Lo más peligroso de las propuestas de ley sobre inteligencia artificial en México no es lo que dicen. Es lo que no dicen.
Lo que dicen suena razonable. Principios generales de transparencia, ética, responsabilidad. Definiciones amplias. Declaraciones de buena intención. Marcos conceptuales que quedarían bien en un congreso académico.
Lo que no dicen es donde están los problemas reales.
No dicen qué pasa cuando alguien crea un deepfake de tu rostro en un video pornográfico y lo difunde en internet. No dicen qué pasa cuando una cámara con reconocimiento facial en un centro comercial captura tus datos biométricos sin que lo sepas y sin tu consentimiento. No dicen qué pasa cuando un banco te niega un crédito porque un algoritmo de scoring decidió que tu código postal es un factor de riesgo. No dicen qué pasa cuando un sistema automatizado te clasifica como sospechoso basándose en patrones que nadie puede explicar y que tú no puedes cuestionar.
Los vacíos no son accidentales. Son el resultado de legislar sobre una tecnología sin entender sus aplicaciones más dañinas. De escribir principios generales sin aterrizar en los problemas concretos. De mirar la inteligencia artificial desde la tribuna legislativa en lugar de mirarla desde el laboratorio forense, desde la sala de audiencias, desde la pantalla de la víctima.
Llevo 17 años en informática forense. He formado a más de 1,300 peritos en 10 países. Y en los últimos años, la proporción de mis casos que involucran inteligencia artificial ha crecido de manera que no puedo ignorar. Deepfakes que se presentan como evidencia. Deepfakes que destruyen vidas. Sistemas de decisión automatizada que nadie puede auditar. Reconocimiento facial que opera en la sombra. Y víctimas que llegan a mi laboratorio buscando una solución técnica porque la solución jurídica no existe.
Este artículo es el mapa de los vacíos. Pero no me voy a quedar en señalar los huecos. Voy a explicar cómo taparlos con las herramientas legales que ya existen en México: la informática forense, el juicio de amparo, la Ley Olimpia, la LFPDPPP y el peritaje privado como última trinchera de defensa material.
Este artículo es para la víctima de un deepfake que necesita saber qué puede hacer hoy, con la ley de hoy, sin esperar la ley de mañana. Para el abogado que necesita estrategias concretas para casos que involucran IA. Para el ciudadano que quiere entender qué derechos tiene frente a la tecnología — y cuáles le faltan. Para el legislador que necesita un inventario de lo que su ley está dejando fuera. Para el periodista que cubre el tema y necesita datos, no declaraciones. Para el empresario de software que quiere operar dentro de la ley pero no encuentra una ley que le diga claramente dónde están los límites.
A todos: esto es largo. Es largo porque los vacíos son muchos y las soluciones requieren precisión. Léanlo completo.
Vacío uno: los deepfakes no tienen tipo penal específico
Voy a empezar por el vacío más visible, más urgente y más dañino.
En México, generar un deepfake no es un delito. Difundir un deepfake no es un delito específico. Crear un video sintético que coloque el rostro de una persona en un cuerpo que no es el suyo, en una situación que nunca ocurrió, y distribuirlo en internet no tiene un tipo penal propio.
Léelo otra vez. Porque la primera vez que lo leí en el contexto de una propuesta de ley que se supone regulaba la inteligencia artificial, tuve que releerlo tres veces para asegurarme de que no estaba pasando por alto un artículo.
No estaba pasando por alto nada. El tipo penal no existe.
Lo que sí existe son tipos penales adyacentes que un abogado hábil puede intentar aplicar. Pero cada uno tiene limitaciones:
Usurpación de identidad (artículo 211 Bis del Código Penal Federal). Requiere que el agente se haga pasar por otra persona para obtener un beneficio o causar un daño. Un deepfake podría encuadrar aquí si se demuestra la intención de suplantación. Pero la redacción del tipo penal no fue pensada para contenido sintético generado por IA. Fue pensada para alguien que se presenta físicamente como otra persona o que usa sus documentos. La interpretación que extienda este tipo penal a deepfakes requiere un juez con visión tecnológica, y eso no está garantizado.
