Who is Responsible? The Data, Models, Users or Regulations? A Comprehensive Survey on Responsible Generative AI for a Sustainable Future

Esta encuesta exhaustiva, basada en una revisión PRISMA de 232 estudios, analiza la responsabilidad en la IA generativa a través de cuatro tipos de sistemas y múltiples dominios, identificando brechas críticas en la evaluación de riesgos y proponiendo un marco integral de métricas y directrices para alinear el desarrollo técnico con la gobernanza y la sostenibilidad.

Lo esencial

¡Claro que sí! Imagina que la Inteligencia Artificial Generativa (como los chatbots que escriben textos, crean imágenes o hacen código) es como un nuevo super-cocinero que acaba de llegar a tu ciudad. Este cocinero es increíblemente rápido, puede cocinar cualquier plato que le pidas y nunca se cansa. Pero, como es nuevo y muy potente, también tiene algunos problemas: a veces inventa ingredientes que no existen, a veces copia recetas de otros sin pedir permiso, y si no lo vigilas, podría servirte algo que te haga daño.

Este artículo es como un gran manual de seguridad escrito por un equipo de expertos de todo el mundo. Su misión es responder a una pregunta crucial: ¿Quién es el responsable de que este cocinero no nos haga daño? ¿Es el dueño del restaurante (los desarrolladores), el cliente que pide el plato (el usuario), o el inspector de salud (las leyes)?

Aquí te explico las ideas principales del artículo usando analogías sencillas:

1. El Problema: El "Cocinero" que alucina

El artículo dice que estos sistemas de IA están pasando de ser experimentos de laboratorio a usarse en hospitales, bancos y escuelas. El problema es que a veces "alucinan".

• La analogía: Imagina que le pides al cocinero que te haga un pastel de zanahoria. Él te hace uno delicioso, pero si le preguntas "¿de dónde sacaste las zanahorias?", él podría decirte que las encontró en el espacio exterior. ¡Eso es una alucinación! En la vida real, si un médico usa una IA que inventa datos sobre un paciente, podría ser peligroso.

2. La Solución: Una "Lista de Control" de 10 Puntos

Los autores crearon una lista de verificación (una rúbrica) con 10 puntos para evaluar qué tan seguro es un sistema de IA. Es como si un inspector de restaurantes revisara:

1. ¿El cocinero es racista o sexista? (Sesgo).
2. ¿Dice cosas ofensivas? (Toxicidad).
3. ¿Se puede hackear fácilmente? (Seguridad).
4. ¿Cuenta mentiras convincentes? (Desinformación).
5. ¿Falsifica fotos o videos? (Deepfakes).
6. ¿Roba secretos privados? (Privacidad).
7. ¿Se rompe cuando se le pide algo complejo? (Fallos del sistema).
8. ¿Puede engañar a un hacker que intenta atacarlo? (Pruebas de ataque).
9. ¿Explica cómo cocinó el plato? (Explicabilidad).
10. ¿Cumple con las leyes locales? (Gobernanza).

El hallazgo importante: Los autores revisaron muchos exámenes de seguridad actuales y descubrieron que la mayoría de los exámenes son muy fáciles. Se enfocan mucho en si el cocinero dice groserías (toxicidad), pero casi nadie le pregunta si roba recetas (privacidad) o si puede falsificar una foto de un presidente (deepfakes). ¡Es como si solo revisaran si el cocinero se lavó las manos, pero no si la comida está envenenada!

3. El "Ciclo de Auditoría": De la Teoría a la Práctica

El artículo propone un nuevo sistema para que la seguridad no sea solo una promesa, sino algo medible.

• La analogía: Imagina que en lugar de solo decir "mi coche es seguro", tienes un cuaderno de bitácora que registra cada vez que frenaste, cada vez que el motor se calentó y cada vez que revisaste los frenos.
• Los autores crearon 12 indicadores clave (KPIs). Son como medidores en el tablero del coche que te dicen: "Oye, este sistema gasta mucha energía", "Oye, aquí hay un 5% de probabilidad de que diga una mentira", o "Oye, necesitamos revisar esto cada semana".

4. ¿Quién es el responsable? (El Modelo Simétrico)

Aquí viene la parte más interesante. El artículo dice que la culpa no es solo de uno.

