La llegada de DeepSeek y sus riesgos de seguridad
Qué implica la irrupción de DeepSeek en el nuevo contexto regulatorio sobre la IA
En un momento histórico en el que la regulación europea sobre inteligencia artificial ya está en plena aplicación, debemos reflexionar sobre cómo las innovaciones tecnológicas pueden convivir con la protección de los derechos fundamentales.
Por Ramsés Gallego, ISACA
Hall of Fame and Chief Technologist de Cybersecurity en DXC
No cabe duda de que la irrupción de DeepSeek ha sacudido los cimientos del mercado de la inteligencia artificial, abriéndolo a nuevos actores de todo el mundo. Un escenario que representa tanto oportunidades como interrogantes sobre cómo gestionar de forma responsable los riesgos asociados a las tecnologías emergentes. Por eso, en un momento histórico en el que la regulación europea sobre inteligencia artificial (IA) ya está en plena aplicación, debemos reflexionar sobre cómo las innovaciones tecnológicas pueden convivir con la protección de los derechos fundamentales.
DeepSeek ha captado la atención mundial por su capacidad de procesamiento avanzado -basado en el pensamiento profundo- y su creciente adopción en sectores como la atención al cliente, la investigación médica y el marketing digital. Sin embargo, esta plataforma también ha sido objeto de críticas debido a posibles fallos de seguridad que han llegado a exponer datos sensibles de sus usuarios. Es más, algunas organizaciones como la OCU han puesto la lupa sobre DeepSeek por no cumplir adecuadamente con los principios del Reglamento General de Protección de Datos (RGPD).
Por ejemplo, uno de los incidentes más preocupantes que ha protagonizado DeepSeek en su todavía corta vida es el acceso no autorizado a bases de datos que contenían historiales de chat y contraseñas de usuarios. Este tipo de vulnerabilidades pone en evidencia que los sistemas de IA requieren medidas de seguridad proactivas para proteger tanto la información como la privacidad digital de los usuarios.
El Reglamento Europeo de IA: un marco necesario
Quizás por ello, la reciente entrada en vigor del Reglamento Europeo de IA, en el que España fue uno de los principales actores, representa un hito regulatorio que busca crear un entorno de innovación responsable en plataformas como DeepSeek o ChatGPT. Esta normativa clasifica los sistemas de IA en diferentes niveles de riesgo, desde mínimo hasta inaceptable, estableciendo obligaciones específicas para cada categoría. Por ejemplo, las aplicaciones de IA consideradas de alto riesgo deben someterse a evaluaciones de impacto antes de su despliegue, así como cumplir con requisitos estrictos en cuanto a transparencia y trazabilidad.
Para las empresas que operan en España, como en el resto de Europa, esta regulación plantea nuevos retos operativos. Sobre todo, porque las sanciones por incumplimiento pueden alcanzar los 35 millones de euros o el 7% del volumen de negocios anual. En cualquier caso, no se trata simplemente de evitar multas millonarias, sino de establecer procesos que refuercen la seguridad, privacidad y ética en el desarrollo tecnológico y que pongan a las personas en el centro del debate.
En este sentido la relación entre privacidad y ciberseguridad es estrecha. Una brecha en los sistemas de seguridad puede dejar expuesta información personal, generando incumplimientos legales y daños reputacionales. Por eso, las tecnologías con acceso a vastísimos volúmenes de información, como DeepSeek o ChatGPT, que procesan grandes volúmenes de datos en tiempo real, requieren controles rigurosos para garantizar que los datos personales estén protegidos.
Es cierto que el RGPD ya ha establecido una base sólida en este sentido, pero la nueva regulación sobre IA refuerza la necesidad de incorporar medidas adicionales, como la “buena comprensión” de los algoritmos, es decir, que sean comprensibles las lógicas detrás de las respuestas que ofrece la plataforma. Por eso, tanto los usuarios como las autoridades regulatorias demandan que las decisiones automatizadas sean comprensibles y auditables, especialmente cuando estas pueden tener un impacto significativo en la vida de las personas.
El papel de los profesionales en la gestión del riesgo
Aunque la privacidad es un aspecto fundamental, no es el único riesgo asociado al despliegue de IA. Entre los riesgos emergentes destacan al menos tres. En primer lugar, la discriminación algorítmica, que implica la perpetuación de sesgos por cuestiones de raza o género si no se diseñan y entrenan de manera adecuada. Esto es especialmente preocupante en aplicaciones de IA relacionadas con contratación de personal, obtención de créditos o servicios públicos. Paralelamente, como hemos visto especialmente en los últimos dos años, la IA generativa puede ser utilizada para crear contenidos falsos o engañosos, afectando la credibilidad de la información, a instituciones, personas o empresas.
En tercer lugar, existe un riesgo del que se lleva hablando mucho tiempo: el impacto de la IA en el empleo. La lógica es que la automatización impulsada por IA podría transformar el mercado laboral, desplazando ciertos roles mientras crea nuevos perfiles profesionales. Paradójicamente, cada vez más expertos coinciden en que este nuevo nicho de mercado también puede generar empleos específicos para el sector, desde entrenador de la IA hasta auditor de contenidos generados con inteligencia artificial.
Para gestionar eficazmente estos riesgos, las organizaciones necesitan contar con profesionales capacitados en ciberseguridad, privacidad y gobernanza. Según el informe State of Cybersecurity de ISACA, la brecha de habilidades en estos ámbitos sigue siendo un desafío crítico, especialmente porque casi la mitad de los profesionales en Europa (54%) cree que el presupuesto destinado a la privacidad en sus empresas continuará menguando a lo largo de 2025. Por eso, la colaboración entre el sector público, privado y académico es esencial para formar a una nueva generación de expertos capaces de afrontar los retos del futuro.
Por otra parte, en la actualidad, cuando están apareciendo nuevas herramientas digitales y, al mismo tiempo, se está impulsando la regulación en esta materia es fundamental contar con profesionales informados y capacitados en el sector, que sepan cómo aplicar las nuevas leyes a las tecnologías emergentes. El objetivo es claro: aprovechar estas nuevas plataformas dentro del marco normativo vigente en cada región y en cada momento.
En este sentido, parece más necesario que nunca adoptar marcos de trabajo probados, como los ofrecidos por ISACA, que permiten a las organizaciones evaluar y mitigar riesgos tecnológicos de manera efectiva y conocer la última regulación existente. La formación continua y la certificación profesional son herramientas clave para mantener altos estándares de seguridad y cumplimiento normativo. Especialmente, porque la confianza digital ya se ha convertido en un activo más para las empresas. Y aquellas que adopten una gestión proactiva de la privacidad y la seguridad estarán mejor posicionadas para ganarse la confianza de sus clientes, diferenciarse en el mercado y crear valor sostenible.
Ramsés Gallego, ISACA
