Soberanía IT: Controlar la inteligencia en un mundo fragmentado (Parte 4)

En las tres primeras partes de esta serie, hemos examinado la soberanía tecnológica desde cero: el contexto jurídico y geopolítico, la capa de infraestructura física y el papel estratégico del cloud computing. Cada capa reveló el mismo reto subyacente: cómo beneficiarse de los ecosistemas digitales globales sin renunciar al control.

En ningún ámbito es más evidente ese reto que en el de la inteligencia artificial.

La IA ha evolucionado rápidamente, pasando de ser una herramienta experimental a convertirse en un motor fundamental de la automatización, el análisis y la diferenciación competitiva. A medida que las empresas incorporan la IA a sus flujos de trabajo operativos y procesos de toma de decisiones, surge una nueva pregunta a nivel directivo: ¿hasta qué punto es soberana nuestra IA?

La soberanía de la IA ya no es un concepto teórico o impulsado por políticas. Se está convirtiendo en una preocupación práctica para las empresas que dependen de datos sensibles, operan en distintas jurisdicciones y dependen cada vez más de plataformas de IA controladas fuera de su alcance legal.

¿Qué significa realmente la soberanía de la IA?

La soberanía de la IA es la capacidad de una organización para desarrollar, implementar y operar sistemas de IA bajo las jurisdicciones, controles y marcos de gobernanza que elija.

En la práctica, gira en torno a tres elementos estrechamente relacionados:

• Localización y procedencia de los datos: dónde se almacenan y procesan los datos de entrenamiento e inferencia, y si el origen y la composición de los datos de entrenamiento pueden ser regulados, explicados y defendidos en virtud de los marcos legales y normativos aplicables.
• Control del modelo: quién aloja, opera y puede modificar los modelos de IA.
• Independencia operativa: si las capacidades de IA siguen estando disponibles, cumplen con la normativa y son auditables bajo presión regulatoria o geopolítica.

La IA soberana no implica rechazar la innovación global ni reconstruir todas las capacidades internamente. Por el contrario, significa garantizar que los aspectos más críticos de la IA (datos, modelos y lógica de decisión) no estén sujetos a accesos externos no deseados, una gobernanza opaca o perturbaciones externas.

Por qué la IA se ha convertido en un punto álgido de la soberanía

La IA introduce riesgos para la soberanía que difieren fundamentalmente de los sistemas informáticos tradicionales.

Localización de los datos y efectos de aprendizaje

A diferencia del software clásico, los sistemas de IA pueden aprender de los datos. Cuando las empresas envían datos a plataformas de IA externas, especialmente a través de APIs, la forma en que se registran, conservan o reutilizan esos datos depende del proveedor, el nivel de servicio y los controles contractuales.

Aunque muchos proveedores ofrecen ahora medidas de seguridad y opciones de residencia de datos de nivel empresarial, las empresas siguen siendo responsables de verificar que el tratamiento de los datos se ajusta a los requisitos normativos y de gobernanza interna. La limitada transparencia de los procesos de tratamiento de la IA por parte de terceros puede dificultar la verificación independiente y la capacidad de auditarlos, especialmente en el caso de los datos regulados.

Concentración de la capacidad de la IA

Los modelos avanzados de IA y la infraestructura necesaria para ejecutarlos se concentran en un pequeño número de proveedores globales. Estos proveedores operan bajo regímenes jurídicos nacionales que pueden permitir el acceso extraterritorial a los datos o imponer restricciones a la exportación o el uso de tecnologías avanzadas de IA.

A medida que la IA se integra en los procesos empresariales básicos, esta concentración introduce una dependencia estratégica. Si se restringe el acceso a una plataforma de IA extranjera, debido a cambios normativos, sanciones o cambios en la política del proveedor, los flujos de trabajo críticos pueden verse afectados sin previo aviso.

La presión regulatoria se está intensificando.

