En los últimos 10 años, la Inteligencia Artificial (IA) ha pasado de tener escasa atención por parte de entidades regulatorias a ser el foco de inversiones y temas políticos. Para 2030, se prevé que, en América Latina, la IA impulse el PIB de la región en más de un 5%, y es probable que las proyecciones aumenten si los gobiernos introducen políticas para desarrollar talento y ampliar su infraestructura digital.
Además, el interés en torno al tema continúa siendo impulsado, no sólo por los gigantes tecnológicos, sino también por los gobiernos: el Reino Unido planea introducir una regulación de IA de tres vías; China ha redactado un borrador legislativo sobre el tema para discusión pública; Estados Unidos busca una responsabilidad algorítmica y la Unión Europea (UE) mantiene el debate pero aún no ha aprobado proyectos de ley. En América Latina, las políticas sobre la Inteligencia Artificial se caracterizan por un alto grado de discontinuidad, con iniciativas de políticas que las nuevas administraciones cambian o archivan con frecuencia; y así sucesivamente.
En efecto, hay muchos planes a futuro y mucho por debatir, pero, hasta ahora, la creación y el uso de sistemas de IA no han estado restringidos de ninguna manera. Sin embargo, todo parece indicar que este panorama cambiará pronto. Una pregunta debatible es, por supuesto, la siguiente: ¿es necesaria una regulación gubernamental de la IA? Y, en caso de ser afirmativa la respuesta, ¿por qué y cómo debería ser?
Lo primero es lo primero: definamos qué es la Inteligencia Artificial. Los departamentos de marketing tienden a considerar como IA desde los últimos modelos generativos, como GPT-4, hasta los sistemas de machine learning (ML) más sencillos, incluyendo el texto predictivo T9 o las recomendaciones de películas en Netflix. Sin embargo, en realidad, detrás de cada una de estas tecnologías familiares hay “meros” algoritmos de ML.
Como empresa de seguridad de la información, llevamos casi 20 años aplicando este tipo de tecnologías en nuestros productos, pero hemos preferido referirnos modestamente a ellas como machine learning, ya que la inteligencia artificial nos trae inmediatamente a la mente cosas como supercomputadoras que hablan al estilo Hall 900 de Odisea del espacio y robots galácticos como R2-D2, C-3PO y otras cosas que parecen de ciencia ficción. Sin embargo, estos robots parlantes y pensantes tienen que ser capaces de pensar como los humanos, como la inteligencia general artificial (AGI) o la superinteligencia artificial (ASI). Sin embargo, ni la AGI ni la ASI se han inventado todavía, y difícilmente lo serán en un futuro previsible.
Una vez aclaradas las definiciones, pasemos a la posible regulación de la IA y ML. Si todas las formas de Inteligencia Artificial y machine learning se miden con el mismo criterio y se regulan por completo, todo el sector informático y muchos sectores afines lo van a pasar realmente mal. Por ejemplo, si a nosotros, como empresa de seguridad de la información, se nos exige algún día recabar el consentimiento de todos los autores de nuestros conjuntos de formación, nos encontraremos contra la espada y la pared. Aprendemos del malware y del spam, e introducimos los conocimientos adquiridos en nuestro ML, y sus “autores” no suelen dejar información de contacto.
Por tanto, es esencial que los legisladores escuchen a los expertos de la industria del machine learning, la Inteligencia Artificial, así como de la academia, para debatir la posible regulación de forma específica y centrada: por ejemplo, para sistemas multifunción entrenados en grandes volúmenes de datos de código abierto, o para sistemas de toma de decisiones de alta responsabilidad y nivel de riesgo. Mientras que las nuevas aplicaciones de la IA requerirán revisiones frecuentes de la normativa a medida que vayan surgiendo.
Personalmente, no creo en escenarios apocalípticos provocados por la superinteligencia en los próximos cien años, pero sí en un montón de dolores de cabeza por el uso irreflexivo de los “simples” equipos informáticos actuales.
Con estas innovaciones podría ocurrir cualquier cosa: errores fatales del piloto automático, deepfakes (1, 2, 3) ya habituales en memes y noticias, o una herramienta misógina de reclutamiento de IA, etc. Además, cualquier inteligencia artificial puede ser atacada con la ayuda de muestras de datos hostiles hechas a la medida: los vehículos pueden ser engañados a través del uso de calcomanías, la extracción de información personal de GPT-3, e incluso, los antivirus o EDR también pueden ser engañados.
