La inteligencia artificial (IA) generativa es un avance que ha llamado la atención de los gobiernos, el público y los líderes empresariales. Pero plantea desafíos únicos a los profesionales encargados de gestionar las amenazas existentes y potenciales de la IA generativa. En este episodio del pódcast Inside the Strategy Room, Ida Kristensen, colíder de la Práctica de Riesgo y Resiliencia de McKinsey, y Oliver Bevan, líder de gestión de riesgos empresariales, hablan con Sean Brown, director global de marketing y comunicaciones de la Práctica de Estrategia y Finanzas Corporativas, sobre las formas en que los líderes empresariales deberían abordar el impacto de esta tecnología en rápida evolución.
Esta es una transcripción editada de la conversación. Para más debates sobre las cuestiones de estrategia que importan, siga la serie en su plataforma de pódcast preferida.
Sean Brown: Dado lo reciente que es esta tecnología, es asombrosa la evolución que hemos visto y la cantidad de desarrollo e implementación. Pero, como ocurre con todas las nuevas tecnologías, existen riesgos, y quizá más con esta que con otras. Ida, ¿encuentra que sus clientes están adoptando ampliamente la IA generativa?
Ida Kristensen: Vemos que los primeros usuarios están increíblemente entusiasmados. También vemos a muchos que son bastante escépticos y dicen: “Tal vez esperaremos a que pase esto”. En McKinsey, somos de los que dicen: “La IA generativa llegó para quedarse. Ofrece oportunidades estratégicas increíbles en todas las industrias y en casi todos los aspectos de lo que hacen las empresas”.
Más perspectivas de McKinsey en Español
Mire nuestra colección de artículos en Español y suscríbase a nuestro newsletter mensual en Español.
Hay un camino para extraer beneficios asombrosos. También creemos que la idea de esperar a que esto pase no es factible. Esto se está convirtiendo en un imperativo estratégico. Dado que estamos hablando de esto desde una perspectiva de riesgo, otra forma de decir lo mismo es que hay un riesgo estratégico sustancial asociado con no lanzarse al agua.
Dicho esto, existen algunos riesgos reales asociados al despliegue de la IA generativa. Para que una organización tenga éxito, requiere una estrategia tanto defensiva como ofensiva.
Sean Brown: Entonces, Oliver, considerando todos estos riesgos, ¿cuáles son las dinámicas regulatorias que deben tener en cuenta las empresas?
Oliver Bevan: Es importante comprender cómo las distintas jurisdicciones están adoptando enfoques diferentes a la hora de pensar en los riesgos de la IA generativa y cómo quieren gobernarlos y enfocar su gestión general.
Esto es muy diferente de lo que vimos en los primeros días de la privacidad de los datos. Con la privacidad de los datos, existía la sensación de que el Reglamento General de Protección de Datos (RGPD) (General Data Protection Regulation, o GDPR)1 realmente marcaba el camino. Muchos de nuestros clientes habían adaptado sus marcos iniciales de privacidad de los datos al RGPD y luego pensaron en adaptarlos globalmente utilizando el RGPD como base.
Vimos mucha legislación que seguía los pasos del RGPD. Parte de lo que estaba sucediendo en California también se basaba directamente en el RGPD. Nuestra sensación es que será mucho más complicado hacerlo con la IA generativa.
También está claro para gran parte del sector público cuánto valor está en juego y cuánto puede afectar directamente la IA a los ciudadanos. Obviamente, los riesgos abarcan la privacidad de los datos, la ciberseguridad y el consentimiento en torno a los deepfakes, que pueden tener un impacto significativo en las elecciones y otros eventos de cara al público.
Por eso, muchos actores públicos han adoptado un enfoque mucho más frontal a la hora de pensar en la IA generativa y, a su vez, en las respuestas que deben tener las organizaciones. Esto es especialmente cierto si se opera en múltiples jurisdicciones y se piensa en cambios normativos. Adaptar e incorporar estas respuestas en su enfoque será increíblemente importante.
Sean Brown: ¿En qué se diferencian los riesgos y el panorama regulatorio entre la IA generativa y otros avances de la IA, incluido el aprendizaje automático?
Oliver Bevan: Mi punto de vista es que la IA analítica, el desarrollo de la IA detrás del aprendizaje automático antes de la adopción de la IA generativa, está básicamente anclada en dos lugares principales.
Uno es la privacidad de los datos, es decir, las consideraciones en torno a: “¿Cómo utilizan los datos estos modelos? ¿Cómo se combinan los datos para realizar análisis sintéticos o aumentar el potencial de resultados?”.