Los reguladores tratan cada vez más la IA como un ámbito que requiere una gobernanza explícita. Los nuevos marcos aplican un enfoque basado en el riesgo, imponiendo obligaciones más estrictas cuando los sistemas de IA influyen en decisiones reguladas, procesan datos personales o afectan a derechos fundamentales.

Las empresas siguen siendo responsables de los resultados en materia de cumplimiento, incluso cuando las capacidades de IA proceden de terceros. En este contexto, la soberanía se convierte en un requisito previo para la rendición de cuentas, más que en una preferencia arquitectónica opcional.

En junio de 2024, la Unión Europea (UE) adoptó la primera normativa mundial sobre IA. La Ley de Inteligencia Artificial será plenamente aplicable 24 meses después de su entrada en vigor. Esta normativa establece un marco común para el uso y el suministro de sistemas de IA en la UE. La nueva ley ofrece una clasificación de los sistemas de IA con diferentes requisitos y obligaciones adaptados a un enfoque basado en el riesgo. Se prohíben algunos sistemas de IA que presentan riesgos «inaceptables». Se autoriza una amplia gama de sistemas de IA de «alto riesgo» que pueden tener un impacto perjudicial en la salud, la seguridad o los derechos fundamentales de las personas, pero están sujetos a una serie de requisitos y obligaciones para poder acceder al mercado de la UE. Los sistemas de IA que plantean riesgos limitados debido a su falta de transparencia estarán sujetos a requisitos de información y transparencia, mientras que los sistemas de IA que solo presentan un riesgo mínimo para las personas no estarán sujetos a obligaciones adicionales. El reglamento también establece normas específicas para los modelos de IA de uso general (GPAI) y establece requisitos más estrictos para los modelos GPAI con «capacidades de alto impacto» que podrían suponer un riesgo sistémico y tener un impacto significativo en el mercado interior.

La UE implementará una infraestructura de evaluación Agentic segura, extensible y en continua evolución para medir los sistemas de IA de propósito general (GPAI) en virtud de la Ley de IA de la UE.

Los riesgos de los modelos de IA no soberanos

Las empresas que dependen en gran medida de plataformas de IA operadas externamente se enfrentan a varios riesgos interconectados.

Exposición jurisdiccional

Los servicios de IA operados por proveedores sujetos a la autoridad legal extranjera pueden verse obligados a revelar datos o información operativa, independientemente del lugar en el que se lleve a cabo el procesamiento.

Dependencia operacional

La IA integrada en flujos de trabajo críticos para el negocio puede convertirse en un único punto de fallo si el acceso se restringe, modifica o retira debido a decisiones externas que escapan al control de la empresa.

Incertidumbre en materia de cumplimiento

Demostrar el cumplimiento normativo resulta difícil si los procesos de formación, las prácticas de conservación de datos o el comportamiento modelo no pueden explicarse, documentarse o regularse con claridad.

Fuga estratégica

Los datos confidenciales utilizados en las indicaciones, el ajuste o la inferencia de la IA pueden exponer involuntariamente la propiedad intelectual, la lógica empresarial o la información competitiva.

Estos riesgos aumentan a medida que la IA pasa de la experimentación a los sistemas empresariales básicos.

Estrategias para lograr la soberanía de la IA

La soberanía de la IA no requiere abandonar sus capacidades modernas. Requiere decisiones de arquitectura y de gobernanza que preserven el control donde es necesario.

1. Entrenamiento local e interferencias

Uno de los enfoques más directos consiste en ejecutar las cargas de trabajo de IA en una infraestructura controlada por la empresa o en entornos regionales de confianza. Los datos de entrenamiento y la inferencia permanecen en el ámbito local, lo que garantiza que la información confidencial no salga de las jurisdicciones autorizadas.

Este enfoque es especialmente relevante para los sectores regulados y los casos de uso de alto impacto.

2. Aprendizaje federado e inteligencia artificial distribuida

El aprendizaje federado permite entrenar modelos de IA en múltiples ubicaciones sin centralizar los datos sin procesar. Cada sitio realiza el entrenamiento de forma local y solo se agregan las actualizaciones del modelo, no los datos subyacentes.

