Illinois convierte la seguridad de la IA en obligación verificable

Illinois convierte la seguridad de la IA en obligación verificable

La nueva ley estatal exige auditorías independientes, reportes de incidentes críticos y protección para empleados que alerten sobre riesgos. El movimiento llega mientras los modelos avanzados empiezan a tratarse como infraestructura estratégica en Estados Unidos y China.

Illinois acaba de abrir una nueva etapa en la regulación de la inteligencia artificial en Estados Unidos. El gobernador JB Pritzker firmó la SB 315, conocida como Artificial Intelligence Safety Measures Act, una ley que obliga a los grandes desarrolladores de modelos frontera a publicar marcos de seguridad, reportar incidentes críticos y someter sus sistemas a auditorías independientes anuales.

La diferencia con otros compromisos de seguridad publicados por empresas de IA es que Illinois no se queda en la autorregulación. La ley convierte parte de esas promesas en obligaciones verificables: las compañías deberán documentar cómo evalúan riesgos catastróficos, cómo aplican mitigaciones, cómo protegen los pesos de modelos no liberados y cómo gestionan el uso interno de sus propios sistemas.

El alcance de la ley está dirigido a los llamados large frontier developers, es decir, desarrolladores de modelos frontera que, junto con sus afiliadas, hayan tenido ingresos brutos anuales superiores a 500 millones de dólares en el año calendario anterior. También define como modelo frontera a un modelo fundacional entrenado con más de 10²⁶ operaciones computacionales, incluyendo el entrenamiento original y modificaciones materiales posteriores como fine-tuning o aprendizaje por refuerzo.

La norma no regula cualquier chatbot ni cualquier herramienta generativa. Su objetivo son los sistemas más avanzados, aquellos que podrían concentrar capacidades sensibles en áreas como ciberseguridad, biología, automatización de tareas complejas o toma de decisiones con baja supervisión humana. En el texto legal, el “riesgo catastrófico” se define como un riesgo previsible y material que pueda contribuir a la muerte o lesión grave de más de 50 personas, o a daños superiores a 1,000 millones de dólares en un solo incidente.

La ley también enumera escenarios concretos: asistencia experta para crear o liberar armas químicas, biológicas, radiológicas o nucleares; ciberataques o delitos graves ejecutados sin supervisión humana significativa; y casos en los que un modelo evada el control de su desarrollador o usuario. Con ello, Illinois adopta un lenguaje que ya no trata a la IA solo como software comercial, sino como una tecnología capaz de producir riesgos sistémicos si se combina con autonomía, acceso a herramientas o capacidades especializadas.

Una de las disposiciones centrales comenzará el 1 de enero de 2028. A partir de esa fecha, los grandes desarrolladores deberán escribir, implementar y publicar en su sitio web un frontier AI framework, es decir, un marco técnico y organizacional para administrar, evaluar y mitigar riesgos catastróficos. Ese marco deberá incorporar estándares nacionales, internacionales y mejores prácticas de la industria; definir umbrales de riesgo; explicar mitigaciones; revisar la seguridad antes de desplegar modelos o usarlos internamente a gran escala; e incluir evaluaciones de terceros.

La misma sección exige prácticas de ciberseguridad para proteger pesos de modelos no liberados, mecanismos para identificar y responder a incidentes críticos, gobernanza interna y evaluación de riesgos derivados del uso interno de modelos frontera, incluyendo la posibilidad de que un modelo intente eludir mecanismos de supervisión. Ese último punto es clave porque reconoce que los riesgos no aparecen únicamente cuando una herramienta llega al público, sino también durante las fases internas de prueba, automatización e integración corporativa.

La ley obliga además a publicar reportes de transparencia antes o al mismo tiempo que se despliegue un nuevo modelo frontera, o una versión sustancialmente modificada de uno existente. Esos reportes deberán incluir datos básicos como fecha de lanzamiento, idiomas soportados, modalidades de salida, usos previstos y restricciones generales, pero en el caso de grandes desarrolladores también deberán sumar resúmenes de evaluaciones de riesgo catastrófico, resultados de esas evaluaciones y participación de evaluadores externos.

El punto más fuerte está en la auditoría. Desde 2028, los grandes desarrolladores deberán contratar cada año a un tercero independiente para auditar su cumplimiento. La ley exige que el auditor tenga competencia demostrable en seguridad de modelos frontera y prohíbe relaciones financieras que puedan generar conflictos de interés entre la empresa y el tercero contratado. La compañía deberá publicar un resumen de hallazgos y una versión redactada del reporte, además de enviarla a la Agencia de Manejo de Emergencias y Seguridad Nacional de Illinois y a la Fiscalía General del estado.