El segundo se refiere a cuestiones relacionadas con la equidad en la estructura del modelo. Por desgracia, todos somos conscientes de que estos modelos tienden a tener resultados muy diferentes, dependiendo de si se trata de diferentes tonos de piel o diferentes géneros. La IA analítica suscitó muchas preocupaciones, especialmente en Estados Unidos, en torno a la legislación sobre vivienda justa y la optimización de las decisiones crediticias en los servicios financieros.
Ahora, cada vez hay más conciencia de los retos que plantea la “explicabilidad” (explainability), por ejemplo.
Obviamente, existe la posibilidad de que se produzcan deepfakes y el uso malicioso de la IA generativa, ya que la tecnología puede crear facsímiles convincentes y realistas de identidades individuales o corporativas, lo que causa enormes riesgos para la reputación y desafíos también para los gobiernos.
Ida Kristensen: Es una evolución rápida, pero sigue siendo una evolución de los riesgos que existen desde hace mucho tiempo, con un par de giros.
Está el aspecto de la equidad: en la mayoría de los sectores, parte de la solución ha sido crear una transparencia real sobre el funcionamiento de un modelo. Si tienes un modelo analítico más tradicional, lo regules o no, puedes explicar exactamente lo que ha pasado. Esa es parte de la razón por la que uno debería sentirse cómodo con el modelo.
Con la IA generativa es un juego muy diferente, porque la “explicabilidad” de estos modelos, seamos sinceros, no está a la altura. Si bien los riesgos pueden ser los mismos, será muy interesante ver cómo las diferentes empresas y reguladores se sienten cómodos con algo que no se puede abrir y diseccionar, donde tenemos que confiar en otros indicadores para sentirnos cómodos con la equidad.
Sean Brown: ¿Ven algún área común en la que los gobiernos y los reguladores se estén centrando en términos de riesgo? ¿O se trata principalmente de la “explicabilidad”?
Oliver Bevan: La más importante es una comprensión más profunda de cómo funcionan estos modelos y cómo estos actores van a tener confianza en que los modelos están produciendo resultados que pueden explicarse de alguna manera.
La “explicabilidad” es un reto fundamental con los modelos de IA generativa, al igual que el abastecimiento. Ahora se debate mucho sobre las marcas de agua en la IA generativa. ¿Se puede distinguir si algo ha sido generado por la IA o por nuestro proceso creativo tradicional?
Eso desemboca en desafíos de propiedad intelectual. Sospecho que, dado el gran número de elecciones que se avecinan, el sector público prestará mucha atención a esas dinámicas. También es increíblemente importante pensar en la confianza del público en estos sistemas y en su disposición a utilizarlos y participar en ellos.
Ida Kristensen: A nadie le sorprenderá que digamos que aún es pronto para la regulación. Esperamos mucho más, incluida la regulación sectorial específica para las industrias reguladas. No hay duda de que los servicios financieros se enfrentarán además a una regulación más específica. Así que pensar en temas es la forma correcta de hacerlo. Intentar optimizar lo que ya existe será una estrategia muy efímera.
Sean Brown: Para las empresas que llevan tiempo en esto, ¿qué principios están siguiendo para asegurarse de que utilizan la IA generativa de manera segura?
Ida Kristensen: En primer lugar, no hay que dejar que las máquinas actúen por su cuenta. Siempre hay un aspecto humano implicado. Hay que utilizar los resultados de los modelos como aportación a la toma de decisiones humanas, no como decisión final.
La buena noticia es que la IA generativa facilita bastante la realización de muchas pruebas rápidas de equidad. La IA generativa puede ser una verdadera fuente de beneficios, también en lo que respecta a la implantación de sólidas capacidades de gestión de riesgos. Quizá el mayor cambio con respecto a los programas de IA responsable en los que ya han estado trabajando la mayoría de las organizaciones sea la transparencia y la “explicabilidad” de las que ya hablamos, y luego el seguimiento y la evaluación.
Vigilar la evolución de la IA generativa a lo largo del tiempo es algo muy distinto. Por lo tanto, vemos que clientes con los que trabajamos invierten en el monitoreo de la IA generativa y preguntan: “OK, ¿cuáles son los detalles y controles adicionales que podemos poner en marcha para sentirnos cómodos con lo que resulta?”.
Sean Brown: ¿Hay otros riesgos? ¿Y cómo deberían pensar las empresas sobre toda la gama de riesgos que pueden surgir con la IA generativa?
