Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > Los organismos reguladores ya no preguntan si tienes una política de IA. Ahora quieren pruebas de que funciona.

Los organismos reguladores ya no preguntan si tienes una política de IA. Ahora quieren pruebas de que funciona.

by Danielle Barbour updated febrero 26, 2026 Gestión de Riesgos de Ciberseguridad
Reading Time: 13 minutes

El International AI Safety Report 2026 se presenta como una evaluación científica para respaldar la toma de decisiones políticas. Analiza lo que la IA de propósito general puede hacer hoy, los riesgos emergentes que plantea y los enfoques existentes para la administración de riesgos. No es una regulación. No es una directiva. Es algo potencialmente más relevante: la base de evidencia que los reguladores de múltiples jurisdicciones usarán para decidir qué exigir a continuación.

Si lo lees desde la perspectiva de delitos corporativos —como hizo Hogan Lovells en un análisis reciente— el informe señala tres problemas prácticos que toda organización debe enfrentar. Es más fácil que nunca defraudar a una empresa. Es más difícil que nunca comprobar si algo es real. Y no está claro quién puede ser considerado responsable cuando ocurre un daño.

Esa combinación —barreras más bajas para el fraude, confianza deteriorada en las comunicaciones y responsabilidad incierta— crea un entorno regulatorio y de cumplimiento donde las organizaciones no pueden permitirse tratar la gobernanza de IA solo como un ejercicio de políticas. Los reguladores van más allá de preguntar si existen marcos de gobernanza. Empiezan a preguntar si esos marcos se aplican, si los controles se prueban y si las organizaciones pueden aportar evidencia de que sus sistemas de IA no procesan datos que no deberían o no toman decisiones que no les corresponden.

La propia evaluación del informe sobre la administración de riesgos actual es directa: las medidas actuales no previenen daños de manera confiable y la evidencia de su efectividad en condiciones reales sigue siendo limitada. Para las organizaciones que implementan IA en áreas de alto riesgo, el mensaje es claro. La distancia entre la política y la prueba es donde reside la exposición regulatoria.

5 conclusiones clave

  1. La IA ha hecho que el fraude sea más barato, rápido y difícil de atribuir que nunca en la historia. El International AI Safety Report 2026 concluye que la IA de propósito general está haciendo que el fraude, la suplantación de identidad y las intrusiones cibernéticas sean más baratos, rápidos y difíciles de rastrear. Las protecciones actuales no previenen daños de forma confiable. Investigaciones citadas en el informe sugieren que los oyentes confunden voces generadas por IA con voces reales el 80% del tiempo. Ya se han utilizado voces clonadas para convencer a víctimas de transferir dinero aprovechando procesos de aprobación basados en la confianza. La barrera de entrada para el fraude corporativo prácticamente ha desaparecido.
  2. El contenido sintético está rompiendo los controles basados en la confianza de los que dependen las organizaciones. Voz, video y correo electrónico ya no pueden considerarse confiables para acciones de alto riesgo. Una solicitud sintética creíble de un «ejecutivo» para mover fondos, cambiar datos bancarios de proveedores, omitir pasos de aprobación, restablecer credenciales o compartir información confidencial requiere casi ninguna habilidad técnica para producirse. El informe señala que soluciones técnicas como marcas de agua y etiquetas ayudan, pero actores hábiles pueden eliminarlas y es difícil identificar el origen de los deepfakes. Los controles en los que confía la mayoría de las organizaciones —la voz al teléfono, la cara en la videollamada, el nombre en el correo— ahora pueden ser explotados a gran escala.
  3. Los reguladores quieren marcos de gobernanza documentados —no solo políticas de IA en papel. El informe dedica más de la mitad de su extensión a prácticas de administración de riesgos y señala que los reguladores esperarán cada vez más que las organizaciones gestionen los riesgos de IA mediante marcos de gobernanza documentados, evaluaciones de riesgos y controles que aborden explícitamente la integridad de los datos y el uso indebido. Los esfuerzos de gobernanza se multiplican —la Ley de IA de la UE, el Proceso de Hiroshima del G7, marcos de seguridad para desarrolladores— pero la propia evaluación del informe es cautelosa: la evidencia sobre la efectividad real de la mayoría de las medidas de administración de riesgos sigue siendo limitada. La distancia entre tener un documento de gobernanza y demostrar que la gobernanza es operativa es donde reside la exposición regulatoria.
  4. La IA genera riesgo de delitos corporativos desde dentro, no solo desde fuera. El riesgo de delitos corporativos no se limita a atacantes externos. Empleados, agentes y otras personas asociadas pueden usar IA para generar falsificaciones creíbles, fabricar documentos de respaldo y dificultar el seguimiento de auditoría. En el Reino Unido, esto se relaciona directamente con el delito de no prevenir el fraude, vigente desde septiembre de 2025 para grandes organizaciones. Los métodos habilitados por IA —solicitudes de aprobación falsas, documentación fabricada, comunicaciones sintéticas de alto volumen— ahora deben incluirse en las evaluaciones de riesgos de fraude, programas de capacitación y procedimientos de prevención.
  5. La defensa en profundidad no es opcional —es la recomendación central del informe. El informe enfatiza que ninguna protección individual es confiable frente a amenazas habilitadas por IA. Recomienda defensa en profundidad: múltiples capas de protecciones independientes para que, si una falla, otras sigan previniendo daños. Para las organizaciones, esto significa aprobaciones duales, devoluciones de llamada a números conocidos, fricción para beneficiarios nuevos o modificados, verificación fuera de banda para acciones de alto riesgo y ensayos de respuesta a incidentes de IA que pongan a prueba la autenticidad, la toma rápida de decisiones de cierre y la preservación de evidencia. La resiliencia, no la prevención, es el modelo operativo.

