Líderes de opinión

Tu IA sabe demasiado: la IA confidencial ya no es opcional

mm
Publicado el
Actualizado el

Los modelos generativos están pasando de los laboratorios de investigación a los procesos comerciales regulares — y una debilidad estructural silenciosa está creciendo junto con ellos.

Tomemos este ejemplo: Microsoft Copilot accedió a casi tres millones de registros sensibles por organización en el primer semestre de 2025. Tales números significan que hay un problema sistémico en la forma en que se aborda la IA. Las empresas han construido poderosos motores para procesar datos, pero no han implementado suficientes protecciones para los datos que utilizan.

Los grandes modelos de lenguaje y las herramientas de asistente a menudo computan documentos, mensajes y bases de datos sin ninguna protección basada en hardware. Esta brecha, que revela “datos en uso” durante la inferencia, ahora amenaza directamente a las empresas que priorizan la privacidad, el cumplimiento y la confianza del cliente.

Es aquí donde entra en juego la computación confidencial. El proceso utiliza entornos de ejecución de confianza (TEEs) asistidos por hardware para mantener el código y los datos seguros mientras se utilizan. Estos TEEs son áreas de memoria aisladas que están protegidas del sistema operativo host y del hipervisor.

Esa protección cambia el modelo de seguridad, permitiendo que los secretos se procesen sin exponerlos al resto de la pila. Microsoft y otros proveedores de servicios en la nube ahora ofrecen inferencia privada y máquinas virtuales (MV) que integran la inferencia dentro de los TEEs.

Por qué la privacidad es importante para las reglas y la gobernanza

La criptografía convencional suele proteger los datos que están en reposo o en tránsito, con los datos que se procesan activamente no disfrutando de la misma protección, aunque eso es donde la IA generativa interactúa más con las entradas privadas.

Al principio del año, un estudio de investigadores de la Universidad de Cornell sobre Unidades de Cómputo de Confianza reveló cómo el aislamiento y la autenticación basados en hardware pueden ayudar a reducir la necesidad de confianza entre las partes. Además, el año pasado, los analistas estimaron que el valor de la infraestructura de computación privada era superior a $13 mil millones, con previsiones que indican un crecimiento aún más rápido a $350.04 mil millones para 2032.

En pocas palabras, más personas están utilizando la tecnología, lo que lleva a que los reguladores y los equipos de cumplimiento muestren más interés en los sistemas de IA que nunca. Como tal, un marco que garantice que los datos sensibles nunca salgan de la ejecución protegida durante las consultas del modelo hará que los registros de auditoría sean mucho más fáciles de seguir, reduciendo el riesgo de problemas legales.

Sin embargo, si las protecciones de tiempo de ejecución no se convierten en la norma, esa diferencia podría hacer que los reguladores tardaran más en aceptar la IA en campos que están estrictamente regulados.

Situaciones de la vida real donde la privacidad es imprescindible

Hay varios escenarios empresariales que muestran por qué la IA confidencial no es un lujo, sino algo que toda organización debe tener.

Por ejemplo, en finanzas, esto podría aplicarse a instituciones que necesitan ejecutar modelos de detección de fraude y riesgo contra historias de transacciones de clientes sin dar a los operadores de modelos externos acceso a registros brutos.

En la atención médica, podría haber situaciones en las que los modelos de diagnóstico deben operar en datos clínicos protegidos mientras preservan la privacidad del paciente y cumplen con las estrictas obligaciones regulatorias. Además, los gobiernos y las agencias de defensa pueden requerir ejecución atestiguada para ejecutar cargas de trabajo sensibles en nubes de terceros.

Hay también tuberías de investigación que combinan conjuntos de datos de varias fuentes, notablemente la investigación de salud federada que solo puede proceder si cada participante está seguro de que sus entradas permanecerán ilegibles durante el cálculo.

También hay investigación académica e industrial que continúa documentando enfoques de aprendizaje automático que preservan la privacidad para flujos de trabajo médicos que se emparejan bien con la ejecución confidencial.

Cómo la ejecución confidencial realmente protege los datos en uso

La ejecución confidencial depende de dos sistemas conectados: aislamiento de hardware y autenticación. El aislamiento de hardware evita que el software fuera del enclave seguro lea la memoria del enclave.

La autenticación es una forma verificable de comprobar el código que se ejecuta dentro del enclave y que el enclave en sí es genuino. Estas características permiten que el propietario del modelo muestre que un modelo trabajará con entradas en un entorno sellado y verificado y que las salidas solo saldrán después de que se sigan las reglas del enclave.

El resultado es un contrato entre los propietarios de los datos, los operadores del modelo y los proveedores de servicios en la nube que hace que sea menos probable que necesiten soluciones legales adversas o recurrir a soluciones de política frágiles.

Límites y obstáculos realistas

Por supuesto, adoptar la IA confidencial viene con sus propios desafíos. La autenticación y el hardware que pueden funcionar en enclaves hacen que la implementación sea más complicada, dado que hay una brecha en el ecosistema entre la instrumentación de modelos tradicionales y las ejecuciones de enclaves. Algunas ejecuciones de enclaves imponen sobrecargas pesadas, costando hasta diez veces más para ejecutar, y también puede haber compensaciones en el rendimiento dependiendo del trabajo.

Además, los costos son más altos ahora que lo que eran para la inferencia en la nube simple, lo que podría hacer que sea desafiante para las pequeñas empresas dar sentido a los números. También hay el problema de los cambios en los estándares de interoperabilidad, que pueden dejar a algunos adoptantes tempranos en riesgo de quedar atrapados con sus proveedores.

Sin embargo, estos problemas son solo problemas de ingeniería transitorios que son resolubles. Los proveedores de servicios en la nube y los fabricantes de chips siguen lanzando nuevos productos, y los proyectos de software están creando middleware que conecta las pilas de aprendizaje automático actuales y los TEEs.

Si algo, las empresas que piensan que la criptografía estándar y los controles de acceso son suficientes están en mayor riesgo porque serán vulnerables cuando los modelos procesen muchos registros sensibles.

Llamado a cambios en las prácticas empresariales

Los equipos de gestión de riesgos necesitan cambiar las reglas para comprar y utilizar la IA. La clasificación de datos y la gobernanza son aún importantes, pero deben estar respaldadas por garantías técnicas cuando se utilizan.

Los contratos con proveedores de modelos de terceros deben requerir que muestren pruebas de autenticación. Los equipos de adquisiciones deben pedir líneas de base de rendimiento y opciones auditadas para la ejecución confidencial. Los ejercicios de equipo rojo deben incluir pruebas de enclave como parte de su trabajo. Estos pasos cambian la responsabilidad de compromisos ad hoc a controles que se pueden verificar.

Además, los grupos de políticas públicas y estándares industriales deben establecer expectativas. Los auditores, los oficiales de cumplimiento y los reguladores deben exigir salvaguardias de tiempo de ejecución verificables para categorías de cargas de trabajo que procesan datos regulados.

Estas reglas reducirán la cantidad de violaciones que ocurren más adelante y darán al sector la libertad de innovar sin preocuparse por problemas legales. Esto permitirá que las corrientes de trabajo de finanzas, atención médica y sector público utilicen nuevos modelos sin obstáculos regulatorios.

La confidencialidad como estándar

La IA generativa se ha convertido en una herramienta útil para las empresas que tratan con información muy privada. Esa realidad significa que la ejecución confidencial ya no es solo una opción de nicho; debe ser una práctica estándar para cualquier sistema de IA que maneje datos regulados, propiedad o personales.

Ya hay herramientas disponibles, como los TEEs, los servicios de autenticación y las ofertas de máquinas virtuales privadas, y la economía está mejorando muy rápidamente. La otra opción es mantener los activos sensibles abiertos a la fuga de inferencia, lo que podría tener efectos legales, financieros y de reputación que las empresas ya no pueden permitirse. Por ejemplo, según el informe de IBM de 2025 sobre el costo de las violaciones de datos, el costo promedio global de una violación alcanzó casi $5 millones, con regulaciones como el RGPD imponiendo multas de hasta 20 millones de euros por violaciones graves.

Las empresas que ponen la privacidad en primer lugar en la gobernanza de la IA tendrán una ventaja: pueden ejecutar pruebas más exhaustivas y cumplir con las normas, y utilizar modelos en áreas donde la innovación externa fue antes imposible. En resumen, proteger los datos mientras los modelos se ejecutan no es una barrera para la adopción; es la base para la IA responsable y escalable en los negocios y el gobierno.

mm

Ahmad Shadid es el fundador de O Foundation, un laboratorio de investigación de inteligencia artificial con sede en Suiza que se centra en la construcción y la investigación de infraestructura de inteligencia artificial privada, o.capital, un fondo cuantitativo que opera en Nasdaq y el fundador y ex CEO de io.net, actualmente la red de infraestructura de computación de inteligencia artificial descentralizada más grande basada en Solana.