Sin embargo, el uso de la IA aún no ha provocado problemas verdaderamente masivos, pero es evidente que existe un gran potencial para ello. Por tanto, las prioridades de la regulación deberían ser claras: prevenir incidentes en infraestructuras críticas (plantas, buques, centrales nucleares), minimizar las amenazas físicas (vehículos autónomos, diagnóstico erróneo de enfermedades) y reducir los daños personales y los riesgos empresariales (arrestos o contrataciones basadas en mediciones de cráneos, cálculo erróneo de la demanda/aprovisionamiento, etc.).
El objetivo de la regulación debería obligar tanto a los usuarios como a los proveedores de IA a tener cuidado de no incrementar los riesgos para que no ocurran las cosas negativas anteriormente mencionadas. Y cuanto más grave sea el riesgo, más activamente debe obligarse.
Síguenos en Google Noticias para mantenerte siempre informado
Por otro lado, existe otra preocupación que se plantea a menudo en relación con la Inteligencia Artificial, que es la necesidad de respetar las normas morales y éticas y, por así decirlo, atender a la comodidad psicológica. Con este propósito, pensamos en advertencias para que la gente tenga claro que está viendo un objeto inexistente (dibujado por la IA) o comunicándose con un robot y no con un humano, y también avisos que informen de que se han respetado los derechos de autor durante el entrenamiento de la IA, etc.
Por supuesto, la forma más fácil de regular la Inteligencia Artificial sería prohibirla del todo (pero hasta ahora nadie lo ha pensado). De hecho, prohibir la IA no es mucho más fácil que prohibir las computadoras. Por eso todos los intentos razonables de regulación deberían basarse en el principio de “cuanto mayor sea el riesgo, más estrictos serán los requisitos“.
Los modelos ML utilizados para algo bastante banal, como recomendar artículos en una tienda, pueden dejarse sin regulación. Pero a medida que aumenta la complejidad del modelo o la sensibilidad del ámbito de aplicación, pueden aplicarse requisitos más drásticos. Por ejemplo, requisitos sobre el etiquetado de operaciones y resultados de la Inteligencia Artificial; requisitos sobre la actualización del modelo y los conjuntos de datos de entrenamiento; la supresión de fórmulas químicas de explosivos en los resultados de un modelo; el control de quién utiliza una IA concreta y por qué y la denegación de determinados tipos de uso; la demostración de que es seguro utilizar la IA para abordar un problema concreto, etc.
Las medidas coercitivas para todo esto pueden ir desde multas por infracciones de las normas de inteligencia artificial (siguiendo el ejemplo de las multas europeas por infracciones del GDPR) hasta la concesión de licencias para actividades relacionadas con la IA y la responsabilidad penal por infracciones de la legislación (como se propone en China).
En mi opinión -con base en 30 años de búsqueda activa del desarrollo tecnológico avanzado en el sector de la ciberseguridad (desde el machine learning hasta los sistemas seguros por diseño)-, sí necesitamos una regulación de la Inteligencia Artificial. Sin ella, la situación parecería a las autopistas sin normas de tráfico; o, más cerca del tema, se parecería a la situación con la recopilación de datos personales en Internet a finales de la década de 2000, cuando casi todo el mundo recopilaba todo lo que podía.
En primer lugar, la regulación estimulará la autodisciplina de los agentes del mercado.
En segundo lugar, los países deberían cooperar activamente en el desarrollo de marcos reguladores nacionales de la Inteligencia Artificial con el fin de maximizar la coordinación internacional de la regulación de la IA. En vista de las realidades geopolíticas actuales, esto suena utópico, pero sería muy deseable.
En tercer lugar, la regulación no debe ser demasiado estricta ni crear obstáculos artificiales, sino ofrecer incentivos adicionales a las empresas que se dedican a desarrollar y aplicar la IA y ML. El sector se está desarrollando de forma dinámica y sería imprudente estrangularlo. Al mismo tiempo, necesitamos un mecanismo de revisión frecuente de las normas para mantenernos al día de la evolución de la tecnología y del mercado.
En cuarto lugar, las normas, los niveles de riesgo y los niveles de las medidas de protección deben elaborarse con las aportaciones de un gran número de expertos con experiencia en la materia.
En quinto lugar, no tenemos que esperar diez años. Ya llevamos más de una década hablando de los riesgos y vulnerabilidades del IoT en los equipos industriales, mientras que documentos como la Ley de Ciberresiliencia de la UE (un borrador) destinado a establecer normas comunes de ciberseguridad para los dispositivos y servicios conectados solo aparecieron el año pasado.
Contacto:
Eugene es un experto en ciberseguridad de renombre mundial y empresario. Es cofundador y Director General de Kaspersky, proveedor privado de soluciones de ciberseguridad y protección de endpoints más grande del mundo que trabaja, entre otros con la INTERPOL y Europol en temas contra el cibercrimen.
Las opiniones expresadas son sólo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes México.