El contenido sintético ha roto el modelo de confianza en el que dependen los controles antifraude

El informe destaca incidentes dañinos relacionados con contenido generado por IA, especialmente suplantación de audio y video. Cita investigaciones que sugieren que los oyentes confunden voces generadas por IA con voces reales el 80% del tiempo. Describe casos donde voces clonadas se usaron para explotar procesos de aprobación basados en la confianza y convencer a víctimas de transferir fondos.

Para las empresas, las implicaciones son inmediatas y concretas. Una llamada de voz de un CFO autorizando una transferencia urgente. Una videoconferencia con un proveedor confirmando cambios bancarios. Un correo de un miembro del consejo solicitando documentos confidenciales. Cada uno de estos escenarios ha sido explotado usando contenido sintético. Todos dependían de la confianza de la víctima en la identidad aparente de quien hacía la solicitud.

El informe señala los límites de las contramedidas técnicas. Las marcas de agua y etiquetas pueden ayudar, pero actores hábiles pueden eliminarlas. Identificar el origen de los deepfakes es difícil. Existen herramientas de detección, pero no son lo suficientemente confiables como para ser la defensa principal. La implicación práctica: las organizaciones no pueden confiar en detectar contenido sintético después de recibirlo. Necesitan controles que asuman que las comunicaciones pueden no ser auténticas y requieran verificación independiente antes de ejecutar acciones de alto riesgo.

Esto implica tratar voz, video y correo electrónico como canales no confiables para pagos, cambios de proveedor, restablecimiento de credenciales y aprobaciones urgentes. Implica requerir verificación fuera de banda a través de un canal separado y preestablecido. Implica introducir fricción en los procesos que los atacantes aprovechan por su rapidez. El modelo de confianza sobre el que se construyen la mayoría de los controles antifraude —que una voz o rostro reconocido es suficiente autorización— ya no es viable.

Confías en que tu organización es segura. Pero ¿puedes comprobarlo?

Lee ahora

Las operaciones cibernéticas se están convirtiendo en un commodity — incluso sin autonomía total

El informe dedica una atención considerable al uso de IA en ciberataques, señalando que los desarrolladores informan cada vez más sobre el uso indebido de sus sistemas en operaciones cibernéticas y que los mercados ilícitos venden herramientas fáciles de usar que reducen los requisitos de habilidad de los atacantes.