Illinois también impone obligaciones de reporte ante incidentes críticos. Si un desarrollador tiene razones suficientes para creer que ocurrió un incidente de seguridad relacionado con un modelo frontera, deberá reportarlo a la agencia estatal y a la Fiscalía General en un plazo de 72 horas. Si el incidente implica riesgo inminente de muerte o lesión física grave, deberá reportarse en 24 horas a la autoridad correspondiente.

La ley añade una capa laboral: protege a empleados cubiertos que alerten sobre riesgos catastróficos o violaciones a la norma. Los desarrolladores no podrán imponer contratos, reglas o políticas que impidan esas revelaciones ni tomar represalias contra trabajadores que reporten problemas ante autoridades, superiores u otros empleados con capacidad de investigar o corregir el riesgo.

El incumplimiento puede derivar en multas civiles de hasta 1 millón de dólares por la primera violación y hasta 3 millones de dólares por violaciones posteriores. La aplicación de estas sanciones queda exclusivamente en manos de la Fiscalía General; la ley aclara que no crea una acción privada directa para demandar por violaciones a la norma.

Aunque la ley entra en vigor el 1 de enero de 2027, varias de sus obligaciones más fuertes arrancan en 2028. Desde 2027, los grandes desarrolladores que desarrollen, desplieguen u operen modelos frontera en Illinois deberán presentar una declaración vigente ante la agencia estatal y pagar las tarifas correspondientes. Desde 2028, se activan los marcos públicos de seguridad y las auditorías independientes anuales.

La lectura política es importante. Illinois no está creando una licencia previa para lanzar modelos de IA, pero sí está construyendo un mecanismo de visibilidad estatal sobre sistemas que antes dependían casi por completo de comunicados corporativos, tarjetas de sistema y acuerdos voluntarios. La seguridad de los modelos frontera deja de ser una promesa unilateral y empieza a convertirse en un proceso auditable.

El movimiento ocurre en un momento de tensión mayor. A nivel federal, el presidente Donald Trump firmó el 2 de junio una orden ejecutiva para crear un marco voluntario de colaboración con desarrolladores de IA, con acceso anticipado del gobierno a ciertos modelos frontera y pruebas clasificadas de capacidades cibernéticas avanzadas. La Casa Blanca subrayó, sin embargo, que ese marco no autoriza una licencia obligatoria, autorización previa o permiso gubernamental para publicar nuevos modelos.

Ese matiz importa porque la industria ya está entrando en una zona gris entre cooperación voluntaria, revisión de seguridad nacional y presión gubernamental. OpenAI, por ejemplo, informó que inició una vista previa limitada de GPT-5.6 Sol, Terra y Luna con un grupo reducido de socios confiables, después de compartir sus planes y capacidades con el gobierno de Estados Unidos. La empresa también dijo que no considera deseable que este tipo de acceso gubernamental se convierta en el esquema permanente para futuros lanzamientos.

Anthropic vivió una situación todavía más explícita. La compañía informó que el 12 de junio el gobierno estadounidense aplicó controles de exportación a Claude Fable 5 y Claude Mythos 5, lo que la obligó a restringir el acceso a personas extranjeras; al no contar con un mecanismo confiable para verificar nacionalidad en tiempo real, suspendió el acceso a ambos modelos para todos los usuarios. El acceso fue restaurado después de que los controles fueron levantados y la empresa añadió nuevas salvaguardas de ciberseguridad.

En paralelo, Reuters reportó que China evalúa restringir el acceso extranjero a sus modelos de IA más avanzados, incluidos modelos de compañías como Alibaba, ByteDance y Z.ai. La discusión es relevante porque muchas startups, empresas e investigadores estadounidenses dependen de modelos chinos abiertos o de bajo costo para tareas de programación y agentes. Si Pekín limita ese acceso, la IA abierta también podría convertirse en terreno de disputa geopolítica.

La ley de Illinois debe leerse dentro de ese cambio de época. Los modelos avanzados ya no están siendo tratados únicamente como productos digitales que se lanzan al mercado cuando una empresa decide. Cada vez más, aparecen como infraestructuras estratégicas: sistemas que pueden acelerar investigación, automatizar ciberdefensa, apoyar programación compleja, descubrir vulnerabilidades o, en escenarios de abuso, amplificar riesgos de seguridad.

Por eso Illinois puede convertirse en un laboratorio regulatorio. No establece una autorización estatal previa para cada modelo, pero sí obliga a las empresas más grandes a documentar sus riesgos, someterse a revisión externa y responder ante autoridades cuando algo sale mal. En la práctica, la pregunta deja de ser si una empresa dice que su modelo es seguro. La nueva pregunta es quién puede verificarlo.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *