en dónde, en su estructura tecnológica empresarial”, dijo Luis Felipe Guzmán, líder de datos e inteligencia artificial de IBM México, en conferencia de prensa.

La IA se instala sin mapa

El problema supera el desconocimiento sobre las aplicaciones contratadas oficialmente. Los empleados pueden incorporar asistentes, modelos generativos y servicios alojados en internet sin autorización del área tecnológica, cargar documentos empresariales o conectarlos con procesos internos. Esta expansión fragmentada produce sistemas que operan fuera de los controles de seguridad y deja a la organización sin registros suficientes para reconstruir lo ocurrido durante una filtración, una auditoría o una decisión cuestionada por un cliente.

Un inventario permite relacionar cada sistema con sus responsables, proveedores, bases de datos, costos y niveles de acceso. También facilita retirar modelos obsoletos y detectar herramientas duplicadas. Su ausencia se vuelve más grave conforme las empresas sustituyen asistentes que responden preguntas por agentes capaces de ejecutar acciones dentro de aplicaciones corporativas.

IBM reportó que solo 3% de las organizaciones mexicanas consultadas cuenta con una plataforma para orquestar su IA. La orquestación permite coordinar modelos y agentes de distintos proveedores, asignarles tareas y establecer qué sistema puede intervenir según el costo, el riesgo o la finalidad del proceso.

“Cuando tienes decenas de miles de agentes, no tienes otra forma que controlarlos y orquestarlos. Si no lo haces, es muy fácil que salgas de control”, advirtió Mauricio Torres Echeverría, director general de IBM México.

Un agente puede consultar expedientes, modificar registros, enviar comunicaciones, generar código o interactuar con otro sistema sin esperar una instrucción humana en cada etapa. El riesgo empresarial depende de los permisos que recibe. Una herramienta diseñada para corregir una base de datos podría eliminar información en producción cuando interpreta que ésa es la vía más rápida para cumplir su objetivo.

Roberto Carratalá, principal AI Architect de la AI Business Unit de Red Hat, explicó que llevar estos sistemas a producción exige asignar una identidad verificable a cada agente y limitar sus privilegios a los recursos estrictamente necesarios para cumplir su tarea.

“Tenemos que limitar su radio de acción para que sean seguros y confiables, y para que las compañías puedan llevarlos a producción de una forma muy segura”, dijo Carratalá en entrevista.

Los agentes elevan el riesgo

La trazabilidad adquiere relevancia cuando la IA participa en procesos que afectan directamente a las personas. Una empresa que utiliza modelos para filtrar candidatos, detectar fraude o decidir la entrega de un crédito necesita saber qué sistema intervino, con qué datos trabajó y bajo qué reglas produjo el resultado. Sin ese registro, explicar una discriminación, una alucinación o un rechazo indebido se convierte en una reconstrucción incompleta.

La Unión Europea ya exige un enfoque proporcional al riesgo mediante su Ley de Inteligencia Artificial. Los sistemas clasificados como de alto riesgo deben contar con documentación, registros, gestión de riesgos y supervisión humana. Aunque México todavía carece de una legislación general equivalente, las compañías mexicanas que operan en mercados regulados o prestan servicios a clientes internacionales pueden enfrentar obligaciones contractuales y regulatorias provenientes de otras jurisdicciones.

La soberanía digital aparece en este contexto como la capacidad de una organización para decidir dónde operan sus modelos, quién accede a ellos y cómo puede sustituirlos cuando un proveedor cambia sus condiciones. La ubicación física de los datos representa una parte del problema. El control operativo exige conocer las dependencias tecnológicas que sostienen cada proceso y conservar alternativas para mantenerlo funcionando.

Carratalá advirtió que algunas empresas están recurriendo a modelos abiertos, locales y especializados para reducir su dependencia de plataformas externas. Los modelos de mayor tamaño pueden ofrecer capacidades amplias, aunque su costo resulta difícil de justificar cuando la tarea es estrecha y repetitiva.

“Muchos clientes han elegido modelos más pequeños, mucho más específicos para su caso de uso, y están teniendo rendimientos muy buenos”, dijo.

La primera tarea para las empresas mexicanas consiste en localizar la IA que ya opera dentro de ellas. Sin un inventario, permisos definidos y registros de actividad, cada nuevo agente amplía una infraestructura que la dirección tecnológica conoce solo parcialmente. El crecimiento de la automatización convierte esa falta de visibilidad en un riesgo financiero y operativo que puede avanzar a la misma velocidad que los sistemas autónomos.

rodrigo.riquelme@eleconomista.mx