El informe es cuidadoso en no exagerar. No se han confirmado ciberataques completamente autónomos de extremo a extremo. Es difícil comprobar si el aumento de incidentes reales se debe específicamente a la IA. Pero el punto práctico es más importante que el teórico: los ataques combinados son cada vez más fáciles. Contenido sintético para obtener acceso inicial o autorización, combinado con explotación y persistencia asistidas por IA. El atacante no necesita autonomía total. Solo necesita suficiente automatización para que cada etapa sea más rápida y barata.

El informe ofrece una nota de optimismo mesurada: aún está por verse si las mejoras futuras beneficiarán más a atacantes o defensores. Pero esa ventaja solo se materializará donde las organizaciones implementen IA de forma efectiva en seguridad y detección de fraudes. Las organizaciones que inviertan en defensa potenciada por IA estarán mejor posicionadas que aquellas que enfrenten ataques potenciados por IA con herramientas tradicionales. Las que esperen descubrirán que la asimetría se ha ampliado en su contra.

Para los equipos de cumplimiento, la discusión sobre operaciones cibernéticas refuerza un punto específico: los sistemas de IA que procesan grandes volúmenes de datos organizacionales generan nuevos retos de cumplimiento. Cuando las herramientas de IA se usan en operaciones de seguridad —monitoreando tráfico de red, analizando registros, detectando anomalías— procesan datos que pueden incluir información personal identificable, información de salud protegida y datos financieros regulados. El marco de gobernanza de IA debe contemplar estos flujos de datos, no solo las decisiones que toma la IA.

El riesgo de delitos corporativos que viene desde dentro de la organización

El hallazgo más subestimado del informe para audiencias corporativas es este: la IA genera riesgo de delitos corporativos desde dentro, no solo desde fuera. Empleados, agentes y otras personas asociadas pueden usar IA de propósito general para crear documentos falsos creíbles, fabricar solicitudes de aprobación, generar comunicaciones sintéticas y dificultar el seguimiento de auditoría.

En el Reino Unido, esto se relaciona directamente con el delito de no prevenir el fraude, vigente desde el 1 de septiembre de 2025 para grandes organizaciones. El delito se centra en si la organización tenía procedimientos de prevención razonables cuando una persona asociada comete delitos de fraude específicos con la intención de beneficiar a la organización o a sus clientes. Los métodos habilitados por IA —solicitudes de aprobación falsas, documentación de respaldo fabricada, comunicaciones sintéticas de alto volumen— ahora deben abordarse explícitamente en cualquier evaluación de riesgos de fraude, programa de capacitación y procedimiento de prevención.

La discusión del informe sobre el sesgo de automatización añade otra dimensión. Cuando los equipos se apoyan en los resultados asistidos por IA incluso cuando son incorrectos, la organización corre el riesgo de tomar decisiones y emitir declaraciones que son más difíciles de evidenciar y defender. Esto incluye declaraciones a reguladores, representaciones contractuales y relaciones con contrapartes. El seguimiento de auditoría para una decisión asistida por IA puede no capturar el razonamiento, los datos de entrada ni el grado en que se aplicó realmente el juicio humano frente a una simple ratificación. Cuando un regulador o contraparte pregunte después cómo se tomó una decisión, la ausencia de esa documentación genera exposición.

Las organizaciones necesitan infraestructura de auditoría que capture no solo lo que hicieron los sistemas de IA, sino qué datos accedieron, qué resultados produjeron y qué acciones tomaron los humanos a partir de esos resultados. Sin este nivel de documentación, la diferencia entre una decisión tomada por un humano con asistencia de IA y una decisión tomada por IA con aprobación humana se vuelve imposible de demostrar.

La gobernanza de IA requiere gobernanza de datos —y registros de auditoría para demostrarlo

El análisis de administración de riesgos del informe lleva a una conclusión que las organizaciones que implementan IA no pueden evitar: los marcos de gobernanza de IA solo son creíbles si cuentan con la infraestructura de gobernanza de datos detrás.

