EscucharHace tiempo que está claro que los gobiernos, con su lentitud, no están a la altura del rápido avance de la IA. Pero el anuncio de Anthropic de que su nuevo modelo Claude Mythos Preview podía identificar y explotar vulnerabilidades en todos los principales sistemas operativos y navegadores web ha puesto de relieve los peligros de no regular esta revolución tecnológica. Incluso el presidente de EE. UU., Donald Trump, un entusiasta defensor de la desregulación, admitió que debería existir un «interruptor de apagado» cuando se dio a conocer la noticia sobre Mythos. Pero una solución tan simple ya no existe —si es que alguna vez existió.
La amenaza es doble: personas malintencionadas y modelos de IA fuera de control. Los últimos agentes de IA ya han potenciado los ciberataques y los riesgos de la bioingeniería, acelerando el desarrollo de nuevas armas, incluidos los «organismos espejo», potencialmente catastróficos. Ahora, con la llegada de Mythos (así como de un potente modelo de acceso restringido de OpenAI), un consorcio de usuarios autorizados —entre los que se incluyen algunas agencias gubernamentales estadounidenses y un puñado de empresas de confianza— se apresura a proteger el software crítico.
Pero, aunque estos nuevos modelos de IA se consideran demasiado arriesgados para ser puestos a disposición del público, es probable que estas capacidades proliferen. Como resultado, incluso los gigantes tecnológicos que durante mucho tiempo se han opuesto a cualquier tipo de regulación están pidiendo ahora a los responsables políticos que intervengan. La pregunta es cómo será esa intervención. Algunos gobiernos, como el de China, supervisan los servidores y centros de datos de IA. La mayoría de los demás gobiernos no lo hacen. Todos son vulnerables a ciberataques impulsados por la IA que podrían provocar un colapso importante de las infraestructuras críticas.
También existe el problema de defenderse contra las amenazas biológicas impulsadas por la IA. El director ejecutivo de Anthropic, Dario Amodei, ha destacado la asimetría entre los ataques biológicos, que pueden propagarse rápidamente por sí solos, y la defensa contra ellos, que requiere una detección rápida, seguida de la rápida distribución de vacunas y tratamientos para un gran número de personas. Dado que gran parte del daño se produce antes de que sea posible una respuesta, Amodei hace hincapié en la importancia de desarrollar medidas de protección contra algunos de los agentes biológicos más probables. Se trata de una advertencia escalofriante.
A falta de un «interruptor de apagado», los gobiernos pueden tomar dos medidas para prepararse ante los ataques impulsados por la IA. La primera es una coordinación eficaz. Hace mucho tiempo, los países del G7 descubrieron que el contacto regular entre sus responsables financieros (para que todos se conozcan y comprendan las preocupaciones de los demás gobiernos) permitía una comunicación eficiente y una respuesta rápida ante las crisis financieras.
Un grupo más amplio de países debería formar grupos de respuesta rápida para ciberataques y amenazas biológicas, y garantizar que estos expertos comiencen a reunirse periódicamente ahora, mucho antes de que se produzca una crisis. El G20 podría iniciar este proceso estableciendo de inmediato grupos de expertos, cuyos miembros coordinarían posteriormente reuniones en sus propias regiones. Incluso si Estados Unidos o China se negaran a participar, los demás países del G20 deberían seguir adelante.
Del mismo modo, los gobiernos se han dado cuenta de que las medidas nacionales, como las cuarentenas y las prohibiciones de viaje, no bastan por sí solas para contener las epidemias, y lo mismo ocurre con los ataques biológicos impulsados por la IA. Para reforzar la seguridad sanitaria mundial, la Organización Mundial de la Salud creó el Reglamento Sanitario Internacional, un marco a través del cual los países pueden compartir información sobre un brote sin temor al ostracismo o a represalias. Aunque imperfecto, el marco ha ayudado a los científicos de todo el mundo a identificar virus que justifican la adopción de medidas defensivas.
Esto apunta al segundo paso: una vez establecido, el grupo de expertos del G20 debería diseñar algunas normas y mecanismos básicos que permitan el intercambio rápido de información y la gestión de crisis ante ciberataques impulsados por la IA y amenazas biológicas. Dicho marco, que podría ser facilitado por una organización internacional ya existente, permitiría a las empresas, los investigadores y los gobiernos informar sobre riesgos o brotes. El mundo no puede esperar a que los países negocien un tratado multilateral sobre la seguridad de la IA o creen un nuevo organismo global para regularla.
Estas medidas deben ir respaldadas por una regulación nacional. Los sistemas de IA ya son difíciles de gestionar, ya que se ha observado que engañan, defraudan y manipulan para alcanzar sus objetivos. Existen pocos controles para evitar que los modelos caigan en manos de actores malintencionados. Estas cuestiones se han debatido ampliamente, en particular en el Panel Científico Internacional Independiente sobre IA de las Naciones Unidas y en la Cumbre sobre Seguridad de la IA de 2023 (que dio lugar a la Declaración de Bletchley), y se han reiterado en diversos compromisos, promesas e informes. Ahora es el momento de actuar.
Como mínimo, los gobiernos deberían exigir a los desarrolladores de IA que cumplan unas normas básicas de seguridad, determinadas por auditores independientes, antes de que sus modelos puedan adquirirse o utilizarse. Si los juguetes, los coches y los dispositivos médicos lo requieren, también lo hacen las herramientas de IA cuyos riesgos son reconocidos incluso por sus propios creadores.
Hay tres normas que revisten especial importancia. En primer lugar, los laboratorios de IA deben someter a rigurosas pruebas sus modelos antes de lanzarlos al mercado, con controles que garanticen que no engañan a quienes los prueban. En la carrera por desarrollar el modelo más avanzado del mundo, estas pruebas pueden resultar insuficientes a menos que se regulen. En segundo lugar, los desarrolladores deben adoptar un enfoque claro y obligatorio en materia de seguridad tras el lanzamiento, incluyendo la obligación de revelar cualquier problema que surja con sus modelos (California y Nueva York han dado pasos importantes en este sentido). En tercer lugar, los sistemas de IA necesitan barreras de seguridad que impidan su uso para producir armas biológicas, incluyendo clasificadores que detecten y bloqueen los resultados relevantes.
Los gobiernos no tienen por qué soportar solos la carga de regular la IA. Pero deben actuar con rapidez para aprovechar el potencial de otras partes interesadas —incluidos los consejos de administración, los empleados preocupados por la seguridad, los auditores, las aseguradoras, los inversores, los clientes corporativos, los consumidores y las agencias internacionales— a la hora de mitigar los riesgos de los ataques impulsados por la IA. La tecnología puede ser deslumbrante, pero también ha dado paso a un mundo más volátil.
---
Ngaire Woods es decana de la Blavatnik School of Government de la Universidad de Oxford.