Violencia digital bajo la Ley Olimpia. Si el deepfake es de contenido íntimo — un video pornográfico fabricado con el rostro de la víctima –, las reformas de Ley Olimpia aplican. Pero la Ley Olimpia fue diseñada para la difusión no consentida de contenido íntimo real. Un deepfake no es contenido «real» en el sentido estricto. Es contenido sintético. Algunos estados han ampliado la redacción para incluir contenido «alterado o manipulado,» pero no todos. La cobertura es desigual. Y la defensa del agresor puede argumentar que el contenido no es íntimo porque nunca existió — es una fabricación.
Ese argumento es moralmente obsceno. Pero jurídicamente, en un vacío normativo, tiene espacio para plantearse.
Difamación o daño moral en vía civil. La víctima puede demandar en vía civil por el daño a su reputación, honra y vida privada. Pero la vía civil es lenta, costosa y requiere cuantificar el daño. Y el agresor que generó el deepfake puede ser anónimo, puede estar en otro país, puede haber usado herramientas que dificultan su identificación.
Ninguna de estas opciones es un sustituto adecuado de un tipo penal específico para deepfakes. Y las propuestas de ley de IA que se están discutiendo no crean ese tipo penal. Hablan de «contenido generado por inteligencia artificial» en términos generales. Mencionan la necesidad de «etiquetar» el contenido sintético. Pero no tipifican la creación y difusión maliciosa de deepfakes como un delito autónomo con elementos claramente definidos.
Cómo tapar este vacío hoy: la estrategia forense-legal
Víctima de un deepfake que me lee: no puedes esperar a que la ley cambie. Necesitas actuar con lo que hay. Y lo que hay, combinado estratégicamente, puede funcionar. No de manera perfecta, pero puede funcionar.
Paso uno: peritaje forense. El peritaje demuestra que el contenido es sintético. No es una opinión. Es un análisis técnico documentado que identifica las firmas del modelo generativo, las inconsistencias en el video o la imagen, la ausencia de metadatos de captura real, las anomalías en el patrón de ruido. El peritaje convierte «creo que es falso» en «es demostrablemente sintético.» Esa diferencia es la diferencia entre una sospecha y una prueba.
En Duriva, el proceso de autenticación de un deepfake incluye análisis de metadatos, análisis de PRNU (ausencia de patrón de sensor físico), análisis de consistencia visual (iluminación, sombras, perspectiva, parpadeo, movimiento labial), análisis de frecuencias espaciales, y comparación con firmas conocidas de modelos generativos. El resultado es un dictamen que un juez puede evaluar y que la contraparte puede confrontar técnicamente. Eso tiene valor probatorio. Un screenshot de un video no lo tiene.
Paso dos: preservación forense de la evidencia. Antes de que el contenido sea eliminado de internet, se certifica con hash SHA-256, timestamp verificable, captura de código fuente, documentación de cadena de custodia. Todo lo que expliqué en mi artículo sobre Ley Olimpia aplica aquí con la misma urgencia. La evidencia tiene ventana de vida. Si no se preserva a tiempo, desaparece.
Paso tres: denuncia penal encuadrada estratégicamente. Con el peritaje y la evidencia preservada, el abogado presenta la denuncia encuadrando el hecho en los tipos penales disponibles: usurpación de identidad si aplica, violencia digital si el contenido es íntimo, amenazas si hubo extorsión vinculada al deepfake, fraude si se usó para obtener un beneficio económico. La clave es la precisión del encuadramiento legal y la solidez de la evidencia forense que lo sustenta.
Paso cuatro: amparo si la autoridad no actúa. Si la fiscalía no investiga, si el ministerio público archiva la carpeta, si la autoridad no protege — que en México no es un escenario hipotético sino una probabilidad estadística –, el amparo es la herramienta constitucional para obligar a la autoridad a actuar. Un amparo bien fundamentado, con peritaje forense adjunto, que argumente la violación a los derechos de imagen, honra, vida privada y presunción de inocencia de la víctima, puede ordenar a la fiscalía que investigue y a las plataformas que retiren el contenido.
No es el camino ideal. El camino ideal sería un tipo penal específico. Pero es el camino que existe hoy.
Vacío dos: decisiones automatizadas sin derecho a explicación
Este vacío afecta a millones de mexicanos todos los días sin que la mayoría lo sepa.
Un sistema de IA decide si te dan el crédito. Un sistema de IA decide si tu currículum pasa el filtro. Un sistema de IA decide cuánto pagas de seguro. Un sistema de IA decide si tu contenido es visible en redes sociales o si es suprimido por el algoritmo de moderación.
Ninguna de esas decisiones tiene, en la legislación mexicana vigente, una obligación específica de explicarse. No hay una ley que diga: «Si un sistema automatizado toma una decisión que te afecta, tienes derecho a saber que fue una decisión automatizada, a conocer los criterios generales del sistema, y a que un ser humano revise esa decisión.»
La Unión Europea tiene ese derecho en el Reglamento General de Protección de Datos (GDPR), artículo 22. México no lo tiene.
La LFPDPPP tiene un principio general de información — el titular tiene derecho a saber qué se hace con sus datos. Pero no contempla el escenario específico de decisiones automatizadas. No hay un artículo que diga: «Si la decisión fue tomada por un sistema de IA, el titular tiene derecho a que se le informe que la decisión fue automatizada y a impugnarla ante un ser humano.»
Las propuestas de ley de IA mencionan la transparencia algorítmica en términos generales, pero no crean un derecho específico, exigible, con un recurso claro para el ciudadano que lo necesita. Mencionan principios. No crean derechos.
El scoring crediticio: el caso más urgente
Ciudadano que alguna vez le negaron un crédito sin explicación: hay una probabilidad creciente de que la decisión fue tomada, total o parcialmente, por un algoritmo. Y ese algoritmo puede estar usando variables que usted no conoce y que podrían ser discriminatorias.
El scoring crediticio con IA no solo mira tu historial de crédito. Puede mirar tu código postal. Tu patrón de navegación en internet. Tus redes sociales. La hora a la que usas tu celular. El tipo de dispositivo que tienes. Cada una de esas variables puede funcionar como proxy de raza, género, nivel socioeconómico o edad. Un modelo que usa código postal como variable está, en la práctica, discriminando por nivel socioeconómico y, en muchos contextos, por composición étnica del barrio.
Y tú no lo sabes. No puedes saberlo. Porque no hay ley que obligue a la institución financiera a decirte qué variables usó su modelo ni a explicarte cómo esas variables influyeron en la decisión.
Cómo tapar este vacío hoy
La LFPDPPP como herramienta de presión. Aunque la ley no contempla decisiones automatizadas de manera específica, sí contempla derechos ARCO: Acceso, Rectificación, Cancelación y Oposición. El derecho de Acceso te permite solicitar a la institución que te informe qué datos personales tiene sobre ti y cómo los usa. Si la institución usó un sistema de IA para tomar una decisión sobre ti, esa decisión fue tomada con base en tus datos personales. Y tú tienes derecho a saber qué datos usó y cómo los procesó.
Es una interpretación extensiva de la ley. No es lo mismo que tener un derecho específico a la explicación de decisiones automatizadas. Pero es una herramienta que existe y que puede ejercerse hoy.
El amparo como recurso constitucional. Si una decisión automatizada vulnera tus derechos fundamentales — tu derecho a la no discriminación, tu derecho a la igualdad, tu derecho al debido proceso — el amparo es tu herramienta para cuestionarla. Un amparo que argumente que un sistema de scoring crediticio discrimina por variables que funcionan como proxies de raza o género, sustentado con un peritaje forense que analice el sistema, puede obligar a la institución a revelar los criterios de su modelo y a demostrar que no discrimina.
No estoy diciendo que sea fácil. Estoy diciendo que es posible. Y que la combinación de peritaje forense + amparo constitucional es la única vía material que existe hoy para cuestionar una decisión automatizada en México.
Vacío tres: reconocimiento facial sin consentimiento
Este es el vacío que más me preocupa a largo plazo, porque sus consecuencias son silenciosas y acumulativas.
El reconocimiento facial está operando en México. En centros comerciales, en estadios, en aeropuertos, en oficinas gubernamentales, en el transporte público de algunas ciudades. Cámaras que capturan tu rostro, que lo procesan con algoritmos de identificación biométrica, que lo almacenan en bases de datos. Sin tu consentimiento explícito. En muchos casos, sin que siquiera sepas que está ocurriendo.
Los datos biométricos — tu rostro, tus huellas, tu iris — son datos personales sensibles bajo la LFPDPPP. Su tratamiento requiere consentimiento expreso del titular. Pero en la práctica, el consentimiento es ficticio. Un letrero que dice «Este establecimiento cuenta con videovigilancia» no es consentimiento para reconocimiento facial. Videovigilancia y reconocimiento facial son cosas fundamentalmente diferentes. Una graba imágenes. La otra identifica personas. Una registra lo que pasa. La otra registra quién eres.
Las propuestas de ley de IA no regulan el reconocimiento facial de manera específica. No definen bajo qué condiciones es legal su uso. No establecen quién puede operar sistemas de reconocimiento facial y quién no. No limitan el tiempo de almacenamiento de datos biométricos. No crean un registro de sistemas de reconocimiento facial en operación. No definen las consecuencias de operar un sistema de reconocimiento facial sin consentimiento.
Legislador que me lee: el reconocimiento facial sin regulación es vigilancia masiva. No es seguridad. Es vigilancia. Y la vigilancia masiva sin marco legal es incompatible con los derechos fundamentales que la Constitución protege. Si su ley de IA no regula el reconocimiento facial de manera específica — con límites claros, con consentimiento real, con períodos de retención definidos, con prohibición expresa en ciertos contextos –, su ley no está protegiendo a nadie de uno de los usos más invasivos de la inteligencia artificial.
Cómo tapar este vacío hoy
LFPDPPP + ARCO. Si sospechas que un establecimiento está utilizando reconocimiento facial y procesando tus datos biométricos, puedes ejercer tu derecho de Acceso para solicitar que te informe si tiene datos biométricos tuyos, cómo los obtuvo, para qué los usa y con quién los comparte. Si no tiene tu consentimiento expreso para el tratamiento de datos biométricos — y un letrero de «videovigilancia» no lo es –, puedes ejercer tu derecho de Cancelación para que los elimine y tu derecho de Oposición para que deje de recopilarlos.
Denuncia ante el INAI (o lo que quede de él). Si el responsable del tratamiento no atiende tu solicitud ARCO, puedes presentar una denuncia ante la autoridad de protección de datos. El proceso no es rápido. Pero es un mecanismo formal que puede resultar en multas y en órdenes de cese del tratamiento.
Amparo contra vigilancia gubernamental. Si el reconocimiento facial lo está operando una autoridad gubernamental en un espacio público sin marco legal que lo autorice, el amparo es tu herramienta para cuestionar la legalidad de esa vigilancia. Un amparo que argumente la violación al derecho a la privacidad, al derecho a la protección de datos personales y al derecho a la libre circulación, sustentado con evidencia de la existencia del sistema y con un peritaje que explique su funcionamiento técnico, puede obligar a la autoridad a justificar el uso del sistema o a suspenderlo.
Vacío cuatro: generación sintética de evidencia judicial
Este es el vacío que me toca más de cerca porque lo enfrento en mi trabajo todos los días.
La inteligencia artificial generativa permite fabricar evidencia. No alterar evidencia existente — eso ya era posible antes. Fabricar evidencia desde cero. Crear una conversación de WhatsApp que nunca existió. Generar un audio de una confesión que nunca se hizo. Producir un documento que nunca se firmó. Construir una fotografía de un hecho que nunca ocurrió.