Cuando un regulador pregunta cómo sabe una organización que su IA no procesa datos que no debe, la respuesta no puede ser un documento de políticas. Debe ser un registro de auditoría que muestre qué datos accedió la IA, cuándo, bajo qué autorización y qué acciones se tomaron. Cuando un regulador pregunta si los sistemas de IA cumplen con obligaciones de protección de datos, la respuesta debe incluir evidencia de la aplicación de políticas —no solo evidencia de que existen políticas.

Este requisito se cruza con múltiples marcos regulatorios al mismo tiempo. Bajo el GDPR, los sistemas de IA que procesan datos personales deben cumplir con el Artículo 22 sobre decisiones automatizadas, el Artículo 28 sobre obligaciones de los procesadores, el Artículo 30 sobre registros de actividades de tratamiento y los Artículos 44 al 50 sobre transferencias internacionales. Bajo la Ley HIPAA, los sistemas de IA que acceden a información de salud protegida deben operar bajo los requisitos de la Security Rule para la revisión de actividad de sistemas de información. Bajo regímenes de prevención de lavado de dinero y sanciones, los sistemas de IA usados para detección de delitos financieros deben demostrar que operan dentro de parámetros aprobados.

La infraestructura operativa para cumplir estos requisitos incluye registros de auditoría integrales que registran cada interacción de la IA con datos empresariales —marcas de tiempo, IDs de usuario, clasificaciones de datos, acciones realizadas. Incluye sistemas de clasificación de datos que aplican políticas de acceso automáticamente, para que los agentes de IA no accedan a categorías de datos no autorizadas. Incluye detección de anomalías que alerta cuando los sistemas de IA muestran patrones inusuales de acceso a datos y alertas automatizadas con rutas de escalamiento para asegurar que los incidentes lleguen a las personas adecuadas.

Sin esta infraestructura, los marcos de gobernanza de IA siguen siendo aspiracionales. Con ella, las organizaciones pueden demostrar a los reguladores que los controles se aplican, que los flujos de datos están documentados y que la gobernanza es operativa —no solo estructural. Kiteworks AI Data Gateway y Private Data Network proporcionan exactamente esta capa: gobiernan qué datos pueden acceder los sistemas de IA, registran cada interacción y generan la evidencia lista para reguladores que los documentos de políticas por sí solos no pueden aportar.

Defensa en profundidad: el modelo operativo del informe para el riesgo de IA

La recomendación central del informe es la defensa en profundidad —múltiples capas de protecciones para que, si una falla, otras sigan previniendo daños. No es un concepto nuevo en arquitectura de seguridad, pero el informe lo aplica específicamente al riesgo de IA de una forma que tiene implicaciones directas sobre cómo las organizaciones estructuran sus controles.

Para la prevención de fraude, la defensa en profundidad implica verificación independiente en varias etapas. Aprobaciones duales para transacciones de alto valor. Devoluciones de llamada a números preestablecidos, no a los proporcionados en la comunicación sospechosa. Fricción para beneficiarios nuevos o modificados que obligue a pasos adicionales de verificación. Demoras que impidan que los atacantes exploten la urgencia. Cada capa opera de forma independiente, así que comprometer una no compromete la cadena.

Para la gobernanza de datos, la defensa en profundidad implica controles en la capa de datos, la capa de aplicación y la capa de red. Clasificación de datos que restringe lo que pueden acceder los sistemas de IA. Controles de acceso que aplican principios de mínimo privilegio con verificación continua. Registros de auditoría que documentan cada interacción. Detección de anomalías que identifica desviaciones de los patrones establecidos. Y procedimientos de respuesta a incidentes que han sido ensayados, no solo documentados.

