El reciente monitoreo iniciado por la CMF frente a modelos de inteligencia artificial con capacidades ofensivas marca un punto de inflexión: la IA deja de ser únicamente una herramienta de eficiencia para transformarse en un factor explícito de riesgo operativo, tecnológico y financiero.
La novedad no radica en la inteligencia artificial en sí, sino en su capacidad para escalar el análisis, el descubrimiento y la explotación de vulnerabilidades a una velocidad y profundidad no humanas. Esto desafía los supuestos tradicionales de la ciberseguridad y la gestión de riesgos, obligando a las organizaciones a repensar sus marcos de control.
En este contexto, hay al menos cinco dimensiones críticas a las que debemos prestar atención.
La primera es el uso de IA sin un gobierno claro. Muchas organizaciones ya integran estos sistemas en procesos sensibles -como fraude, scoring o automatización- sin contar con inventarios completos, roles definidos ni evaluaciones de riesgo específicas. La adopción avanza más rápido que la capacidad de controlarla.
La segunda es la creciente asimetría defensiva. Modelos avanzados permiten a actores maliciosos ejecutar en minutos tareas que antes requerían meses, reduciendo significativamente las barreras de entrada y ampliando el alcance de los ataques.
Un tercer punto es la dependencia tecnológica y la “caja negra”. El uso de modelos poco transparentes o desarrollados por terceros introduce riesgos relevantes: desde errores difíciles de detectar hasta limitaciones en la auditoría y una dependencia que puede comprometer la continuidad operacional.
A esto se suma la confusión entre IA defensiva y ofensiva. La misma tecnología que permite fortalecer la seguridad puede ser utilizada para automatizar ataques, haciendo cada vez más difusa la frontera entre protección y amenaza.
Finalmente, el riesgo reputacional y regulatorio adquiere una nueva dimensión. Un incidente vinculado al uso inadecuado de IA ya no es solo un problema técnico: impacta la confianza, la continuidad del negocio y el cumplimiento normativo.
La discusión, por tanto, ya no es si usar o no inteligencia artificial, sino cómo gobernarla antes de que gobierne nuestros riesgos. El monitoreo regulatorio es un avance, pero insuficiente sin gobernanza efectiva, transparencia y responsabilidad técnica.
La IA no introduce un riesgo completamente nuevo. Lo que hace es acelerar y amplificar los riesgos que ya existían. Y en ese escenario, la capacidad de anticiparse marcará la diferencia entre las organizaciones que lideran y las que reaccionan.