• Los Desarrolladores (El Chef): Son responsables de crear un sistema que no sea tóxico, que explique sus decisiones y que sea robusto. No pueden decir "es culpa del usuario" si el sistema está mal diseñado.
• Los Usuarios (El Comensal): Son responsables de no usar el sistema para cosas malas y de entender que, a veces, el sistema puede equivocarse. No pueden confiar ciegamente en todo lo que dice la IA.
• Los Reguladores (El Inspector): Son responsables de crear leyes claras (como la Ley de IA de la Unión Europea) que obliguen a los chefs a seguir las reglas.

La analogía final: Si un coche se accidenta, no es solo culpa del conductor por no ver el semáforo, ni solo del fabricante por un fallo en los frenos. Es un sistema compartido. Todos deben trabajar juntos.

5. ¿Qué falta por hacer? (El Futuro)

El artículo concluye que necesitamos:

• Pruebas más difíciles: En lugar de preguntar al cocinero cosas sencillas, hay que intentar engañarlo con trucos complejos (como intentar que te dé una receta secreta).
• Vigilancia continua: No basta con revisar el coche una vez al año; hay que revisarlo cada vez que cambia el camino o el clima.
• Transparencia: Saber de dónde vienen los ingredientes (datos) y cómo se cocinó el plato.

En resumen

Este artículo es un llamado a la acción. Dice que la Inteligencia Artificial es una herramienta maravillosa, pero si no ponemos "frenos de seguridad" reales, medibles y compartidos entre todos (creadores, usuarios y leyes), podríamos tener problemas graves. La responsabilidad no es de un solo grupo; es un trabajo en equipo para asegurar que el futuro de la IA sea seguro, justo y útil para todos.

Resumen técnico

Aquí tienes un resumen técnico detallado del artículo "Who is Responsible? The Data, Models, Users or Regulations? A Comprehensive Survey on Responsible Generative AI for a Sustainable Future", presentado en español.

Resumen Técnico: Encuesta sobre IA Generativa Responsable

1. Planteamiento del Problema

La IA Generativa (GenAI), que incluye Modelos de Lenguaje Grande (LLM), modelos visión-idioma (VLM), modelos de difusión y pipelines de agentes autónomos, ha transitado rápidamente de la investigación a la implementación en producción. Este despliegue acelerado ha revelado riesgos específicos que los marcos de IA Responsable (RAI) tradicionales, diseñados para sistemas predictivos, no cubren adecuadamente:

• Nuevos modos de fallo: Alucinaciones (factualidad incorrecta), inestabilidad estocástica, inyección de prompts, "jailbreaking" y fallos a nivel de sistema en entornos de agentes que utilizan herramientas.
• Brecha de implementación: Existe un desequilibrio crítico donde el 74% de las organizaciones utilizan GenAI, pero solo el 26% posee una estrategia integral de IA Responsable.
• Falta de alineación: La literatura académica y los marcos de gobernanza (como la Ley de IA de la UE o el NIST AI RMF) a menudo están desconectados de las prácticas de ingeniería y evaluación técnica. Los benchmarks actuales suelen ser estáticos, locales en la tarea y densos en temas como sesgo y toxicidad, pero escasos en privacidad, procedencia, deepfakes y fallos de sistemas autónomos.

2. Metodología

Los autores realizaron una revisión sistemática de la literatura siguiendo las directrices PRISMA (Preferred Reporting Items for Systematic Reviews and Meta-Analyses):

• Cobertura temporal: Noviembre 2022 a diciembre de 2025 (post-GPT).
• Fuentes: Búsqueda en Scopus, Web of Science, IEEE Xplore, ACM Digital Library y arXiv.
• Proceso de selección: De 5,313 registros iniciales, tras deduplicación y cribado por tres revisores independientes, se seleccionaron 142 estudios de alta calidad para el análisis final.
• Enfoque: La revisión se centró en la aplicación de principios de RAI a sistemas generativos, analizando taxonomías de riesgos, benchmarks de evaluación, métricas de rendimiento (KPIs) y estrategias de mitigación en dominios específicos (salud, finanzas, defensa, etc.).

3. Contribuciones Clave

El artículo presenta cuatro contribuciones principales que buscan cerrar la brecha entre la teoría, la evaluación técnica y la gobernanza:

1. Primera Encuesta Integral: Un mapeo que conecta simultáneamente principios de gobernanza, evaluación técnica y despliegue en dominios para los cuatro tipos de sistemas generativos (LLM, VLM, difusión y agentes). Es la primera encuesta que cubre todas las dimensiones de novedad (taxonomía, alcance, evaluación y métodos) simultáneamente.
2. Rubrica de Evaluación (C1–C10) y "Crosswalk" de Políticas:
   • Desarrollo de una rúbrica de diez criterios para puntuar benchmarks de seguridad de IA según su cobertura de la superficie de riesgo (sesgo, toxicidad, seguridad, desinformación, deepfakes, privacidad, fallos sistémicos, realismo de actores maliciosos, validez de métricas y alineación con gobernanza).
   • Creación de un "mapa de cruce" (crosswalk) que vincula cada benchmark con los requisitos regulatorios específicos que puede evidenciar (ej. Ley de IA de la UE, NIST).
3. Operacionalización mediante KPIs y Testbeds:
   • Definición de 12 Indicadores Clave de Desempeño (KPIs) medibles a lo largo del ciclo de vida (calidad de datos, cumplimiento de privacidad, detección de sesgos, robustez, explicabilidad, tasa de errores de alto impacto, frecuencia de auditoría, inclusividad y sostenibilidad).
   • Propuesta de un catálogo de "testbeds" (entornos de prueba) listos para IA y una matriz de responsabilidad que vincula KPIs con herramientas de auditoría específicas.
4. Análisis Específico por Dominio: Evaluación de cómo los riesgos y estrategias de RAI varían en sectores críticos como salud, finanzas, defensa, educación y agricultura, identificando brechas específicas en la evidencia de auditoría para cada uno.

4. Resultados Principales

El análisis de la literatura y la aplicación de la rúbrica revelaron hallazgos críticos:

• Cobertura Desigual de Riesgos: Los benchmarks actuales tienen una cobertura densa para sesgo y toxicidad, pero son notoriamente deficientes en privacidad, procedencia de datos, deepfakes y fallos a nivel de sistema (especialmente en configuraciones de agentes autónomos).
• Estancamiento en la Evaluación: Las evaluaciones siguen siendo mayoritariamente estáticas y locales a la tarea, lo que limita la portabilidad de las auditorías. Los modelos pueden aprender a "engañar" a los benchmarks estáticos (safetywashing) mediante scripts de rechazo basados en palabras clave, fallando en interacciones complejas y multi-turno.
• Brecha de Documentación: La inconsistencia en la documentación (model cards, datasheets) dificulta la comparación entre versiones y la generación de evidencia auditable para reguladores.
• Hallazgos por Dominio:
  • Salud: Riesgo alto de alucinaciones en diagnósticos y necesidad de trazabilidad (RAG) y supervisión humana (HITL).
  • Finanzas: Necesidad de auditorías de sesgo interseccional y resistencia a ataques adversarios en trading.
  • Defensa: Falta crítica de pruebas de fallos en sistemas de agentes multi-nivel y control humano significativo sobre el uso de la fuerza.
  • Educación/Arte: Preocupaciones sobre privacidad de menores, derechos de autor y la "evasión de habilidades" (dependencia excesiva de la IA).

5. Significado e Impacto

Este trabajo es fundamental para la comunidad de IA y los responsables de políticas por varias razones:

• Modelo de Responsabilidad Simétrica: Propone que la responsabilidad no recae solo en los desarrolladores, sino que requiere un modelo donde los usuarios también sean responsables de la integridad operativa y la alfabetización digital, actuando como controles técnicos.
• Puente entre Regulación e Ingeniería: Ofrece un camino estructurado para traducir mandatos regulatorios abstractos (como la Ley de IA de la UE) en controles de ingeniería concretos y evidencia de auditoría portátil.
• Agenda de Investigación: Define prioridades claras para el futuro, incluyendo la evaluación multimodal adaptativa, pruebas de privacidad y procedencia, evaluación de riesgos de deepfakes, y la integración de la sostenibilidad (huella de carbono) en las métricas de rendimiento.
• Herramienta Práctica: La matriz de responsabilidad y los KPIs propuestos permiten a las organizaciones pasar de la "caja negra" a una gestión de riesgos continua y verificable, esencial para el despliegue seguro y sostenible de la GenAI.

En conclusión, el artículo argumenta que sin una alineación entre la evaluación técnica rigurosa, la gobernanza regulatoria y la responsabilidad compartida de los actores, el despliegue de la IA Generativa seguirá siendo vulnerable a fallos sistémicos que amenazan la seguridad, la privacidad y la confianza pública.