El informe también enfatiza la construcción de resiliencia social —la capacidad de los sistemas para resistir, absorber, recuperarse y adaptarse a impactos y daños. Para las organizaciones, esto se traduce en preparación para la respuesta a incidentes. ¿Quién lidera la respuesta cuando se usa contenido sintético para ejecutar un fraude? ¿Quién tiene autoridad para pausar o cerrar sistemas afectados? ¿Cómo comunicará la organización externamente sobre el incidente? ¿Cómo se preservará la evidencia para procedimientos regulatorios y legales? Estas preguntas no pueden responderse durante el incidente. Deben responderse antes.

Qué deben hacer las organizaciones ahora

El International AI Safety Report 2026 está dirigido a responsables políticos, pero sus implicaciones corporativas son inmediatas. Esto es lo que exigen los hallazgos del informe a las organizaciones que implementan o están expuestas a la IA.

Trata la voz, el video y el correo electrónico como canales no confiables para acciones de alto riesgo. Pagos, cambios de proveedor, restablecimiento de credenciales y aprobaciones urgentes deben requerir verificación fuera de banda a través de un canal separado y preestablecido. El modelo de confianza basado en reconocer una voz o un rostro está roto. Crea procedimientos de verificación que asuman que las comunicaciones pueden ser sintéticas.

Construye defensa en profundidad con protecciones independientes y en capas. Aprobaciones duales, devoluciones de llamada a números conocidos, fricción para beneficiarios nuevos o modificados, demoras para transacciones de alto valor. Cada capa debe operar de forma independiente para que comprometer una no comprometa las demás. Extiende este enfoque a la gobernanza de datos: controles de acceso basados en clasificación, verificación continua, registros de auditoría integrales y detección de anomalías.

Actualiza las evaluaciones de riesgos de fraude y los procedimientos de prevención para cubrir métodos habilitados por IA. Medios sintéticos, fabricación de documentos, uso indebido interno de herramientas de IA y sesgo de automatización deben abordarse explícitamente. Para organizaciones del Reino Unido, esto es un requisito legal bajo el delito de no prevenir el fraude. Extiende la evaluación a terceros clave y proveedores.

Construye marcos de gobernanza de IA respaldados por infraestructura de auditoría operativa. Los documentos de políticas por sí solos no satisfacen las expectativas regulatorias emergentes. Las organizaciones necesitan registros de auditoría integrales que registren qué datos acceden los sistemas de IA, cuándo, bajo qué autorización y qué acciones se toman. La clasificación de datos debe aplicar políticas de acceso automáticamente. La detección de anomalías debe alertar sobre patrones no autorizados. Los informes de cumplimiento deben ser exportables y listos para reguladores.

Ejecuta escenarios de respuesta a incidentes de IA antes de necesitarlos. Ensaya la autenticidad disputada —qué ocurre cuando no puedes determinar si una comunicación es real. Ensaya decisiones rápidas de cierre —quién tiene autoridad para pausar sistemas de IA y bajo qué condiciones. Ensaya la preservación de evidencia —cómo documentarás el incidente para procedimientos regulatorios y legales. El momento de responder estas preguntas es antes de que ocurra el incidente.

Pon a prueba la responsabilidad en los contratos con proveedores de IA. El informe destaca la incertidumbre sobre la asignación de responsabilidad porque los daños pueden ser difíciles de rastrear a decisiones de diseño específicas y las responsabilidades se distribuyen entre varios actores. Supón que la remediación por parte de proveedores de IA puede ser lenta o imposible. Los contratos deben especificar obligaciones de procesamiento de datos, requisitos de notificación de incidentes, derechos de auditoría y condiciones de terminación. Los marcos de gobernanza deben incluir supervisión de IA de terceros con el mismo rigor que se aplica a los sistemas internos.

La barrera para el fraude ha colapsado. La barrera para el cumplimiento no.

El International AI Safety Report 2026 transmite un mensaje incómodo por su claridad: la IA de propósito general significa que la barrera de entrada para el fraude y el engaño es más baja que nunca. El contenido sintético está rompiendo los controles basados en la confianza en los que las organizaciones han confiado durante décadas. Las operaciones cibernéticas se están convirtiendo en un commodity. El uso indebido interno es cada vez más difícil de detectar. Y las protecciones actuales no previenen daños de forma confiable.

