Hay una pregunta que casi no aparece en las reuniones de directorio de las empresas medianas cuando se habla de inteligencia artificial: ¿quién controla lo que la IA hace en nombre de nuestra empresa?
La conversación habitual gira en torno a la adopción: qué herramientas implementar, cuánto cuesta, cómo capacitar al equipo. Son preguntas válidas. Pero hay una dimensión que se está ignorando sistemáticamente, y que en los próximos dos años va a definir qué empresas escalan con IA y cuáles quedan expuestas a riesgos que no vieron venir.
Esa dimensión es la gobernanza.
El problema llega cuando nadie lo espera. El caso Samsung.
En marzo de 2023, Samsung autorizó el uso de ChatGPT en su división de semiconductores. La decisión tenía sentido: los ingenieros podían resolver problemas más rápido, optimizar código y generar documentación. Era una herramienta de productividad.
Nadie imaginó lo que iba a pasar en los siguientes veinte días. Tres incidentes separados. Tres filtraciones de información confidencial.
En el primero, un ingeniero pegó código fuente propietario de una base de datos de semiconductores en ChatGPT para encontrar un error. En el segundo, otro empleado hizo lo mismo con el algoritmo de detección de defectos en equipos de fabricación. En el tercero, alguien grabó una reunión interna, convirtió el audio a texto y lo subió completo a ChatGPT para generar las minutas.
La reunión incluía detalles sobre tecnología de procesadores aún no lanzada al mercado.
Ninguno de esos empleados tenía malas intenciones. Estaban haciendo lo que se supone que hay que hacer cuando tenés una herramienta poderosa a disposición: usarla para trabajar mejor.
El problema fue que nadie les había explicado qué pasaba con los datos que ingresaban al sistema. Nadie había establecido qué tipo de información podía —y qué tipo no podía— compartirse con una plataforma de IA externa. No existía una política. No había guardrails. Y cuando Samsung quiso actuar, la información ya estaba en los servidores de OpenAI, potencialmente disponible para entrenar futuros modelos.
La respuesta de la compañía fue prohibir el uso de ChatGPT en todos sus dispositivos corporativos y acelerar el desarrollo de un sistema de IA interno con controles de datos propios.
El costo no fue solo reputacional. Fue estratégico: información confidencial fuera del control de la empresa.
Samsung no es una PYME. Pero el mecanismo del problema es exactamente el mismo que ocurre hoy en empresas medianas: alguien del equipo empieza a usar una herramienta de IA porque le hace el trabajo más fácil, sin que nadie haya pensado en qué pasa con la información que comparte.
El diagnóstico: la adopción va más rápido que la gobernanza.
Según la Encuesta de Madurez en IA Responsable 2026 de McKinsey —que relevó aproximadamente 500 organizaciones entre diciembre de 2025 y enero de 2026—, el puntaje promedio de madurez en gobernanza de IA fue de 2,3 sobre 4. En términos prácticos: la infraestructura técnica avanza, pero las estructuras de control no siguen el ritmo.
El dato que más impacta: el 80% de las organizaciones ya encontró comportamiento riesgoso proveniente de agentes de IA dentro de su propia operación. No es un problema teórico. Está ocurriendo ahora, en empresas de todos los tamaños.
Y hay más: menos del 25% de las empresas tiene una política de gobernanza de IA aprobada formalmente por su directorio. El resto opera con principios vagos, declaraciones de buenas intenciones o —directamente— sin ningún marco.
La paradoja es que más del 88% de las organizaciones ya usa IA en al menos una función del negocio. La brecha entre adopción y gobernanza nunca fue tan grande.
Por qué el problema se agravó con la IA agéntica.
Durante los primeros años de IA generativa, el riesgo principal era que el sistema dijera algo incorrecto: un dato falso, una recomendación equivocada, un contenido inapropiado. Ese riesgo, aunque real, era manejable.
La IA agéntica cambia esa ecuación de raíz.
