Esta semana he recibido la llamada que siempre me incomoda: "Carlos, nos han pedido documentación sobre nuestros sistemas de IA y no sabemos ni qué tenemos ni cómo clasificarlos. ¿Nos pueden multar?"
La respuesta corta: sí. Y podría suponer el fin de tu negocio.
En Delbion llevamos más de 20 años auditando sistemas y, en el último año, el patrón se repite: empresas que han adoptado la IA a toda velocidad (ChatGPT para atención al cliente, automatizaciones de machine learning, analítica predictiva...) pero que no tienen ni idea de los riesgos de ciberseguridad que están asumiendo.
Y lo que es peor: tampoco saben que la Ley de IA europea (AI Act) ya está aquí, con sanciones de hasta 35 millones de euros.
¿Te suena? Sigue leyendo.
3 riesgos de IA que vemos en la mayoría de auditorías:
Tu persona de RR.HH. acaba de subir 50 currículums a ChatGPT
Hace dos meses audité una empresa que estaba usando IA generativa para "agilizar procesos". Suena bien, ¿verdad?
Hasta que descubrimos que el equipo de RR.HH. estaba copiando currículums completos en ChatGPT para generar resúmenes. Contratos confidenciales en herramientas de IA para redactar correos electrónicos. Datos de ventas en plataformas gratuitas para hacer informes.
El problema: ninguna de esas herramientas tenía un contrato DPA (Acuerdo de procesamiento de datos), y los datos estaban siendo utilizados para entrenar modelos de terceros.
Resultado: posible incumplimiento del RGPD. Si alguno de esos datos se filtra o se usa de forma indebida, la responsable es la empresa.
Shadow AI: el departamento de marketing instaló 3 complementos de IA sin avisar a TI
¿Recuerdas cuando hablábamos de la "Shadow IT"? Esos sistemas que los departamentos implantan sin que TI se entere.
Ahora añadimos un nuevo nivel: la Shadow AI.
Extensiones de navegador con IA integrada. Plugins de Chrome para escritura automática. APIs de terceros conectadas al CRM o al ERP sin revisión de seguridad.
En mi última auditoría encontramos 7 herramientas de IA de las que nadie en TI tenía constancia. Siete. Y algunas tenían vulnerabilidades conocidas de prompt injection (básicamente, manipular las instrucciones de la IA para que haga cosas que no debería hacer).
¿El riesgo? Puertas traseras abiertas de par en par.
"No sabía que esto era de alto riesgo" — Multa: 35 millones de euros
La Ley de IA de la Unión Europea no es el futuro. Es el presente.
Desde 2024 ya hay obligaciones en vigor y, para 2027, el marco completo estará implementado.
Lo que muchas empresas desconocen es que sus sistemas de IA probablemente encajan en la categoría de "alto riesgo" sin que ellas mismas se hayan dado cuenta.
¿Utilizas IA para seleccionar candidatos? Riesgo alto.
¿Tienes un sistema automatizado de scoring de crédito? Riesgo alto.
¿Usas IA para evaluar el rendimiento de tus empleados? Riesgo alto.
Y si te equivocas al clasificarlo... puedes enfrentarte a multas de hasta 35 millones de euros o el 7% de la facturación anual global (lo que sea mayor). No es ninguna broma. Lo estamos viendo en empresas que pensaban que "iban bien".
Cómo proteger tu empresa (sin morir en el intento)
Después de 20 años auditando y certificando empresas bajo ISO 27001, ENS y ahora con el AI Act, la experiencia demuestra que la solución no es complicada. Es metódica.
Tu checklist de supervivencia en IA:
Inventario de sistemas de IA
Haz una lista de TODO lo que utiliza IA en tu organización (sí, incluye esos plugins que marketing instaló sin avisar).
Clasificación del riesgo
¿Tu IA toma decisiones sobre personas? Evalúa si es de alto riesgo según el AI Act.
Políticas de uso claras
Deja por escrito qué pueden y qué NO pueden hacer tus empleados con las herramientas de IA.
Controles de acceso ISO 27001
Implanta los controles A.9.1 para limitar quién utiliza qué herramientas.
FRIA (Evaluación del Impacto en Derechos Fundamentales)
Obligatoria para sistemas de alto riesgo.
Documentación auditable
Registra todas las decisiones tomadas por sistemas de IA (el AI Act te pedirá registros de hasta 10 años).
Plan de contingencias de IA
Si tu chatbot "enloquece" o hay una fuga de datos, ¿qué haces? NIS2 te obliga a notificar en un plazo de 24 horas.
Si has respondido "esto no lo tenemos" en más de dos puntos, necesitas una auditoría. Y la necesitas ya.
La IA segura no es opcional: es tu ventaja competitiva
Hay un patrón que se repite:
Las empresas que se adelantan a la regulación ganan.
Las que esperan a que les caiga la multa... pierden tiempo o, peor aún: dinero y reputación.
En Delbion trabajamos con el principio de auditar + implantar + certificar. No nos limitamos a decirte qué está mal. Te ayudamos a corregirlo y a demostrarlo con certificaciones reconocidas (ISO 27001, ENS, cumplimiento del AI Act).
Porque, al final, lo importante no es solo cumplir. Es construir sistemas de IA en los que tus clientes puedan confiar.
La pregunta no es si tu empresa necesita una auditoría de IA. La pregunta es: ¿cuándo la vas a hacer?
Porque en ciberseguridad, esperar puede salir muy caro.
Assessment Gratuito
¿Tu empresa está preparada para el AI Act?
En 60 minutos auditamos tu inventario de IA, clasificamos el riesgo de cada sistema y te entregamos un plan de acción concreto para cumplir con la normativa europea — antes de que sea demasiado tarde.
Solicitar Auditoría Gratuita →