Al mismo tiempo, las expectativas regulatorias aumentan. Los marcos de gobernanza deben estar documentados. Las evaluaciones de riesgos deben abordar amenazas específicas de IA. Los controles deben probarse y evidenciarse. La intersección del riesgo de IA con la protección de datos, delitos financieros y regímenes de responsabilidad corporativa significa que la gobernanza de IA no es un ejercicio aislado. Es una obligación de cumplimiento que afecta a todos los marcos bajo los que ya opera la organización.

Las organizaciones que tomen este informe como una señal —construyendo infraestructura de gobernanza operativa, implementando defensa en profundidad, creando registros de auditoría que demuestren que los controles funcionan y ensayando la respuesta a incidentes antes de que sea necesaria— estarán en posición de demostrar la debida diligencia cuando los reguladores hagan las preguntas que el informe busca impulsar.

Las organizaciones que lo traten como otro ejercicio de redacción de políticas descubrirán que la distancia entre sus documentos de gobernanza y su realidad operativa es exactamente donde las acciones de cumplimiento encuentran su fundamento.

Para descubrir cómo Kiteworks puede ayudarte, agenda una demo personalizada hoy.

Preguntas frecuentes

La clonación de voz con IA requiere solo una breve muestra de audio —a menudo extraída de fuentes públicas como llamadas de resultados, grabaciones de conferencias o videos de LinkedIn— para generar una voz sintética lo suficientemente convincente que, según investigaciones citadas en el International AI Safety Report 2026, los oyentes confunden con voces reales el 80% del tiempo. Los atacantes usan esto para suplantar a ejecutivos, proveedores o miembros del consejo en llamadas o videoconferencias solicitando transferencias urgentes, cambios de datos bancarios de proveedores o restablecimientos de credenciales. El ataque explota tanto el modelo de confianza (la víctima cree reconocer la voz) como el modelo de urgencia (la rapidez impide la verificación). Las defensas efectivas no intentan detectar el contenido sintético —asumen que cualquier comunicación no verificada podría ser sintética. Para acciones de alto riesgo, las organizaciones necesitan verificación fuera de banda a través de un canal preestablecido, aprobaciones duales que requieran autorización independiente y controles de fricción —demoras, devoluciones de llamada a números conocidos, autenticación reforzada— que rompan la urgencia de la que depende el ataque.

El delito de no prevenir el fraude, vigente desde el 1 de septiembre de 2025 para grandes organizaciones, genera responsabilidad cuando una persona asociada —empleado, agente, contratista o filial— comete un delito de fraude específico con la intención de beneficiar a la organización o a sus clientes, y la organización no tenía procedimientos de prevención razonables. En la era de la IA, los «procedimientos de prevención razonables» deben abordar explícitamente métodos habilitados por IA: medios sintéticos usados para falsificar comunicaciones ejecutivas, documentación falsa generada por IA para respaldar transacciones fraudulentas, comunicaciones automatizadas de alto volumen diseñadas para saturar procesos de aprobación y uso interno de herramientas de IA para dificultar el seguimiento de auditoría. Una evaluación de riesgos de fraude que no contemple estos vectores —y programas de capacitación que no los cubran— no cumplirán con el estándar de «razonable». Las organizaciones también deben extender la evaluación a terceros que actúan en su nombre, ya que la responsabilidad por personas asociadas va más allá de los empleados directos.

