El Vacío de Estrategia de IA: Por Qué «Usamos ChatGPT» No Es un Plan

Publicado el junio 25, 2026 por Simon Roses

Tiempo de lectura: 18 minutos

TL;DR

Un CEO le dice al consejo que la empresa está «totalmente volcada en la IA». Tres plantas más abajo, esto es lo que significa de verdad: marketing tiene funcionando un chatbot del que seguridad nunca ha oído hablar, finanzas acaba de pegar las cifras trimestrales en una cuenta personal de ChatGPT, un desarrollador conectó la semana pasada un agente autónomo a la base de datos de producción, y RR. HH. está preparando una lista de puestos que recortar porque «ahora lo hace la IA». Eso no es una estrategia. Es una suscripción disfrazada de estrategia.

Una estrategia de IA de verdad tiene un responsable, talento propio, una plantilla que amplificas en vez de despedir, datos limpios por debajo, políticas que se pueden hacer cumplir, un plan de infraestructura y visibilidad sobre cada modelo y cada agente de tu red. La mayoría de las empresas en 2026 no tienen casi nada de esto. Tienen adopción sin gobernanza, herramientas sin dueño y agentes que nadie vigila.

Los números lo confirman. Alrededor del 88% de las organizaciones ya usan IA en al menos una función de negocio, pero solo una de cada cuatro tiene un marco de gobernanza real. Aproximadamente tres de cada cuatro planean adoptar IA agéntica en dos años, mientras que solo una de cada cinco puede gobernar los agentes que ya ejecuta. El 49% de los empleados usa herramientas de IA que su empresa nunca aprobó. Y solo el 7% dice que sus datos están realmente listos para la IA.

Esa brecha entre lo que las empresas usan y lo que de verdad controlan es el vacío de estrategia de IA. En mi experiencia tiene siete agujeros recurrentes. Vamos a verlos.

Una aclaración por delante. No estoy en contra de la IA y no vengo a convencer a nadie de que no la use. Yo trabajo con agentes de IA todos los días. El problema no es que las empresas usen IA. El problema es que «usamos IA» ha pasado a significar «tenemos una estrategia de IA», y son dos cosas muy distintas, tan distintas como tener un coche y saber conducir.

Agujero nº1: Nadie es Dueño de la IA — Falta el CAIO

Haz esta prueba en tu propia organización. ¿Quién es responsable, con nombre y apellidos, de la estrategia de IA, del riesgo de IA y del retorno de la inversión en IA? Si la respuesta honesta es «bueno, IT y el CISO y aquel director de marketing llevan cada uno una parte», entonces nadie es responsable. La responsabilidad compartida de algo tan grande suele significar que no la tiene nadie.

Por eso el Chief AI Officer (CAIO) se ha convertido en el puesto que más rápido crece en la alta dirección. IBM encuestó a 2.000 directores generales de todo el mundo para su estudio de 2026 y descubrió que el 76% afirma tener ya un CAIO, frente a apenas un 26% un año antes. Heineken, WPP, Nike y CVS Health han creado el rol. El beneficio también aparece en los datos: las empresas con un CAIO tienen casi 3 veces más probabilidades de alcanzar la máxima madurez en IA (Futurum) y obtienen un retorno notablemente mayor de su gasto en IA (IBM).

Pero ese 76% adorna la foto. Entre las grandes empresas, solo alrededor de una de cada cuatro tiene un CAIO realmente dedicado. Muchas de las demás le dieron a alguien el título y nada más: un «Head of AI» sin presupuesto, sin voz en las compras y sin autoridad para cancelar un proyecto malo.

Un CAIO que no puede vetar un despliegue temerario no es un dueño de la estrategia. Es una nota de prensa.

Y lo importante no es el organigrama. Es que, sin una persona responsable, las decisiones de IA acaban en manos de quien se mueve primero, que normalmente es un departamento pagando una herramienta con la tarjeta de la empresa. Nadie mide la velocidad frente al riesgo, nadie conecta el gasto en IA con los resultados, y nadie tiene una respuesta de verdad cuando el consejo pregunta cuál es la exposición. Y se nota: solo alrededor del 32% de las organizaciones tiene algún proceso formal para medir si sus inversiones en IA funcionan siquiera. La mayoría está escalando algo que ni siquiera sabe puntuar.