La fabricación de evidencia siempre ha sido un delito. Pero la legislación sobre fabricación de evidencia fue escrita para un mundo donde fabricar requería habilidad, tiempo y recursos. Un mundo donde falsificar un documento requería conocimientos de tipografía y acceso a equipamiento especializado. Un mundo donde alterar un audio requería habilidades de edición de sonido profesional.
Hoy, fabricar evidencia convincente toma minutos. Un modelo de lenguaje puede generar una conversación de WhatsApp que parece real. Un modelo de voz puede generar un audio que suena como una persona real. Un modelo de imagen puede generar una fotografía que parece haber sido tomada por una cámara real.
Las propuestas de ley de IA no abordan la fabricación sintética de evidencia como un problema específico. No definen estándares de autenticación de evidencia digital en la era de la IA generativa. No crean la obligación de que toda evidencia multimedia presentada en un juicio sea sometida a verificación forense de autenticidad. No establecen consecuencias específicas para quien presente evidencia generada por IA como si fuera real.
El peritaje privado como única defensa material
Abogado que litiga y que está leyendo esto: esta es la realidad práctica. Hoy, la única defensa real contra la evidencia fabricada por IA en un proceso judicial es el peritaje forense.
No hay ley que obligue al juez a verificar la autenticidad de la evidencia multimedia. No hay protocolo que le diga al ministerio público «antes de presentar esta imagen como prueba, verifique que no fue generada por IA.» No hay estándar que defina qué nivel de verificación es suficiente.
Lo que hay es el derecho de la contraparte a ofrecer una prueba pericial. Y esa prueba pericial — el peritaje en informática forense — es la única herramienta material que puede demostrar, con rigor técnico y científico, si una pieza de evidencia es auténtica o sintética.
El peritaje analiza la evidencia en múltiples capas: metadatos, patrón de ruido residual, artefactos de compresión, consistencia visual, firmas de modelo generativo. El resultado es un dictamen documentado, reproducible, que el juez puede evaluar y que la contraparte puede confrontar técnicamente.
Sin ese peritaje, la evidencia fabricada se presenta y se acepta. Porque no hay mecanismo automático de verificación. Porque el juez no tiene la formación técnica para detectar un deepfake a simple vista. Porque el ministerio público no tiene las herramientas para verificar la autenticidad de un audio sintético.
El peritaje privado es la única trinchera. Y es una trinchera que cada abogado debería tener en su arsenal, porque la pregunta ya no es si va a enfrentar evidencia generada por IA en un juicio. Es cuándo.
Vacío cinco: manipulación algorítmica de la información pública
Cierro el inventario de vacíos con uno que afecta la democracia misma.
Los algoritmos de recomendación de las redes sociales — que no son IA generativa pero sí son sistemas de inteligencia artificial en el sentido amplio — deciden qué información ves, qué noticias te llegan, qué opiniones se amplifican y cuáles se silencian. Esos algoritmos no son neutrales. Están optimizados para maximizar el engagement — el tiempo que pasas en la plataforma –, y la investigación ha demostrado consistentemente que el contenido que genera más engagement es el contenido extremo, polarizante, emocional.
Ninguna propuesta de ley de IA en México contempla la regulación de algoritmos de recomendación. No hay obligación de transparencia sobre cómo funcionan. No hay obligación de que el usuario pueda desactivarlos o modificarlos. No hay obligación de que sean auditables por una autoridad reguladora.
El resultado es que la conversación pública — lo que la ciudadanía discute, lo que cree, lo que le preocupa — está siendo moldeada por algoritmos cuyo único objetivo es maximizar el tiempo en pantalla, no informar, no educar, no fomentar el diálogo democrático.
Periodista que me lee: usted sabe mejor que nadie cómo los algoritmos de recomendación afectan la difusión de noticias. Sabe que un artículo de investigación riguroso compite en desventaja contra un video sensacionalista porque el algoritmo prioriza lo que genera reacciones, no lo que informa con precisión. Esa distorsión no está regulada. Y las propuestas de ley de IA no la regulan.