El sesgo de automatización es la tendencia documentada a confiar en los resultados generados por IA sin el suficiente análisis crítico —aceptando las recomendaciones de la IA como correctas en vez de usarlas como un insumo entre varios. En entornos regulados, esto genera una brecha específica de responsabilidad: cuando una decisión es cuestionada por un regulador o contraparte, la organización debe demostrar que la decisión reflejó un juicio humano genuino, no una simple aprobación de la IA. Un registro de auditoría que solo recoja el resultado de la IA y la decisión final —sin capturar los datos de entrada a los que accedió la IA, los pasos de revisión humana y el razonamiento aplicado— no puede demostrarlo. Bajo el Artículo 22 del GDPR, las decisiones con efectos legales o significativos que involucren procesamiento automatizado deben cumplir requisitos específicos, incluida la supervisión humana. Bajo HIPAA y marcos de delitos financieros, la revisión de actividad de sistemas de información exige evidencia de controles operativos, no solo compromisos procedimentales. Las organizaciones necesitan infraestructura de auditoría que registre toda la cadena de decisión —qué datos accedió la IA, qué resultado produjo, qué revisión humana ocurrió y qué acción se tomó— para cerrar la brecha de responsabilidad que genera el sesgo de automatización.

Los sistemas de IA que procesan datos personales están sujetos al menos a cuatro obligaciones del GDPR que generan requisitos directos de registro de auditoría. El Artículo 22 exige que las decisiones basadas únicamente en procesamiento automatizado con efectos significativos sobre las personas incluyan supervisión humana, con documentación de que esta supervisión realmente ocurrió. El Artículo 28 exige acuerdos con proveedores de IA que especifiquen los fines del procesamiento de datos, requisitos de seguridad y controles sobre subprocesadores —el registro de auditoría debe confirmar que estos límites se respetan en la práctica. El Artículo 30 exige registros de actividades de tratamiento que documenten qué datos personales acceden los sistemas de IA, para qué propósito y cuánto tiempo se retienen. Los Artículos 44 a 50 regulan las transferencias internacionales, exigiendo evidencia de que los datos personales procesados por sistemas de IA no se transfieren a jurisdicciones sin protecciones adecuadas. Se requiere una Evaluación de Impacto de Protección de Datos para procesos de IA que probablemente impliquen alto riesgo. En conjunto, estas obligaciones exigen infraestructura de auditoría que registre qué datos personales accede cada sistema de IA, cuándo, bajo qué autorización y a dónde fluyen —no solo qué decisiones tomó la IA.

El International AI Safety Report 2026 resalta un problema estructural de responsabilidad: los daños por IA suelen ser difíciles de rastrear a decisiones de diseño específicas y la responsabilidad se distribuye entre desarrolladores, implementadores y usuarios. Esto crea exposición contractual para organizaciones que asumen que la remediación del proveedor estará disponible, será oportuna y suficiente. Los contratos con proveedores de IA deben especificar cuatro aspectos que los hallazgos del informe hacen esenciales. Primero, obligaciones de procesamiento de datos: exactamente qué datos puede acceder la IA, para qué propósito, bajo qué controles de seguridad y si pueden usarse para entrenar modelos posteriores. Segundo, notificación de incidentes: plazos y rutas de escalamiento específicos cuando el sistema de IA procesa datos fuera de los límites autorizados o genera resultados que crean exposición legal. Tercero, derechos de auditoría: el derecho de la organización a revisar registros de qué datos accedió la IA y qué acciones tomó —sin esto, no puede demostrarse el cumplimiento con GDPR, HIPAA y marcos de delitos financieros. Cuarto, condiciones de terminación: situaciones definidas —incumplimiento regulatorio, incidentes de seguridad, desviaciones en el comportamiento del modelo— bajo las cuales la organización puede rescindir el contrato sin penalización. Los marcos de administración de riesgos de terceros que se aplican a proveedores tradicionales deben extenderse con el mismo rigor a los sistemas de IA.

Recursos adicionales

  • Artículo del Blog Arquitectura Zero Trust: Nunca confíes, siempre verifica
  • Video Microsoft GCC High: Desventajas que impulsan a contratistas de defensa hacia ventajas más inteligentes
  • Artículo del Blog Cómo proteger datos clasificados una vez que DSPM los identifica
  • Artículo del Blog Cómo generar confianza en la IA generativa con un enfoque Zero Trust
  • Video Guía definitiva para el almacenamiento seguro de datos sensibles para líderes de TI

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks