Voy a hacer algo que probablemente no esperan después de leer mi artículo anterior.
Voy a defender al legislador.
No al legislador que confunde un algoritmo con una aplicación — ese merece la crítica que le di y más. Sino al legislador que, con todas las limitaciones técnicas que tiene, con toda la brecha de conocimiento que existe entre su formación jurídica y la tecnología que pretende regular, está intentando hacer algo. Está intentando legislar. Está intentando poner reglas donde hoy no hay ninguna.
Y voy a defender la posición más incómoda de todas: la posición de que una ley imperfecta sobre inteligencia artificial puede ser mejor que no tener ley.
Lo hago porque soy honesto. Y la honestidad me obliga a reconocer que mientras yo y otros tecnólogos exigimos perfección legislativa, mientras debatimos definiciones, mientras señalamos errores conceptuales, mientras proponemos revisiones técnicas vinculantes y paneles de expertos permanentes, la tecnología no espera. La tecnología está operando hoy, sin reglas, sin límites, sin consecuencias. Y las personas que están sufriendo las consecuencias de esa ausencia de regulación no pueden esperar a que la ley sea perfecta.
Llevo 17 años en informática forense. He formado a más de 1,300 peritos en 10 países. Y en esos 17 años he visto suficientes casos para saber que la teoría legislativa perfecta no le sirve de nada a la persona cuya vida fue destruida por un deepfake mientras los expertos debatían cómo definir «inteligencia artificial.»
Este artículo es para el ciudadano que está en medio del debate y no sabe de qué lado ponerse. Para el legislador que necesita argumentos sólidos para actuar con urgencia y al mismo tiempo con responsabilidad. Para el abogado que litiga hoy con las herramientas de ayer y necesita un marco — aunque sea imperfecto — para proteger a sus clientes. Para la víctima de un deepfake que no puede esperar tres años a que la ley sea perfecta. Para el periodista que cubre el debate y necesita escuchar ambos lados con la misma honestidad.
A todos les digo: la respuesta no es obvia. Pero la pregunta es urgente.
El costo de no legislar: lo que pasa mientras debatimos
Voy a empezar con lo que está pasando ahora mismo. No en teoría. No en un escenario hipotético. Ahora mismo, en México, mientras el Congreso debate y los expertos critican y los académicos publican papers.
Ahora mismo, un sistema de scoring crediticio está negando un crédito a alguien por razones que esa persona no puede conocer, no puede cuestionar y no puede impugnar. No hay ley que obligue a la institución financiera a explicar qué variables usó su modelo. No hay ley que le diga al ciudadano «tienes derecho a saber por qué te negaron el crédito.» No hay ley que establezca que un modelo de scoring no puede discriminar por código postal, por género inferido del nombre, o por patrones de consumo que funcionan como proxies de raza o nivel socioeconómico.
La ausencia de ley no es neutralidad. Es permiso. Es decirle al mercado: haz lo que quieras, porque no hay reglas que violes.
Ahora mismo, hay deepfakes circulando que están destruyendo reputaciones. Videos sintéticos de personas en situaciones fabricadas. Audios generados que hacen parecer que alguien dijo algo que nunca dijo. Imágenes que colocan a personas en lugares donde nunca estuvieron. Y las víctimas de esos deepfakes no tienen un recurso legal específico. Pueden intentar encuadrar el hecho en tipos penales existentes — difamación, usurpación de identidad, violencia digital bajo la Ley Olimpia si el contenido es íntimo — pero ninguno de esos tipos penales fue diseñado para contemplar la generación sintética de contenido. Las definiciones no encajan. Los elementos del tipo no se alinean. El abogado tiene que forzar la interpretación. Y el juez tiene que decidir si acepta esa interpretación forzada o no.
He visto casos en Duriva donde la víctima tenía toda la razón, toda la evidencia forense, todo el análisis técnico que demostraba que el contenido era sintético, y el proceso jurídico se empantanaba porque no había un marco legal claro para encuadrar el hecho. No porque la justicia no quisiera actuar. Sino porque la ley no le daba las herramientas para hacerlo con precisión.
Ahora mismo, sistemas de reconocimiento facial están operando en espacios públicos sin que nadie haya definido bajo qué condiciones es legal hacerlo. No hay ley que diga si una cámara con reconocimiento facial en un centro comercial es legal o ilegal. No hay ley que defina quién puede acceder a esos datos. No hay ley que establezca por cuánto tiempo se almacenan los datos biométricos recopilados. No hay ley que le diga al ciudadano «tu rostro fue capturado por un sistema de reconocimiento facial y almacenado en una base de datos.»
La LFPDPPP cubre datos personales en general, pero no fue diseñada para el escenario específico de reconocimiento facial masivo en tiempo real. Hay una laguna. Y en esa laguna operan sistemas que recopilan datos biométricos de millones de personas sin consentimiento informado.
Ahora mismo, sistemas de IA están generando evidencia falsa que se está presentando en procesos judiciales. Capturas de pantalla fabricadas. Conversaciones de WhatsApp generadas. Audios sintéticos. Documentos creados con IA que parecen auténticos. Y los jueces que reciben esa evidencia no tienen un protocolo claro para verificar su autenticidad en la era de la IA generativa. El artículo 210-A habla de pruebas electrónicas, pero fue redactado antes de que la generación sintética de contenido fuera accesible para cualquier persona con un celular.
Cada uno de estos escenarios es real. Cada uno está ocurriendo hoy. Y cada uno está ocurriendo en un vacío jurídico que la ley de IA, aunque sea imperfecta, podría empezar a llenar.
El argumento del perfeccionismo legislativo: por qué tiene mérito pero también tiene límites
Voy a ser justo con la posición contraria — la que yo mismo he defendido en otros espacios — porque la honestidad intelectual lo exige.
El argumento del perfeccionismo legislativo dice: es mejor esperar y hacer una ley buena que apresurarse y hacer una ley mala. Una ley mala crea inseguridad jurídica, genera falsa protección, tiene efectos no deseados, y es difícil de corregir una vez aprobada. Mejor tomarse el tiempo, consultar a expertos, estudiar experiencias internacionales, y producir una legislación de calidad.
El argumento tiene mérito. Lo reconozco porque he visto las consecuencias de leyes tecnológicas mal hechas. He visto artículos de ley con errores técnicos que los tribunales han tenido que «interpretar» — que en la práctica significa «rescribir jurisprudencialmente porque el legislador no dijo lo que quería decir.» He visto cómo una ley mal definida genera más litigios de los que resuelve. He visto el costo de la inseguridad jurídica.
Pero el argumento del perfeccionismo legislativo tiene un límite. Y ese límite se llama tiempo.
Mientras esperamos la ley perfecta, las personas siguen desprotegidas. No en abstracto. En concreto. Personas con nombre, con rostro, con derechos que nadie está defendiendo porque no hay un marco jurídico que les dé las herramientas para hacerlo.
La pregunta correcta no es «¿queremos una ley perfecta o una ley imperfecta?» La pregunta correcta es: «¿cuánto tiempo más pueden esperar las personas que necesitan protección?»
Y mi respuesta, después de 17 años de ver cómo el sistema jurídico llega tarde a la tecnología, es: no pueden esperar mucho más.
Víctima de un deepfake que me lee: entiendo tu urgencia. La entiendo porque la he visto en mi laboratorio, en las caras de personas que llegan con su vida destruida por un video falso y me preguntan «¿qué puedo hacer?» Y yo les tengo que explicar que la herramienta jurídica que necesitan no existe todavía. Que vamos a buscar la forma de encuadrar el hecho en los tipos penales disponibles. Que el peritaje forense va a demostrar que el video es sintético. Pero que el camino jurídico va a ser más largo, más complicado y más incierto de lo que debería ser, porque la ley no contempla su situación de manera específica.
Tú no puedes esperar a la ley perfecta. Necesitas una ley que, aunque sea imperfecta, te dé un recurso claro, un tipo penal específico, un marco procesal definido. Y eso es lo que una ley de IA, aunque tenga deficiencias técnicas, puede darte.
El precedente histórico: leyes imperfectas que funcionaron
Los perfeccionistas legislativos necesitan que les recuerde algo: no existe una ley perfecta. Ninguna. En la historia de la legislación, nunca se ha producido una ley que no haya requerido reformas, interpretaciones jurisprudenciales, reglamentos secundarios o ajustes posteriores.
La LFPDPPP no era perfecta cuando se aprobó en 2010. Tenía lagunas, definiciones discutibles, mecanismos de fiscalización insuficientes. Pero estableció un principio fundamental: los datos personales de los mexicanos tienen protección legal. Ese principio, imperfecto como fue su desarrollo legislativo, cambió la conversación. Antes de la LFPDPPP, las empresas hacían lo que querían con los datos de sus usuarios. Después, al menos tenían que considerar que había reglas, que había un organismo regulador, que había consecuencias posibles. Las reglas eran imperfectas, pero existían. Y su existencia era mejor que su ausencia.
La Ley Olimpia no era perfecta cuando se aprobó. De hecho, no es una ley única — es un conjunto de reformas a códigos penales estatales y federales, con variaciones entre estados, con definiciones que no siempre coinciden, con penas que no siempre son proporcionales. Pero estableció un principio: la difusión no consentida de contenido íntimo es un delito. Antes de la Ley Olimpia, las víctimas no tenían un recurso penal específico. Después, tienen uno. Imperfecto, pero real. Y esa imperfección se ha ido corrigiendo con reformas, con jurisprudencia, con la experiencia acumulada de aplicarla.
La Ley Federal de Telecomunicaciones no era perfecta cuando se aprobó. El artículo 183, que obliga a los concesionarios a conservar datos de comunicaciones, no define el formato de entrega, las columnas obligatorias ni el estándar de verificación — como he documentado extensamente en otros artículos. Pero estableció la obligación de conservar. Y esa obligación, con todas sus deficiencias, es la base sobre la que se han construido miles de investigaciones que han dado resultados.
El patrón es claro: las leyes tecnológicas en México no nacen perfectas. Nacen imperfectas y se perfeccionan con el tiempo. Y el punto de partida — por imperfecto que sea — es mejor que la ausencia total de regulación.
Legislador que duda entre aprobar una ley imperfecta o esperar a una ley perfecta: la ley perfecta no va a llegar. No porque usted sea incapaz de producirla. Sino porque la perfección legislativa no existe, y menos en un campo tecnológico que cambia cada seis meses. Lo que sí puede hacer es producir una ley buena — no perfecta, pero buena –, con las mejores definiciones que pueda lograr con la asesoría técnica disponible, con cláusulas de revisión obligatoria que permitan actualizarla, y con la humildad de reconocer que va a requerir ajustes. Eso es legislar responsablemente. Eso es lo que el ciudadano necesita.
El argumento de la urgencia real
Voy a ser directo porque este punto necesita una franqueza que no siempre es cómoda.
La inteligencia artificial generativa — los modelos que generan texto, imagen, audio, video — se ha democratizado. Ya no es una herramienta exclusiva de laboratorios de investigación o empresas tecnológicas. Cualquier persona con acceso a internet puede generar un deepfake. Cualquier persona puede crear un audio sintético que replique la voz de alguien. Cualquier persona puede fabricar una imagen que coloque a alguien en una situación que nunca ocurrió.
Esa democratización tiene un lado positivo: la IA generativa permite creatividad, eficiencia, innovación accesible. Pero tiene un lado oscuro que no se puede ignorar: también democratiza la capacidad de daño.
Antes, fabricar evidencia falsa requería habilidades técnicas significativas. Editar un video de manera convincente requería software profesional y conocimiento especializado. Generar un audio que imitara una voz requería equipamiento de estudio. Hoy, cualquiera puede hacerlo. En minutos. Gratis.
Y esa capacidad está siendo utilizada. Para extorsión. Para fraude. Para violencia digital. Para manipulación política. Para fabricar evidencia en procesos judiciales. Para destruir reputaciones. Para generar contenido íntimo no consentido.
Cada mes que pasa sin regulación es un mes en el que esa capacidad de daño opera sin consecuencias jurídicas específicas. Un mes en el que las víctimas tienen que navegar un laberinto jurídico que no fue diseñado para su situación. Un mes en el que los agresores operan en la comodidad de saber que lo que están haciendo no tiene un nombre jurídico preciso.
Ciudadano que está leyendo esto y no sabe de qué lado ponerse: piénselo así. Si mañana alguien crea un deepfake con tu rostro — un video donde apareces diciendo algo que nunca dijiste, o peor, un video íntimo fabricado que se difunde en tu trabajo, en tu escuela, en tu colonia –, ¿qué herramienta jurídica tienes hoy para defenderte? La respuesta honesta es: ninguna que esté diseñada específicamente para esa situación. Vas a tener que improvisar con tipos penales que no contemplan la generación sintética de contenido. Vas a tener que explicarle al ministerio público qué es un deepfake. Vas a tener que esperar a que el sistema jurídico descifre cómo encuadrar tu caso.
Una ley de IA, aunque sea imperfecta, te daría un punto de partida. Un tipo penal. Un recurso. Un nombre jurídico para lo que te pasó. Eso no es todo. Pero es infinitamente más de lo que tienes ahora.
La posición equilibrada: legislar rápido con cláusulas de corrección
Después de todo lo que he argumentado — la crítica a la falta de conocimiento técnico, la defensa de la urgencia legislativa –, mi posición es esta:
México debe legislar sobre inteligencia artificial. Debe hacerlo pronto. Y debe hacerlo sabiendo que la ley va a ser imperfecta.
Pero «imperfecta» no significa «irresponsable.» Hay una diferencia enorme entre una ley imperfecta y una ley negligente. Una ley imperfecta tiene definiciones que podrían ser mejores pero que son funcionales. Una ley negligente tiene definiciones que son técnicamente incorrectas y que producen efectos contrarios a los buscados. Una ley imperfecta tiene mandatos que son difíciles de fiscalizar pero que establecen un estándar. Una ley negligente tiene mandatos que son imposibles de cumplir y que convierten a toda la industria en infractora por defecto.
La diferencia entre imperfecta y negligente es la asesoría técnica. Una ley redactada con asesoría técnica puede ser imperfecta — ninguna ley de primera generación sobre una tecnología nueva va a ser perfecta. Pero no va a ser negligente. No va a confundir conceptos básicos. No va a crear mandatos físicamente imposibles. No va a regular cosas que no existen ni dejar sin regular cosas que sí existen.
Entonces mi propuesta es esta, y va dirigida a todos los actores del debate:
Primero: legislar con la mejor asesoría técnica disponible, no con la asesoría técnica perfecta. No existe la asesoría perfecta. Pero sí existe la buena asesoría. Un equipo de cinco personas — un científico de datos, un ingeniero de IA, un perito forense, un abogado de tecnología, un especialista en ética — puede revisar una propuesta de ley en dos meses y elevar dramáticamente su calidad técnica. No a la perfección. A la funcionalidad.
Segundo: incluir cláusulas de revisión obligatoria. La ley debe establecer, en su propio texto, que será revisada técnicamente cada dos años. No «podrá ser revisada.» «Será revisada.» Con un mandato explícito de evaluar si las definiciones siguen siendo pertinentes, si los mandatos siguen siendo técnicamente viables, si han surgido nuevas tecnologías que la ley no contempla. Esto convierte a la ley en un documento vivo que se actualiza, no en un fósil legislativo que queda obsoleto al día siguiente de su publicación.
Tercero: empezar por lo urgente. No intentar regular toda la IA en una sola ley. Empezar con las aplicaciones que generan más daño inmediato. Deepfakes. Decisiones automatizadas que afectan derechos fundamentales. Reconocimiento facial sin consentimiento. Generación de evidencia falsa. Regular eso primero, con la precisión que se pueda, y ampliar la regulación conforme se acumula experiencia.
Cuarto: crear un mecanismo de interpretación técnica. Un organismo — o un panel dentro de un organismo existente — que pueda emitir opiniones técnicas vinculantes sobre cómo interpretar la ley en casos específicos. Cuando un juez se enfrente a un caso donde la ley de IA es ambigua, que pueda solicitar una opinión técnica a un panel de expertos que le explique las implicaciones tecnológicas de cada interpretación posible. Eso no elimina la discrecionalidad judicial. La informa.
Lo que le digo a cada arquetipo
Voy a cerrar hablando directamente a cada persona que puede estar leyendo esto, porque cada una tiene un rol diferente en este debate.
Al ciudadano: no esperes a entender todo sobre inteligencia artificial para tener una opinión sobre la ley de IA. Tu opinión importa porque la ley te afecta. Lo que necesitas saber es esto: hoy no tienes derechos específicos frente a la IA. Una ley te los daría. Puede ser imperfecta, pero es un punto de partida. Exige que se legisle. Y exige que se legisle con asesoría técnica para que lo que se apruebe sirva de algo.
Al legislador: sé que le han dicho que la ley no está lista. Sé que le han señalado errores técnicos, definiciones imprecisas, mandatos cuestionables. Mucho de eso es cierto. Pero también es cierto que mientras usted espera a que la ley sea perfecta, hay personas que necesitan protección hoy. Mi propuesta: no espere la perfección, pero tampoco legisle con negligencia. Busque la mejor asesoría técnica que pueda obtener en un plazo razonable. Incluya cláusulas de revisión. Y apruebe una ley que, aunque tenga defectos, establezca los principios fundamentales: transparencia, no discriminación, responsabilidad, protección de derechos.
Al abogado: usted necesita esta ley más de lo que cree. Cada caso que litiga donde la IA es relevante — y cada vez son más — lo litiga en un vacío jurídico. Sin definiciones. Sin estándares. Sin precedentes. Una ley, aunque sea imperfecta, le da un marco. Le da argumentos. Le da un fundamento para sus peticiones. La imperfección de la ley es un problema menor comparado con la ausencia total de ley.
Al empresario de software: entiendo su preocupación. Una ley imperfecta genera incertidumbre regulatoria. Pero la ausencia de ley también genera incertidumbre — la incertidumbre de no saber si lo que hace hoy va a ser declarado ilegal mañana con efecto retroactivo. Al menos una ley, aunque sea imperfecta, le da reglas del juego. Reglas que puede cumplir, que puede auditar, que puede documentar que cumple. La ausencia de reglas no es libertad. Es vulnerabilidad.
A la víctima: sé que necesitas una ley que te proteja de lo que ya te pasó. Sé que no puedes esperar tres años. Sé que la urgencia no es un argumento abstracto para ti — es tu vida, tu reputación, tu tranquilidad. La ley que se apruebe puede no ser perfecta. Puede tener huecos. Puede requerir que tu abogado y tu perito trabajen para llenar esos huecos con interpretación y con evidencia. Pero te va a dar algo que hoy no tienes: un fundamento legal específico para exigir justicia.
Al periodista: cubre este debate con toda la complejidad que tiene. No es «ley buena» versus «ley mala.» Es «ley imperfecta ahora» versus «ley mejor después» versus «sin ley mientras tanto.» Y «mientras tanto» tiene un costo humano que pocas veces se documenta. Documéntalo. Busca a las personas que están sufriendo las consecuencias de la ausencia de regulación. Sus historias son el argumento más poderoso a favor de legislar, aunque sea de manera imperfecta.
La perfección es el enemigo de lo bueno
He sido crítico con las propuestas de ley sobre inteligencia artificial en México. He señalado errores conceptuales, confusiones terminológicas, mandatos técnicamente imposibles. Y sostengo cada una de esas críticas.
Pero la crítica sin propuesta es cinismo. Y la propuesta que ignora la urgencia es irresponsabilidad.
La realidad es que mientras debatimos la definición perfecta de «inteligencia artificial,» un deepfake está destruyendo la reputación de alguien. Mientras discutimos si la ley debe decir «algoritmo» o «modelo de aprendizaje automático,» un sistema de scoring está negando un crédito por razones que nadie puede conocer. Mientras exigimos paneles de expertos y revisiones técnicas vinculantes, el reconocimiento facial está operando sin reglas en espacios públicos.
La perfección es el enemigo de lo bueno. Y lo bueno, en este contexto, es una ley que establezca principios fundamentales, que cree derechos específicos, que defina obligaciones claras, y que incluya mecanismos para corregirse a sí misma conforme la tecnología y la experiencia lo exijan.
En Duriva, no esperamos a que la ley sea perfecta para hacer nuestro trabajo. Analizamos evidencia en un mundo de deepfakes hoy. Autenticamos contenido digital con las herramientas que existen hoy. Emitimos dictámenes que los jueces necesitan hoy. Porque la realidad no espera a la legislación.
Pero la legislación puede acercarse a la realidad. Si se hace con urgencia responsable. Si se hace con la mejor asesoría técnica disponible. Si se hace con la humildad de saber que va a requerir ajustes.
La pregunta no es si la ley va a ser perfecta. No lo va a ser. La pregunta es si va a ser lo suficientemente buena para proteger a las personas que la necesitan hoy.
Esa pregunta la responden los legisladores. Pero la presión para que la respondan bien la ejercemos todos.