Así que nombra a alguien de verdad. Dale autoridad sobre la estrategia, el presupuesto, el riesgo y las compras, no solo la parte bonita de la «innovación», y un mandato que cruce IT, seguridad, legal, datos y las unidades de negocio. Exígele resultados y una cifra, porque el objetivo nunca fue «usamos IA», sino «la IA movió estas cifras». Y si eres demasiado pequeño para un CAIO dedicado, no pasa nada, pero nombra igualmente al responsable. El problema es la dispersión de la responsabilidad, no la plantilla.

Agujero nº2: No Hay Expertos en Casa — ¿Dónde Está tu AI Red Team?

Un CAIO sin equipo es un general sin ejército. El segundo agujero es la ausencia casi total de talento de IA propio, y es peor en el lado de la seguridad.

Cuando CIO.com preguntó a los CIO qué frenaba la IA en la empresa en su encuesta State of the CIO de 2026, la respuesta más repetida, con un 40%, fue la falta de talento interno. Otra encuesta de contratación de 2026 encontró que el 91% de las organizaciones prioriza la contratación de perfiles con conocimientos de IA, y que los ingenieros de IA (39%) son el puesto más difícil de cubrir, justo por delante de los ingenieros de ciberseguridad (38%).

La mayoría de los roles que faltan apenas existían hace tres años:

  • El AI Red Team, cuyo trabajo es romper tus propios modelos antes de que lo haga otro: jailbreaks, prompt injection, extracción de modelos, envenenamiento de datos, manipulación de agentes. Los portales de empleo listaban más de 2.500 ofertas activas de AI/ML security engineer en marzo de 2026.
  • Ingenieros de seguridad de IA para blindar la cadena, desde el supply chain del modelo y los servidores MCP hasta los permisos de los agentes y los endpoints de inferencia. Cerca del 32% de las organizaciones que contrataron los incorporaron en 2026.
  • Especialistas en seguridad de AI/ML (34%) y analistas de gobernanza de IA (30%), las personas que convierten la política en controles reales y en la evidencia que pedirá un auditor.

El informe de plantilla de Accenture de 2026 lo afina: por primera vez, la brecha de competencias superó a la falta de personal como principal problema de la plantilla de seguridad. No es solo que no tengas suficiente gente. Es que la que tienes se formó para un mundo anterior a la IA. Un administrador de firewalls que jamás ha visto un ataque de prompt injection no es tu AI Red Team.

Y esto no va solo de los especialistas. La alfabetización en IA en toda la plantilla es ya la base, no un extra, y en la UE es literalmente la ley: la obligación de alfabetización en IA del Reglamento de IA está en vigor desde febrero de 2025. IBM calcula que más de la mitad de los empleados necesita reciclarse solo para seguir haciendo bien su trabajo actual en un mundo con IA. Una estrategia que forma a una pequeña élite y deja al resto buscándose la vida es justo cómo nace la Shadow AI.

Ya he escrito antes sobre el AI Agent Skill Poisoning y sobre cómo convertir las skills de agentes en armas. Esos ataques son invisibles para un equipo que no tiene a nadie que entienda cómo funcionan los agentes por dentro. No puedes defender un modelo de amenaza que nunca has estudiado.

Así que monta una función estable de pruebas adversariales, aunque sea pequeña o externalizada, en lugar de una auditoría anual. Recicla a la gente de seguridad que ya tienes en amenazas específicas de IA; el OWASP Top 10 para LLM y su trabajo sobre amenazas agénticas son puntos de partida gratuitos. Contrata para el rol real cuando contrates, un ingeniero de seguridad de IA o un analista de gobernanza, no «IA» pegado a una descripción de puesto genérica de IT. Y pon un programa de alfabetización en IA de verdad delante de todos los demás. Trata el talento propio como un control, no como un lujo. Es lo único que separa la promesa de un proveedor de tu realidad.

Agujero nº3: Despedir Gente en Vez de Amplificarla

Este es el agujero que se celebra como estrategia en las notas de prensa y se convierte en una recontratación silenciosa seis meses después.

En 2026, las empresas no solo adoptan IA: la usan como excusa para recortar personas. Según Challenger, Gray & Christmas, la IA se citó en 87.714 recortes de empleo en EE. UU. hasta mayo de 2026, alrededor del 22% de todos los despidos del año — ya más que los 54.836 atribuidos a la IA en todo 2025, y en mayo se había convertido en el motivo más citado para los recortes. Salesforce dice que sus agentes de IA gestionan ya cerca de la mitad de las interacciones con clientes y ha «reequilibrado» la plantilla en consecuencia; Block está pasando de unos 10.000 empleados a 6.000.

El problema es que buena parte de esto es una apuesta por lo que la IA podría hacer, no por lo que ha hecho. Una encuesta de Harvard Business Review de finales de 2025 encontró que la mayoría de los directivos que recortaban por motivos de IA lo hacían basándose en el potencial esperado de la tecnología, no en su rendimiento demostrado. Y la factura ya está llegando: Forrester halló que el 55% de los empleadores se arrepiente de sus despidos motivados por la IA, y Gartner espera que para 2027 la mitad de las empresas que recortaron plantilla señalando a la IA vuelva a contratar para puestos similares — a menudo con otro título, a veces con menos sueldo.

El caso de manual es Klarna. Sustituyó a unos 700 empleados de atención al cliente por un asistente construido con OpenAI y presumió de que la IA gestionaba dos tercios de todos los tickets de soporte. Después la calidad y la confianza de los clientes se desplomaron, y el CEO admitió que la empresa había «ido demasiado lejos». Klarna está volviendo a contratar humanos. La lección que sacó todo el mundo es la misma: la IA debe aumentar a las personas, no reemplazarlas.

Este es el argumento que defendí en AI Must Make Superhumans, Not Unemployed. Como dijo Jensen Huang, las empresas con imaginación usan la IA para hacer más con más; las que se han quedado sin ideas solo la usan para hacer lo mismo con menos. Despedir para fabricarte una «estrategia de IA» tira por la borda lo único que el modelo no tiene, el contexto de tu gente: quiénes son los clientes, por qué existe el proceso, dónde están los problemas enterrados. Combina ese contexto humano con la IA y obtienes algo que ninguno de los dos logra por separado. Quítalo y te queda una forma más rápida de producir errores seguros de sí mismos y sin responsable.

Para ser justos, esto no significa que la plantilla nunca cambie de forma legítima. Hay puestos que se transforman y algunos se reducen de verdad a medida que el trabajo se automatiza, y eso puede ser lo correcto. El error es tomar esa decisión apostando por lo que la IA podría hacer, antes de haber demostrado que puede, y tirar por la borda el contexto que tu gente ha tardado años en acumular.

Una estrategia de verdad aquí es explícita al respecto. Decide, en voz alta, que la IA está para multiplicar la producción de tu gente, no para adelgazar las filas. Reinvierte el tiempo que la IA libera en trabajo de más valor, en lugar de tratarlo solo como un coste que extraer. Mantén a humanos en el bucle en todo lo que toque a clientes, dinero o juicio. Y desconfía profundamente de cualquier plan de «reemplazamos el equipo por agentes» que no haya contabilizado la recontratación, la confianza perdida y el conocimiento institucional saliendo por la puerta.

Agujero nº4: No Hay Base de Datos (Data Foundation)

Cada uno de los agujeros anteriores se apoya en este, y es el que nadie quiere mirar porque no es vistoso.

La IA funciona con tus datos, y los datos de la mayoría de las empresas son un desastre. Según un informe de 2026 de Cloudera y Harvard Business Review Analytic Services, solo el 7% de las empresas dice que sus datos están completamente listos para la IA, y otras investigaciones lo dicen más claro: alrededor del 93% no tiene datos listos para IA, y solo en torno al 30% tiene una gobernanza de datos adecuada. Casi el 80% de las organizaciones dice que los problemas de acceso a los datos están frenando activamente su IA.

Por eso tanta IA no llega a salir del laboratorio. En torno al 80% de los proyectos de IA no llega a producción, casi el doble que los proyectos de IT normales, y Gartner espera que el 60% de los proyectos de IA sin datos listos para IA se abandone a lo largo de 2026. El modelo casi nunca es el problema. Lo es el dato que lo alimenta: fragmentado entre sistemas, sin documentar, sin gobernar, lleno de duplicados y huecos, e imposible de rastrear.

Hay también una dimensión de seguridad, y es la que muerde en silencio. Si no sabes dónde viven tus datos sensibles, no puedes mantenerlos fuera de los prompts. Cada fuga de Shadow AI y cada agente con permisos de más de los agujeros siguientes es, en el fondo, un fallo de gobernanza de datos. No puedes proteger lo que no has clasificado.

Una base de datos sólida no es glamurosa, pero es el trabajo que hace que todo lo demás dé fruto. Saber qué datos tienes y clasificarlos por sensibilidad. Arreglar la propiedad, la calidad y el linaje para poder responder «de dónde viene esto» sobre cualquier cosa que toque una IA. Ponerle controles de acceso y reglas de retención antes de apuntarle un modelo. Las empresas que obtienen retornos reales de la IA no suelen ser las de los modelos más ingeniosos. Son las que hicieron primero este trabajo aburrido.

Agujero nº5: No Hay Políticas de IA — Uso, Privacidad y la Lista Negra Que Falta

Este es el agujero más barato de cerrar y el que más a menudo se deja abierto.

Los números no animan. Solo el 38% de las empresas estadounidenses ha publicado una política de IA. Casi un tercio no tiene ninguna política de gobernanza de IA, y otra cuarta parte sigue «implementándola». El 78% de los directivos no confía con firmeza en poder superar una auditoría independiente de gobernanza de IA en 90 días (Grant Thornton, 2026). En el lado de la seguridad es aún peor: según los datos de Salesforce de 2026, el 67% de los empleados ya usa IA en el trabajo, pero solo el 18% de las organizaciones tiene una política formal de seguridad de IA.

Un marco de políticas real no es un memorándum de una página pidiendo «ser responsables». Es un puñado de documentos que se pueden hacer cumplir de verdad:

  • Una política de uso aceptable que diga qué herramientas están aprobadas, para qué y en qué condiciones. Cursor para prototipar, vale. Pegar código fuente en una cuenta personal de ChatGPT, no.
  • Una política de datos y privacidad que nombre las clases de datos que jamás deben tocar un sistema de IA: PII de clientes, datos de salud, información financiera, secretos, cualquier cosa regulada. Esto es lo que evita que tus datos de clientes y tu código fuente se filtren a herramientas cualquiera.
  • Una lista de herramientas aprobadas y una lista negra. Casi todo el mundo olvida la lista negra. Necesitas una lista explícita y mantenida de herramientas y modelos prohibidos: las apps de consumo sin validar, las que tienen condiciones hostiles de retención de datos, las extensiones de navegador que se comunican a escondidas, cualquier cosa autoalojada sin autenticación. Una lista negra le da a tu DLP y a tu proxy algo concreto que bloquear.
  • Gobernanza de proveedores y modelos que cubra residencia de datos, retención, el derecho a auditar y si tus datos entrenan su modelo.
  • Gestión de incidentes y excepciones: cómo se solicita una herramienta nueva y qué pasa cuando alguien se salta las reglas.

Si operas en Europa o vendes a Europa, una parte de esto ya no es opcional. El Reglamento de IA de la UE (AI Act) ya está parcialmente en vigor: las prohibiciones de ciertas prácticas y el deber de alfabetización en IA aplican desde febrero de 2025, las normas para modelos de IA de propósito general desde agosto de 2025, y una fecha de cumplimiento importante cae el 2 de agosto de 2026, con multas de hasta el 7% de la facturación global para las peores infracciones. Las obligaciones de alto riesgo se aplazaron a finales de 2027 y a 2028 con el Digital Omnibus, pero «ya lo veremos» no es un plan cuando los relojes de la alfabetización y la transparencia ya están corriendo.

Y no es solo Bruselas. Los Estados miembros están añadiendo sus propias leyes nacionales por encima. España, sin ir más lejos, aprobó en mayo de 2026 el Proyecto de Ley Orgánica para el Buen Uso y la Gobernanza de la IA, que ahora avanza por el Parlamento. Refuerza las normas de la UE con un régimen sancionador propio (hasta 35 millones de euros o el 7% de la facturación global), la obligación de etiquetar deepfakes y contenido generado por IA, y un supervisor nacional, la AESIA, con sede en A Coruña, que tiene plenas potestades sancionadoras desde agosto de 2025 y opera un sandbox regulatorio al que las empresas pueden solicitar acceso. Estados Unidos, en cambio, no tiene una ley federal única, sino un mosaico de leyes estatales que se multiplica a toda velocidad. La conclusión práctica: «¿qué leyes de IA nos aplican, en cada mercado en el que operamos?» es ya una pregunta que tu estrategia tiene que responder, no una hipótesis que aparcar para más adelante.

Aquí está la trampa de la política por sí sola: el 46% de los usuarios de Shadow AI dice que seguiría usando sus herramientas aunque la empresa las prohibiera expresamente. Una política que vive en un PDF que nadie lee es teatro. Para que sirva, hay que cablearla en los proxies, el DLP, el SSO y los controles de consentimiento OAuth. Escribe las políticas básicas, mantenlas cortas y concretas, conecta cada regla a un control que la haga cumplir, mantén la lista negra como un documento vivo y dale a la gente una vía rápida al «sí», porque cuando la aprobación tarda tres semanas, te esquivan.

Agujero nº6: No Hay Estrategia de Hardware — IA Local y Soberana

La mayoría de las «estrategias de IA» tienen forma de API. Todo corre en las GPU de otro, en la jurisdicción de otro y bajo las condiciones de otro. Eso vale para una demo. Para datos regulados, propiedad intelectual y riesgo geopolítico es una vulnerabilidad, y significa que no hay ningún plan de infraestructura.

Esta la aprendí por las malas. Cuando Anthropic bloqueó el uso de las suscripciones de Claude en agentes de terceros a principios de este año, todo mi montaje de agentes quedó de repente a merced de una decisión de precios en la que yo no había pintado nada. La solución fue ser dueño de una parte mayor de mi propia infraestructura. La misma lógica escala: si toda tu capacidad de IA puede apagarse o encarecerse por decisión de un proveedor un viernes por la tarde, eso no es una estrategia, es una dependencia.

2026 es el año en que la IA soberana y local dejó de ser cosa de nicho, y el dinero lo deja claro. McKinsey ya dimensiona la IA soberana como un mercado de 500.000 a 600.000 millones de dólares para 2030. Los propios ingresos de IA soberana de NVIDIA se triplicaron con creces hasta superar los 30.000 millones en el ejercicio fiscal 2026. El gasto europeo en infraestructura de nube soberana se prevé en torno a 12.600 millones de dólares este año, un salto del 83%, además de los 20.000 millones de euros destinados a gigafábricas de IA dentro del impulso más amplio de 200.000 millones de InvestAI. Gartner hasta acuñó una palabra para la migración inversa, geopatriación: sacar datos y cargas de trabajo de las nubes públicas globales y devolverlos a entornos locales o soberanos para gestionar el riesgo regulatorio y geopolítico.

El argumento para ser dueño de parte de tu propio cómputo se reduce a cuatro cosas. La residencia de datos y el cumplimiento se vuelven más fáciles cuando los datos nunca salen de tus paredes ni de tu jurisdicción. Tus prompts, tus ajustes finos y tus modelos propietarios siguen siendo tuyos en lugar de acabar en el set de entrenamiento de un tercero. Los costes se convierten en un capex predecible para cargas estables y de alto volumen, en lugar de un opex por token que sube con el uso. Y dejas de estar a una caída, una subida de precio o un cambio de política de quedarte sin capacidad de IA de un día para otro.

Pero aquí hay un filo afilado. Hacer esto sin estrategia es exactamente como se crea el lío de Shadow AI de la siguiente sección. Un equipo de investigación que se compra un NVIDIA DGX Spark de 4.000 dólares, lo enchufa a la red y ejecuta Ollama escuchando en 0.0.0.0 sin autenticación no ha construido IA soberana. Ha construido una superficie de ataque expuesta. En febrero de 2026, los investigadores encontraron más de 10.000 instancias de Ollama accesibles desde internet abierto, una de cada cuatro con una versión vulnerable, y muchas de ellas alojando modelos corporativos privados. La IA local hecha a propósito es un activo. La IA local hecha en la sombra es una brecha esperando su fecha de divulgación.

Así que decide tus niveles a conciencia: qué cargas pueden ir en model-as-a-service público, cuáles necesitan una nube soberana o regional y cuáles tienen que correr on-premise, en función de lo sensibles que sean los datos. Planifica un recorrido largo, porque estas migraciones tardan de tres a cuatro años, y la parte lenta es organizativa, no técnica. Haz pasar todo el hardware de IA por compras, con aprobación de IT, segmentación de red y un escaneo de seguridad antes de que toque la red. Y protege los modelos privados como la propiedad intelectual que son.

Agujero nº7: No Hay Visibilidad Agéntica — La Shadow AI Que No Ves

No puedes gobernar lo que no ves, y con los agentes la mayoría de las empresas van a ciegas.

Entré a fondo en la mecánica de esto en Las Dos Amenazas Gemelas en la Sombra: Cuando Shadow AI y Vibe Coding Se Descontrolan en Tu Red, la convergencia de infraestructura de IA no autorizada (Shadow AI) y aplicaciones creadas por IA sin revisar (Shadow Vibe Coding). En resumen: modelos invisibles masticando tus datos más sensibles, aplicaciones sin validar llenas de fallos y ningún registro con el que reconstruir nada. Las organizaciones con un uso intenso de Shadow AI afrontan costes de brecha de media de 4,63 millones de dólares, unos 670.000 más por incidente que las que lo mantienen bajo control.

Pon agentes autónomos encima de eso y el problema de visibilidad empeora mucho. Según la investigación de Strata de 2026 sobre identidad de agentes, cerca del 80% de las organizaciones que ejecutan IA autónoma no pueden decirte en tiempo real qué están haciendo esos sistemas ni quién es responsable de ellos. Solo el 21% mantiene un inventario en tiempo real de los agentes activos, y solo el 28% puede rastrear las acciones de un agente hasta un responsable humano. La mayoría sigue autenticando a los agentes con claves de API compartidas; apenas el 22% los trata como identidades distintas. Y el dato que más me alarma: una amplia mayoría de directivos confía en que sus políticas actuales cubren las acciones no autorizadas de los agentes, mientras que sobre el terreno más de la mitad de los agentes desplegados funcionan sin ninguna supervisión de seguridad ni registro.

Ese contraste es el problema entero en miniatura. La dirección cree que hay una estrategia. La red dice lo contrario. Gartner espera que, para finales de 2027, más del 40% de los proyectos de IA agéntica se cancelen, a menudo porque los problemas de gobernanza solo salen a la luz después de que algo ya se ha roto en producción.

Conviene recordar qué es de verdad un agente: software que actúa en tu nombre. Lee datos, llama a APIs, mueve dinero, escribe y despliega código y, cada vez más, habla con otros agentes, normalmente con credenciales permanentes y poca supervisión. Un agente que no ves, que no puedes inventariar y que no puedes rastrear hasta un dueño es, en la práctica, un empleado con acceso a los sistemas y sin jefe.

La salida empieza por el descubrimiento, no por la política. Saca los dominios de IA de tus logs de DNS y proxy, revisa los consentimientos de apps OAuth en Entra ID y Google Workspace, escanea en busca de puertos de IA expuestos (11434 para Ollama, 1234 para LM Studio) y lanza una encuesta anónima para averiguar qué usa la gente de verdad. Luego construye un inventario vivo de agentes donde cada uno tenga identidad propia, dueño, permisos acotados y registro, y retira las claves compartidas. Haz que cada acción de un agente sea rastreable hasta un responsable humano, porque las auditorías y la respuesta a incidentes dependen de ello. Y aplica el mínimo privilegio y la monitorización a estas identidades no humanas igual que harías con tu personal, porque están actuando en tu nombre.

«¿Pero Esto No Nos Va a Frenar?»

Es la objeción que más oigo, normalmente de quien ahora mismo está pagando herramientas de IA con la tarjeta de la empresa. Merece tomarse en serio, porque el miedo es real: la gobernanza puede convertirse perfectamente en un comité que dice que no a todo y no entrega nada.

Pero los datos apuntan en sentido contrario. En la encuesta de Grant Thornton de 2026, las organizaciones con IA plenamente integrada y bien gobernada eran las más seguras de poder superar una auditoría y obtenían mejores retornos, no peores. No es casualidad. La gobernanza es lo que te permite decir que sí rápido y con seguridad, porque hay una lista de herramientas aprobadas, una política de datos y un responsable que puede decidir. Las empresas que se sienten «frenadas» por la gobernanza suelen ser las que se la pegan encima después de un incidente, como limpieza, en vez de construirla desde el principio como un carril rápido.

Velocidad y control no son opuestos aquí. La marcha atrás de Klarna, los proyectos de IA abandonados, las divulgaciones de brechas: eso es lo que te frena. Una estrategia es cómo vas rápido sin estrellarte contra el muro.

El Patrón: Adopción Sin Estrategia

Da un paso atrás y los siete agujeros son en realidad un mismo fallo con siete disfraces:

Lo que las empresas tienen Lo que exige una estrategia
Licencias de ChatGPT y Copilot Un responsable con nombre que rinda cuentas del riesgo y el ROI de la IA (CAIO)
Promesas de proveedores Talento propio, un AI Red Team capaz de verificarlas
Notas de prensa de despidos Una plantilla amplificada por la IA, no reemplazada por ella
Datos dispersos en silos Una base de datos gobernada y lista para IA
Un memorándum de «ser responsables» Políticas de uso, privacidad y lista negra que se hacen cumplir
Todo en las GPU de otro Un plan deliberado de infraestructura local y soberana
Confianza en que está «controlado» Visibilidad en tiempo real de cada modelo y cada agente

El hilo conductor es que cerca de nueve de cada diez empresas han adoptado IA mientras que solo una de cada cuatro ha construido la gobernanza que le corresponde. Compraron la herramienta y se saltaron la estrategia.

Nada de esto va contra la IA. Si acaso, va a favor. La IA es demasiado potente y está demasiado metida en el trabajo regulado como para seguir gestionándola como lo hace hoy la mayoría: a salto de mata, sin dueño, sin monitorizar y sin documentar. Las empresas que ganen esta década no serán las que adoptaron más rápido. Serán las que la gobernaron lo bastante bien como para escalarla con seguridad.

Por Dónde Empezar

Siete agujeros son muchos a la vez, así que no intentes taparlos todos de golpe. El orden importa más que la velocidad.

  1. Nombra al responsable. Nada más se ordena hasta que alguien rinde cuentas. La primera semana, no el próximo trimestre.
  2. Descubre lo que ya tienes. Antes de escribir una sola política, encuentra la Shadow AI: revisa los logs de DNS y proxy, los consentimientos OAuth, escanea puertos de IA expuestos y lanza una encuesta anónima. Gobiernas la realidad, no un deseo.
  3. Escribe las políticas y conéctalas a controles. Uso aceptable, datos y privacidad, lista negra. Cortas, concretas, aplicadas y conscientes del AI Act si Europa entra en juego.
  4. Arregla la base de datos en paralelo. Clasifica y gobierna los datos que tocarán tus modelos. Esto es lento, así que empiézalo pronto y déjalo correr junto a todo lo demás.
  5. Construye el talento y la alfabetización. Un pequeño red team, personal de seguridad con criterio en IA y un programa de alfabetización para todos los demás.
  6. Planifica la infraestructura. Decide tus niveles público/soberano/on-premise y pon bajo control las compras de hardware.
  7. Consigue visibilidad de agentes y mantenla. Un inventario vivo, identidades distintas, trazabilidad hasta un humano. Esto no «termina» nunca.

Y por debajo de todo: trata la IA como una forma de hacer superhumana a tu gente, no de hacerla prescindible. Eso es una postura, no un proyecto, y tiñe cada decisión de arriba.

En Resumen

«Usamos ChatGPT» responde a la pregunta equivocada. La de verdad es si puedes nombrar quién es el dueño de tu IA, demostrar que está haciendo mejor a tu gente en vez de simplemente reducirla, y sacar un inventario en vivo de cada modelo y cada agente de tu red. Si no puedes responder a eso, no tienes una estrategia de IA. Tienes una suscripción de IA y un montón de riesgo que crece en silencio.

La buena noticia es que ninguno de estos siete agujeros es exótico. Son el trabajo poco glamuroso y perfectamente factible de la gobernanza, y las empresas que lo hacen son las que seguirán en pie cuando la primera oleada de incidentes de gobernanza de IA llegue a los titulares.

La aplicación montada en veinte minutos, el agente que nadie inventarió, el equipo despedido en favor de un bot que se recontrata en silencio seis meses después: esas son las historias con moraleja del mañana. La estrategia es lo que mantiene a tu empresa fuera de la próxima.

Lecturas Adicionales:

Esta entrada fue publicada en AI, Economia, IA, Privacidad, Seguridad, Tecnologia y etiquetada , , , , , . Guarda el enlace permanente.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.