La hoja de ruta: qué puede hacer cada quien hoy
No me voy a quedar en el diagnóstico. Voy a dar la hoja de ruta práctica para cada persona que está leyendo esto y que necesita actuar con las herramientas de hoy, no con las leyes de mañana.
Si eres víctima de un deepfake
- No reportes en la plataforma todavía. Preserva la evidencia primero. URLs, código fuente, metadatos. Todo lo que documenté en mi artículo sobre Ley Olimpia aplica aquí.
- Contacta a un perito en informática forense. El peritaje es tu arma principal. Demuestra que el contenido es sintético. Documenta las firmas del modelo generativo. Certifica la evidencia con hash y cadena de custodia. Sin el peritaje, tu caso es tu palabra. Con el peritaje, tu caso es ciencia.
- Busca un abogado que entienda tecnología. No un penalista genérico. Un abogado que sepa qué es un deepfake, que entienda la evidencia forense, y que pueda encuadrar el hecho en los tipos penales disponibles o en la vía civil. La estrategia legal depende del tipo de deepfake: si es íntimo, Ley Olimpia. Si es difamatorio, vía civil por daño moral. Si hubo suplantación, usurpación de identidad. Si hubo extorsión, extorsión con agravantes.
- Considera el amparo como herramienta. Si la fiscalía no actúa, si la plataforma no retira el contenido, si la autoridad no protege, el amparo puede obligar a que se actúe. Un amparo bien fundamentado con peritaje forense adjunto es una herramienta poderosa.
Si eres ciudadano afectado por una decisión automatizada
- Ejerce tus derechos ARCO. Solicita acceso a la información que la empresa tiene sobre ti. Pregunta si la decisión fue tomada por un sistema automatizado. Pregunta qué datos usó y cómo los procesó. No necesitas ser abogado para ejercer ARCO. Es tu derecho bajo la LFPDPPP.
- Si no te responden o te niegan la información, denuncia ante la autoridad de protección de datos. Documenta tu solicitud, la respuesta (o la falta de respuesta), y presenta una queja formal.
- Si la decisión automatizada violó tus derechos fundamentales, busca asesoría para un amparo. El derecho a la no discriminación, el derecho a la igualdad ante la ley, el derecho al debido proceso — todos pueden ser fundamento de un amparo contra una decisión automatizada que los vulnere.
Si eres abogado que litiga casos con componente tecnológico
- Incorpora el peritaje informático forense como pieza estándar de tu estrategia. No como opción. Como estándar. En un mundo donde la evidencia puede ser fabricada por IA, ninguna prueba multimedia debería presentarse o aceptarse sin verificación forense.
- Familiarízate con la LFPDPPP como herramienta contra decisiones automatizadas. Los derechos ARCO, la obligación de consentimiento, el principio de finalidad — todo puede aplicarse a casos donde la IA tomó decisiones sobre datos personales de tu cliente.
- Usa el amparo como herramienta de vanguardia. Los tribunales mexicanos aún no han definido jurisprudencia sólida sobre IA. Cada amparo bien fundamentado que se presente contribuye a construir esa jurisprudencia. Sé parte de esa construcción.
- No aceptes evidencia multimedia sin cuestionarla. Si la contraparte presenta un audio, un video, una imagen, una conversación de WhatsApp, tu primera pregunta debería ser: «¿Ha sido sometida a verificación forense de autenticidad?» Si no lo ha sido, impugna. Porque en la era de la IA generativa, la autenticidad no se presume. Se demuestra.
Si eres legislador
- Lea este artículo y los anteriores de esta serie como un inventario de lo que su ley está dejando fuera. Deepfakes sin tipo penal específico. Decisiones automatizadas sin derecho a explicación. Reconocimiento facial sin límites. Evidencia sintética sin estándares de verificación. Algoritmos de recomendación sin transparencia.
- Cada uno de esos vacíos es un artículo que debería estar en la ley. No como principio general. Como derecho específico, con recurso específico, con consecuencia específica.
- Pida asesoría técnica. No como formalidad. Como necesidad real. Un científico de datos, un perito forense, un ingeniero de IA, un abogado de tecnología. En la mesa de redacción. No en un panel consultivo que se archiva.
Si eres empresario de software
- No esperes a que la ley te diga qué hacer. Implementa estándares de transparencia, de no discriminación, de explicabilidad en tus sistemas de IA ahora. No porque te lo obligue la ley. Porque es lo correcto y porque cuando la ley llegue, ya estarás en cumplimiento.
- Documenta tus modelos. Qué datos usas para entrenar. Qué métricas de equidad aplicas. Qué sesgos has identificado y cómo los mitigas. Esa documentación te protege legalmente y te posiciona como un actor responsable.
- Si tu sistema toma decisiones sobre personas, implementa un mecanismo de explicación y de revisión humana. No porque la ley mexicana te lo exija hoy. Porque la ley europea ya lo exige, porque la tendencia regulatoria global va en esa dirección, y porque el cliente que descubra que un algoritmo le negó un servicio sin explicación no va a ser tu cliente por mucho tiempo.
El peritaje privado: la única defensa material que no depende de la ley
Voy a cerrar con una verdad que necesita decirse con toda la claridad que puedo.
En un país donde la ley de IA aún no existe, donde los vacíos son más grandes que la regulación, donde las propuestas legislativas no cubren los problemas más urgentes, el peritaje privado en informática forense es la única defensa material que tiene el ciudadano frente a los abusos de la inteligencia artificial.
No es la defensa ideal. La defensa ideal sería una ley completa, aplicable, fiscalizada, con tipos penales específicos, con derechos claros, con recursos definidos. Pero esa ley no existe hoy. Y las personas que necesitan protección no pueden esperar a que exista.
El peritaje es lo que convierte «me fabricaron un deepfake» en evidencia admisible. Es lo que convierte «me negaron el crédito un algoritmo» en un caso documentado. Es lo que convierte «hay cámaras con reconocimiento facial en mi colonia» en un hecho demostrable. Es lo que convierte «esa conversación de WhatsApp es falsa» en un dictamen que un juez puede evaluar.
El peritaje no sustituye a la ley. Pero en la ausencia de la ley, es lo único que funciona.
La ley se puede esperar. La justicia, no.
He documentado cinco vacíos en las propuestas de ley de IA en México. Cinco huecos por donde se cuela el daño real a personas reales. Deepfakes sin tipo penal. Decisiones automatizadas sin derecho a explicación. Reconocimiento facial sin límites. Evidencia sintética sin verificación. Algoritmos de recomendación sin transparencia.
Cada uno de esos vacíos tiene, hoy, una respuesta imperfecta pero funcional: la combinación de informática forense, LFPDPPP, Ley Olimpia y amparo constitucional. No es la solución definitiva. Es la trinchera disponible.
He formado a más de 1,300 peritos en 10 países. He escrito seis libros sobre informática forense. He analizado evidencia en casos donde la inteligencia artificial era la herramienta del agresor y donde el peritaje forense fue la herramienta de la víctima. Y lo que he aprendido en 17 años es que la tecnología siempre llega antes que la ley. Siempre. Sin excepción.
La pregunta no es si la ley va a alcanzar a la tecnología. No la va a alcanzar. La pregunta es qué hacemos en el espacio entre la tecnología y la ley. En ese espacio viven las víctimas, los abogados, los peritos, los jueces que intentan hacer justicia con herramientas del siglo pasado frente a problemas del siglo presente.
En ese espacio es donde trabajamos en Duriva. En ese espacio emitimos dictámenes, analizamos deepfakes, verificamos autenticidad, construimos las pruebas que el sistema jurídico necesita para funcionar aunque la ley no le haya dado todas las herramientas.
Porque la ley se puede esperar. La justicia, no.
Y si alguien tiene que llenar los vacíos mientras la ley se escribe, que los llene la ciencia forense. Que los llene la evidencia. Que los llene el peritaje. Porque los vacíos legislativos no son espacios neutros. Son espacios donde el daño ocurre sin consecuencias.
Y eso, en 17 años de carrera, es lo único que nunca he aprendido a aceptar.