La inteligencia artificial en la empresa: un asunto de seguridad económica antes que un asunto tecnológico

La inteligencia artificial se ha impuesto en pocos meses como una herramienta central de transformación de las organizaciones. Automatización de tareas, aceleración de los procesos de decisión, ayuda a la redacción, análisis de datos complejos: las promesas son numerosas y, para muchas empresas, ya concretas. Esta adopción rápida se ha visto, no obstante, acompañada de un fenómeno más discreto, pero potencialmente mucho más estructurante: el uso de herramientas de IA sin un verdadero marco de gobernanza, sin un control claro de los flujos de datos y, en ocasiones, sin una conciencia real de las implicaciones en materia de seguridad y soberanía.

Es en este contexto donde una nota reciente de la Dirección General de la Seguridad Interior (DGSI), difundida en particular por Le Figaro, ha llamado la atención. La inteligencia interior francesa, habitualmente asociada a la lucha contra el terrorismo o las injerencias extranjeras, ha considerado necesario alertar a las empresas sobre los riesgos que representa un uso no controlado de la IA. Una señal fuerte. Porque cuando la DGSI se pronuncia sobre un tema, no es para comentar una tendencia tecnológica, sino para señalar un asunto que atañe a la seguridad económica nacional.

Esta toma de posición marca una evolución importante: la inteligencia artificial ya no es solo una herramienta de rendimiento, se convierte en un asunto estratégico, al mismo nivel que la protección del patrimonio informacional, la soberanía digital o la competitividad de las empresas francesas.

Una alerta institucional sobre la pérdida de control

En su nota, la DGSI reconoce plenamente las ganancias de productividad y las oportunidades que ofrece la IA. No cuestiona el interés de estas tecnologías, pero subraya las posibles derivas cuando su uso escapa a cualquier marco. Entre los ejemplos citados figuran prácticas hoy muy extendidas: empleados que copian y pegan documentos internos en herramientas de IA de gran público, sin validación jerárquica, a veces sin siquiera medir la sensibilidad de la información transmitida.

El riesgo es entonces doble. Por un lado, los datos salen del entorno seguro de la empresa para ser tratados por infraestructuras externas, a menudo situadas fuera de la Unión Europea. Por otro lado, pueden ser almacenados, analizados e incluso reutilizados según modalidades que escapan totalmente al control de la organización. Algunas plataformas precisan que los datos pueden servir para mejorar sus modelos; otras permanecen deliberadamente vagas. En todos los casos, la empresa pierde el control de lo que confía.

La DGSI también alerta sobre otra deriva: la dependencia decisoria. En uno de los casos mencionados, una empresa se apoyaba exclusivamente en una IA para evaluar a sus socios comerciales y orientar sus elecciones estratégicas, sin realizar ninguna verificación complementaria. Esta situación ilustra un deslizamiento progresivo, pero preocupante, en el que la herramienta de ayuda a la decisión se convierte en un sustituto del análisis humano. Ahora bien, como recuerda la nota, la IA no produce verdades, sino resultados estadísticamente plausibles. Puede equivocarse, alucinar, producir información falsa o incompleta, a veces con un alto nivel de credibilidad aparente.

Por último, la DGSI menciona el aumento de los usos maliciosos de la IA, en particular los «deepfakes», capaces de imitar una voz o una apariencia con un realismo tal que hacen que ciertos intentos de fraude sean casi indetectables. En este contexto, la IA se convierte no solo en una herramienta productiva, sino también en un vector potencial de manipulación, de injerencia y de atentado contra la integridad de las empresas.

El verdadero reto: la soberanía de los datos

Lo que revela esta alerta, más allá de los ejemplos concretos, es un problema más profundo: la IA está convirtiéndose en una capa estratégica del sistema de información de las empresas, sin que estas hayan replanteado siempre su gobernanza de datos en consecuencia.

Históricamente, las empresas han aprendido a proteger sus servidores, sus redes y sus bases de datos. Saben dónde se almacena su información, quién accede a ella y en qué condiciones. La IA, en cambio, introduce un nuevo tipo de flujo: los datos ya no solo se almacenan o se intercambian, sino que se ingieren, se analizan, se reformulan y, en ocasiones, se integran en modelos cuyo funcionamiento interno es opaco.

Utilizar una IA pública equivale, por tanto, a delegar una parte del tratamiento de su información estratégica en un tercero, sin disponer siempre de una visión clara sobre:
• la ubicación exacta de los servidores,
• la duración de conservación de los datos,
• su posible reutilización,
• las legislaciones aplicables, en particular las leyes extraterritoriales.

Para una empresa, esto no constituye únicamente un riesgo jurídico o reglamentario. Es un reto de competitividad. Los datos internos, los documentos contractuales, las estrategias comerciales, las respuestas a licitaciones o los métodos de trabajo constituyen un patrimonio inmaterial cuyo valor es considerable. Exponerlos, incluso involuntariamente, es debilitar su posición en su mercado.

La IA y las licitaciones: un caso de uso crítico tanto para los compradores como para los licitadores

Las licitaciones constituyen uno de los ámbitos más sensibles al uso de la inteligencia artificial, ya que concentran información estratégica para el conjunto de las partes interesadas. El riesgo no se limita a las empresas que responden a las convocatorias. Afecta igualmente a los compradores públicos y privados que las emiten y las evalúan.

Del lado del comprador, un expediente de licitación contiene elementos especialmente sensibles:
• necesidades operativas a veces confidenciales,
• orientaciones estratégicas,
• limitaciones presupuestarias,
• criterios de evaluación internos,
• arbitrajes organizativos y técnicos.

El uso de una IA no segura para analizar, reformular o estructurar estos documentos puede exponer información que depende directamente de la estrategia de compras y de la política industrial de la organización. En algunos sectores, estos datos pueden tener un valor económico, competitivo e incluso geopolítico.

Del lado del licitador, los riesgos son igual de elevados. Una respuesta a una licitación revela:
• la estructura de costes,
• la estrategia de posicionamiento,
• los métodos de producción o de prestación,
• la organización interna,
• los elementos diferenciadores de la empresa.

Confiar estos datos a una IA pública equivale a exponer la esencia misma de su ventaja competitiva. Esto puede debilitar la competitividad de la empresa, pero también poner en entredicho la lealtad y la equidad del procedimiento. En ambos casos, el reto es el mismo: la IA se convierte en un punto de concentración del riesgo informacional. No solo trata datos administrativos, sino elementos que condicionan directamente las decisiones económicas, contractuales y estratégicas.

Aplicar la IA a las licitaciones sin una arquitectura segura equivale, por tanto, a trasladar un proceso crítico a un entorno del que la empresa no controla ni las reglas, ni las infraestructuras, ni los posibles usos secundarios. Esto es precisamente lo que hace que este caso de uso sea especialmente sensible, y lo que justifica una exigencia de seguridad más elevada que para la mayoría de las demás aplicaciones de la IA en la empresa. 

Una respuesta tecnológica alineada con los requisitos de seguridad

Es precisamente para responder a estos retos que algunas soluciones se han diseñado desde el origen en torno a una exigencia de soberanía y control. En Specgen, la seguridad de los datos nunca se ha concebido como una funcionalidad opcional, sino como una condición previa para cualquier uso de la IA en el ámbito de las licitaciones. Se proponen dos modelos de despliegue.

El primero se basa en instalaciones totalmente on-premises. En este caso, el conjunto de la plataforma y de los modelos de IA se despliega en los servidores del cliente. La IA funciona en intranet, sin ninguna comunicación con el exterior. Los datos permanecen física y lógicamente bajo el control exclusivo de la empresa. Este modelo responde a los requisitos más estrictos en materia de confidencialidad, en particular para las organizaciones sujetas a elevadas restricciones regulatorias o que manejan información altamente sensible.

El segundo modelo se apoya en una nube privada altamente segura. La infraestructura está dedicada, el alojamiento está controlado, los datos nunca se utilizan para entrenar los modelos y la arquitectura está diseñada para cumplir los estándares de seguridad esperados por instituciones como la ANSSI. No se trata de un acceso a una IA pública, sino de un entorno controlado, enmarcado contractualmente y aislado técnicamente. En ambos casos, la lógica es la misma: ninguna dependencia de las IA de gran público, ninguna puesta en común no controlada de los datos, ninguna opacidad sobre los tratamientos.

A ello se añade un principio fundamental de diseño: la ausencia de «piloto automático». La IA nunca actúa de manera autónoma. Asiste, analiza, propone, pero la decisión sigue siendo humana. Este enfoque garantiza que la herramienta refuerce la pericia de los equipos sin sustituirla jamás.

Cambiar la mirada sobre la inteligencia artificial

La alerta de la DGSI no debe interpretarse como un cuestionamiento de la IA. Constituye, por el contrario, una invitación a replantear su uso. La inteligencia artificial no es intrínsecamente peligrosa ni intrínsecamente virtuosa. Todo depende de la arquitectura elegida, del marco de gobernanza establecido y del nivel de control que conserve la empresa.

A largo plazo, la verdadera línea divisoria no se establecerá entre las empresas que utilizan la IA y las que no la utilizan, sino entre las que la usan sin soberanía y las que la integran en una estrategia controlada. La primera categoría se expone a riesgos crecientes. La segunda convierte la IA en una ventaja competitiva sostenible. Este cambio de perspectiva es esencial. Permite salir de una visión binaria que opone innovación y seguridad. El reto no es frenar la innovación, sino inscribirla en un marco que proteja los intereses económicos, la confidencialidad de los datos y la soberanía digital de las empresas francesas.

En este contexto, la IA no debe ser un factor de dependencia. Debe convertirse en una herramienta estratégica, elegida, gobernada y controlada.