Ida Kristensen: Aspectos relacionados con la privacidad y la calidad de los datos. Una de las cosas que hicimos en McKinsey, por ejemplo, fue crear una red [base de datos] de todos nuestros conocimientos patentados [y más] y usarla como datos de entrenamiento para algunas de nuestras aplicaciones. Eso significa que controlamos la calidad de los datos que ingresan y eso nos da mucha tranquilidad.
El uso malicioso ha acaparado más titulares debido a los deepfakes y las estafas. Pensemos, por ejemplo, en un actor malicioso que se haga pasar por usted y escriba un correo electrónico pidiendo a su tío que le transfiera $1,000 dólares mañana. Pueden escribir esos correos electrónicos y traducirlos a todos los idiomas. Todos hemos tomado conciencia de nuestro riesgo personal y nos hemos acostumbrado a recibir correos electrónicos no deseados (spam). Solía haber señales reveladoras, ¿verdad? Mala gramática, lenguaje inadecuado y cosas que simplemente no tenían sentido. Pero ahora es mucho más fácil crear spam de alta calidad utilizando IA generativa.
Finalmente, existe el riesgo estratégico y el riesgo de terceros. El riesgo estratégico tiene que ver con dónde jugamos y cómo nos situamos competitivamente, pero también tiene todos los aspectos del impacto social más amplio. Todos sabemos que la IA generativa utiliza bastante potencia computacional. ¿Cómo encaja eso con nuestros compromisos ASG [ambientales, sociales y de gobernanza]? También hay efectos más amplios sobre el empleo.
¿Cómo afecta a la fuerza laboral? ¿Qué piensa de su compromiso con sus empleados y del cambio que supondrá la IA generativa? Como ya hemos dicho, no se trata de una tecnología que vaya a eliminar puestos de trabajo netos, pero sí que va a cambiarlos de forma drástica.
Son preguntas reales con las que hay que lidiar.
Sean Brown: Ahora, si he entendido bien, lo que usted pone en sus consultas puede alimentar el modelo. ¿Eso significa que hay que vigilar lo que preguntan los empleados a la IA generativa?
Ida Kristensen: Sí, es potencialmente aterrador, ¿verdad? Cualquier instrucción (prompt) respondida también pasa a formar parte de ese conjunto de datos. Así que la mayoría de las empresas deberían preocuparse por lo que hacen sus empleados.
Hay que educar a los empleados. No se puede simplemente confiar en las reglas. Hay que asegurarse de que los empleados comprendan las consecuencias de cualquier prompt que introduzcan en un sistema.
Sean Brown: Me gustaría hablar un poco más sobre cómo debería ser el modelo de enfoque de gestión de riesgos para cubrir todos estos nuevos riesgos. ¿Cómo asesoran a sus clientes sobre esto?
Oliver Bevan: Básicamente tenemos cuatro categorías. La primera son los principios y las barreras de seguridad. La segunda son los marcos. La tercera es el despliegue y la gobernanza. Y la cuarta es la mitigación y el seguimiento de riesgos.
En cuanto a los principios y las barreras de seguridad, es increíblemente importante tener una conversación honesta como equipo ejecutivo sobre cómo y dónde se quiere utilizar la IA generativa, mientras se piensa en segmentar los casos de uso.
Algunos ejemplos que suelen surgir son consideraciones sobre el grado en que se desea utilizar la IA generativa para personalizar el marketing; por ejemplo, el grado en que desea que la IA generativa se utilice en las evaluaciones de desempeño o en la interacción directa con sus empleados.
En cuanto a los marcos, Ida ya habló de la taxonomía, así que no voy a entrar en eso, salvo para señalar que hay diferentes tipos de riesgos de la IA generativa y diferentes maneras de pensar en ellos. Tener algo que funcione para su organización es increíblemente valioso, porque le ayudará a comunicar a sus empleados cómo deberían pensar al respecto.
En cuanto a la identificación de riesgos, hay que saber a qué tipos de riesgos se va a enfrentar. Lo que hacen muchos de nuestros clientes es empezar con casos de uso de menor riesgo y más fáciles de implementar. Eso les da tiempo para experimentar con las normas de gobernanza que establecen. Les da tiempo para pasar los casos de uso por algo así como una evaluación de riesgos para comprender los tipos típicos de riesgos a los que están expuestos a partir de los casos de uso.
Sean Brown: Me gustaría entender un poco mejor cómo deberían abordar las empresas la mitigación de los riesgos externos. Tomemos como ejemplo las amenazas a la seguridad: ¿qué tipo de medidas deberían poner en marcha?
Ida Kristensen: Es una combinación de técnicas de gestión de riesgos de eficacia probada, que se basan en lo que ya existe, potenciando algunas de ellas y añadiendo algunas herramientas más a los trucos.