Para las empresas multinacionales, esto permite crear inteligencia compartida respetando al mismo tiempo las restricciones locales en materia de residencia y soberanía de los datos.

3. Modelos de código abierto y auto-alojados

Muchas organizaciones están adoptando cada vez más modelos de IA de código abierto o desarrollados internamente que pueden alojarse y gestionarse de forma interna. Aunque estos modelos pueden estar por detrás de las últimas ofertas propietarias, proporcionan transparencia, auditabilidad y control total sobre el uso de los datos.

En el caso de los flujos de trabajo sensibles, las ventajas en materia de soberanía suelen compensar las diferencias marginales de rendimiento.

4. Clústers regionales de IA e infraestructura soberana

Las empresas también están invirtiendo en clústers regionales de IA, ya sea en sus propias instalaciones o a través de proveedores de confianza, que garantizan que el cálculo, el almacenamiento y la gobernanza de la IA permanezcan bajo control local. Esto refleja las estrategias anteriores de nube soberana, pero está optimizado para las demandas computacionales de la IA.

5. Medidas de seguridad al utilizar plataformas externas de IA

Como los servicios de IA extranjeros siguen siendo necesarios, las empresas exigen cada vez más:

• Compromisos explícitos sobre la localización y el procesamiento de los datos
• Restricciones claras sobre la conservación y la reutilización de los datos
• Modelos de implementación que mantengan la inferencia o el ajuste fino dentro de entornos controlados por el cliente

Estas medidas no eliminan el riesgo soberano, pero reducen significativamente la exposición.

Cuándo la soberanía de la IA es fundamental y cuándo es opcional

La sobernaía de la IA es crítica cuando:

• La IA procesa datos personales o regulados.
• Los resultados influyen en decisiones reguladas o críticas para la seguridad.
• Los modelos incorporan lógica empresarial propia o conocimientos estratégicos.
• Debe garantizarse la continuidad operativa en todas las circunstancias.

La soberanía de la IA es menos estricta cuando:

• Los datos son públicos, anónimos o de bajo riesgo.
• La IA se utiliza para la productividad genérica o el análisis exploratorio.
• La experimentación a corto plazo supera las preocupaciones sobre la dependencia a largo plazo.

Al igual que con la infraestructura y la nube, el enfoque más eficaz es la clasificación de la carga de trabajo, aplicando controles de soberanía de forma proporcional al riesgo empresarial y normativo.

Dependencias extranjeras aceptables en la IA

La verdadera soberanía de la IA no requiere aislamiento tecnológico.

Muchas empresas aceptan:

• Utilizar modelos desarrollados en el extranjero e implementados y operados localmente.
• Aprovechar la investigación global en IA y la innovación de código abierto.
• Alquilar capacidad informática extranjera para cargas de trabajo cifradas o sintéticas.

Lo importante no es dónde se origina la innovación, sino quién controla los datos, los modelos y la toma de decisiones en tiempo real.

La soberanía se preserva cuando las empresas conservan la capacidad de gobernar, auditar y salir, sin quedar atrapadas en dependencias opacas o incontrolables.

La pregunta esencial

La IA se está convirtiendo rápidamente en un motor de decisiones más que en una herramienta de apoyo. A medida que crece su influencia, también lo hace la importancia del control.

Si una autoridad externa restringiera, inspeccionara o retirara el acceso a sus sistemas de IA, ¿tu empresa seguiría funcionando como estaba previsto?

Responder a esa pregunta ya no es opcional. Es fundamental para crear estrategias de TI empresariales resilientes, que cumplan la normativa y preparadas para el futuro.

¿Qué vendrá después?

En la siguiente parte de esta serie, exploraremos la soberanía de la ciberseguridad, donde el control sobre la identidad, la inteligencia sobre amenazas y la respuesta a incidentes determina si las empresas pueden defenderse realmente en un panorama digital cada vez más fragmentado.