México perfila su primera ley de inteligencia artificial entre ambición regulatoria y dudas sobre su viabilidad

El Senado mexicano se encuentra en la etapa más avanzada hasta ahora para construir el primer marco legal integral en materia de inteligencia artificial (IA), una iniciativa que, en el papel, busca colocar al país en la ruta de las economías que ya intentan regular el impacto de estas tecnologías. Sin embargo, detrás del discurso de modernización y soberanía tecnológica, crecen las dudas sobre la capacidad real del Estado para implementar una legislación de alta complejidad en un entorno marcado por rezagos estructurales en infraestructura, ciberseguridad y talento especializado.

La propuesta legislativa —aún en discusión en comisiones— contempla la creación de una arquitectura institucional robusta: una autoridad nacional encargada de supervisar la IA, un sistema de certificación, un registro obligatorio de sistemas considerados de alto riesgo y una estrategia nacional acompañada de financiamiento público. A ello se suma un esquema de sanciones que clasifica las infracciones en distintos niveles, incluyendo faltas que podrían derivar en consecuencias penales. En paralelo, la iniciativa incorpora prohibiciones relevantes, como el uso de deepfakes dañinos, la manipulación política mediante sistemas automatizados y prácticas de perfilamiento que vulneren derechos fundamentales.

Sobre el papel, el proyecto también busca alinearse con estándares internacionales al incorporar principios como la protección de datos personales, la no discriminación algorítmica y el derecho de los ciudadanos a cuestionar decisiones automatizadas. Incluso, reformas recientes en materia laboral y de derechos de autor ya han comenzado a regular el uso de voz e imagen generadas por IA, lo que sugiere una estrategia legislativa gradual. No obstante, el avance normativo contrasta con una realidad menos sólida: la limitada capacidad institucional para hacer cumplir lo que se legisla.

Ahí radica una de las principales críticas. México ha demostrado en el pasado que puede producir marcos legales técnicamente avanzados que, en la práctica, enfrentan serias dificultades de implementación. La brecha entre lo que dicta la ley y lo que ocurre en las instituciones suele traducirse en simulación regulatoria: normas que existen, pero que no se aplican de forma consistente ni efectiva. En el caso de la IA, este riesgo se amplifica por la sofisticación técnica que implica supervisar algoritmos, auditar sistemas automatizados y responder a incidentes de seguridad digital.

A ello se suma un problema estructural: la falta de inversión sostenida en tecnología y ciberseguridad. Sin infraestructura adecuada ni personal capacitado, la aplicación de una ley de esta naturaleza podría depender más de criterios discrecionales que de evaluaciones técnicas rigurosas. Esto abre la puerta a decisiones poco transparentes y, en el peor de los casos, a un uso selectivo de la regulación con fines políticos. Las preocupaciones no son menores si se considera que la iniciativa incluye conceptos ambiguos como “manipulación de la narrativa” o “riesgos informativos”, términos que, sin definiciones precisas, pueden prestarse a interpretaciones amplias por parte de la autoridad.

En ese contexto, la promesa de proteger a la ciudadanía frente a los riesgos de la IA podría diluirse en la práctica. La debilidad de los sistemas de protección de datos en el sector público —evidenciada por filtraciones recurrentes y falta de auditorías técnicas— plantea un escenario en el que los ciudadanos podrían quedar más expuestos, incluso bajo un marco legal más estricto. La posibilidad de ampliar capacidades de vigilancia mediante herramientas de análisis masivo o monitoreo automatizado, sin contrapesos efectivos, refuerza las preocupaciones sobre posibles abusos.

El impacto también podría sentirse en el ecosistema tecnológico. La imposición de requisitos regulatorios complejos —como registros obligatorios, certificaciones o sanciones severas— tiende a favorecer a grandes corporaciones con capacidad de cumplimiento, mientras desplaza a startups y desarrolladores independientes. Lejos de impulsar la innovación nacional, la ley podría consolidar una dependencia tecnológica del exterior, especialmente si el país no desarrolla capacidades propias para competir en el sector.

La viabilidad de la regulación enfrenta, además, límites prácticos en un entorno globalizado. Muchas de las empresas que desarrollan sistemas de IA operan fuera de la jurisdicción mexicana, lo que dificulta cualquier intento de supervisión directa. Sin mecanismos efectivos de cooperación internacional, las disposiciones legales podrían quedar reducidas a obligaciones formales sin capacidad real de ejecución, o bien derivar en medidas más drásticas como restricciones de acceso a plataformas, con implicaciones económicas y tecnológicas para el país.

En paralelo, el sistema de justicia enfrenta desafíos que agravan el panorama. La persecución de delitos tradicionales ya presenta rezagos significativos, por lo que trasladar esa misma estructura a la investigación de crímenes digitales —más complejos, muchas veces transnacionales y con altos niveles de anonimato— plantea dudas razonables sobre su efectividad. La escasez de peritos especializados y el limitado desarrollo de las policías cibernéticas refuerzan la percepción de que la impunidad podría prevalecer, incluso con nuevas herramientas legales.

Más allá de sus objetivos declarados, la iniciativa también ha despertado inquietudes en torno a la libertad de expresión. La posibilidad de sancionar contenidos bajo criterios amplios o poco definidos podría generar un efecto inhibidor en medios, creadores y usuarios, especialmente en contextos políticamente sensibles. El riesgo no necesariamente radica en la censura directa, sino en el uso del aparato regulatorio como mecanismo de presión, desgaste o intimidación.

En este escenario, el debate sobre la ley de inteligencia artificial en México trasciende la dimensión tecnológica. Se trata, en el fondo, de una discusión sobre la capacidad del Estado para regular con responsabilidad en un ámbito donde la precisión técnica y la transparencia institucional son indispensables. Sin una inversión paralela en capacidades, talento y supervisión independiente, la iniciativa corre el riesgo de convertirse en un instrumento ambicioso en el papel, pero limitado —o incluso contraproducente— en la práctica.

México está, sin duda, ante una oportunidad histórica para definir su relación con una de las tecnologías más influyentes de las próximas décadas. La pregunta es si el país está construyendo un marco regulatorio que realmente proteja a sus ciudadanos y fomente la innovación, o si, por el contrario, está avanzando hacia una legislación que, sin bases sólidas, podría profundizar las debilidades institucionales que pretende resolver.

* Víctor Ruiz. Fundador de SILIKN | Emprendedor Tecnológico | Coordinador de la Subcomisión de Ciberseguridad de COPARMEX Querétaro | Líder del Capítulo Querétaro de OWASP | NIST Cybersecurity Framework 2.0 Certified Expert (CSFE) | (ISC)² Certified in Cybersecurity℠ (CC) | Cyber Security Certified Trainer (CSCT™) | EC-Council Ethical Hacking Essentials (EHE) | EC-Council Certified Cybersecurity Technician (CCT) | Cisco Ethical Hacker & Cybersecurity Analyst.X:https://x.com/victor_ruizInstagram:https://www.instagram.com/siliknYouTube:https://www.youtube.com/@silikn7599** Las expresiones emitidas en esta columna son responsabilidad de quien las escribe y no necesariamente coinciden con la línea editorial de Infobae México, respetando la libertad de expresión de expertos.