Los agentes autónomos toman decisiones, ejecutan acciones, coordinan flujos de trabajo y operan en sistemas críticos del negocio —muchas veces sin intervención humana intermedia. Cuando un agente comete un error, ese error ya se ejecutó. La decisión ya tomó lugar. El daño ya ocurrió.
Como señala McKinsey en su reporte: en la era de los agentes autónomos, las organizaciones deben ocuparse de sistemas que hagan algo incorrecto —tomar acciones no previstas, hacer un uso indebido de herramientas, u operar fuera de sus parámetros.
Para una empresa mediana, esto se traduce en escenarios concretos: un agente de atención al cliente que ofrece condiciones comerciales que la empresa no puede cumplir. Un agente de compras que genera órdenes sin la aprobación correcta. Un asistente de RRHH que comparte información de legajos con quien no debería. Ninguno de estos escenarios requiere que alguien tenga malas intenciones. Solo requiere que nadie haya pensado en los límites del sistema.
El problema que pocas empresas ven: los shadow agents
Hay un fenómeno que está creciendo en silencio: el uso de herramientas de IA que ningún área de la empresa autorizó formalmente.
Un analista financiero que conecta su planilla de Excel con una IA externa para automatizar reportes. Un vendedor que usa un asistente de IA para generar propuestas con información de clientes. Un gerente que le comparte datos de estrategia a un chatbot para preparar una presentación.
McKinsey los llama shadow agents: sistemas de IA desplegados dentro de una organización sin la supervisión adecuada. La investigación muestra que este fenómeno es sistemático, no anecdótico.
La diferencia entre una empresa que gestiona esto bien y una que no, no es tecnológica. Es de diseño organizacional: ¿tiene tu empresa un proceso para que alguien pueda adoptar una herramienta de IA de manera segura, sin tener que saltarse todos los controles para hacerlo?
El marco que toda PYME puede implementar
No hace falta un proyecto de consultoría de seis meses para tener una base de gobernanza funcional. Estas tres acciones tienen bajo costo de implementación y alto impacto en la reducción de riesgo:
Acción 1: Inventariar todas las herramientas de IA en uso Cada área lista las herramientas de IA que está usando, incluyendo las que no fueron aprobadas formalmente. Sin visibilidad de lo que existe, no hay gobernanza posible.
Acción 2: Definir un responsable de IA No necesitás un Chief AI Officer para empezar. Alcanza con designar a alguien responsable de reportar el uso de IA y de asegurarse de que las herramientas en uso cumplan las políticas básicas. Es una decisión de una hora de reunión.
Acción 3: Redactar una política mínima de uso aceptable Un documento de una página que responda tres preguntas: ¿qué información no puede compartirse con herramientas de IA externas? ¿Qué decisiones no pueden delegarse a un sistema automatizado sin validación humana? ¿Cómo se reporta un incidente de IA?
Con eso, tu empresa ya está en el 75% superior en madurez de gobernanza respecto al mercado.
El costo de esperar
La gobernanza de IA tiene un problema de percepción: como el riesgo no se ve hasta que se materializa, parece menos urgente que otras prioridades del negocio.
Pero, el costo de implementar gobernanza después de un incidente es exponencialmente mayor que el costo de implementarla antes.
Las empresas que hoy invierten en gobernanza no están frenando su adopción de IA. Están construyendo las condiciones para escalarla de manera sostenida.
La IA no es el riesgo. El riesgo es usarla sin saber qué está haciendo en nombre tuyo.
Referencias
- McKinsey & Company. State of AI Trust in 2026: Shifting to the Agentic Era. Marzo 2026.
- McKinsey & Company. Trust in the Age of Agents: Agentic AI Governance. Marzo 2026.
- McKinsey & Company. Deploying Agentic AI with Safety and Security: A Playbook for Technology Leaders. Octubre 2025.
- McKinsey & Company. Ushering in a New Era of Trusted AI. Marzo 2026.
- RedTeams.ai. Case Study: Samsung ChatGPT Confidential Data Leak (2023). 2026.