Los empleados realmente tienen que entender los riesgos básicos de la IA generativa para estar alertas e identificar y detectar cuándo ocurren cosas.
La seguridad es un área en la que hay que combatir la IA generativa con IA generativa. La mayoría de las organizaciones ahora lo analizan realmente y dicen: “¿Cómo utilizamos las herramientas de IA generativa para turboalimentar nuestra ciberdefensa, turboalimentar la forma en que hacemos las “pruebas pin” (pin testing), la forma en que pensamos acerca de las diferentes capas de nuestra seguridad, y asegurarnos de que nuestro tiempo de detección es mucho más rápido?”. El tiempo de detección tendrá que ser más rápido, y el tiempo desde la detección hasta el cierre de las cosas tendrá que ser más rápido. Eso será muy importante.
Sean Brown: Ida, usted mencionó que podemos usar la IA para luchar contra la IA. ¿Cómo se podría utilizar la IA generativa para encontrar deepfakes, por ejemplo? Puedo imaginarme un correo electrónico que parece y se lee como si viniera del CEO, indicándonos que hagamos ciertas cosas. Esto empieza a parecer algo que podría verse en una película.
Ida Kristensen: Una parte implicará hacer cambios en los procesos. Como mencioné, se podría decir: “Oye, estábamos acostumbrados a que, si una petición llega a través de un correo electrónico, simplemente vas y lo haces”. Ya no. Si le dejan un mensaje de voz, la política de la empresa es que nunca actúe sobre ese mensaje a menos de que llame a alguien y obtenga su confirmación.
Hay controles y supervisión que se podrían poner en marcha, pero —y este es un gran tema de lo que estamos hablando hoy— nunca serán suficientes. Seamos honestos. Los controles siempre tienen que ir de la mano de la concienciación de nuestros empleados. Debe asegurarse de tener gente que diga: “Eso es un poco raro. Ese tipo nunca me deja mensajes de voz”.
La gestión de riesgos es tarea de todos. Tiene que incrustarse en el tejido y la cultura de cómo trabajamos juntos.
Sean Brown: ¿Cuáles son las prácticas típicas que ven que adoptan los clientes a medida que amplían el uso interno de la IA?
Oliver Bevan: Que dependen en exceso de un pequeño grupo de expertos. Obviamente, al principio, cuando se crean casos de uso, las capacidades internas pueden ser limitadas. También habrá un grupo de acólitos o personas muy entusiasmadas que querrán dedicar gran parte de su tiempo a la IA generativa. Ese pequeño grupo de expertos se verá abrumado rápidamente a medida que se amplíe la IA generativa. Va a crear mucha fricción, mucha frustración, y va a ralentizarlo todo.
Confiar únicamente en los proveedores tampoco es algo que recomendemos, francamente, ni siquiera en las primeras etapas. Existe una gran variación en cuanto a lo que hacen los grandes proveedores de modelos de lenguaje y otros ecosistemas de terceros. Hay que asumir la responsabilidad de la diligencia en la IA generativa, y hay que pensar en lo que se puede hacer internamente más allá de lo que ofrecen como soluciones de seguridad listas para usar. Del mismo modo, contar simplemente con estrategias técnicas de mitigación no suele ser suficiente.
Todavía estamos aprendiendo mucho sobre cómo funcionan los diferentes controles y mitigaciones. Por eso es necesaria cierta superposición de factores humanos, como la presencia de una persona en el bucle. Hay que integrar los grupos de riesgo y desarrollo lo antes posible. Dada la evolución y la dinámica de la IA generativa, hay que ser consciente de que evolucionará y cambiará con el tiempo, y de que es necesario disponer de medios para seguir esa evolución con vistas a una ampliación exitosa y sostenible.
Sean Brown: ¿Alguna reflexión final antes de terminar?
Ida Kristensen: Sí. Si al hablar del riesgo hemos dado la impresión de ser catastrofistas, pedimos disculpas. En mi opinión, es la idea clásica de construir mejores frenos para ir más rápido. De eso se trata. Además, digamos que soy una experimentada practicante en materia de riesgos.
También estoy increíblemente entusiasmada con la idea de girar a la izquierda. Es algo de lo que hemos hablado durante muchos años y que ha sido difícil de poner en práctica. Ahora tenemos suficiente valor en juego como para que empecemos a ver una colaboración más fluida, de forma ágil, entre el riesgo y el desarrollo de la IA generativa. Así que, sí, liberaremos todo este potencial de la tecnología, pero esperemos que también lo hagamos bien en términos de trabajar juntos e integrar el riesgo mucho antes, lo que haría muy feliz a una vieja profesional como yo.