La inteligencia artificial está muy lejos de ser solo como una herramienta para hacer tareas, redactar textos, crear imágenes, resolver dudas en segundos o hacer videos graciosos, el debate ahora apunta a una pregunta más urgente, qué pasa cuando esos sistemas se vuelven tan poderosos que pueden ayudar a causar daños reales.
Illinois acaba de entrar de lleno en esa discusión, el gobernador JB Pritzker firmó la Artificial Intelligence Safety Measures Act, una ley que busca imponer límites de seguridad, transparencia y rendición de cuentas a los desarrolladores de los modelos de IA más avanzados.
Esta medida sigue el camino abierto por California y Nueva York, y cobra relevancia porque Estados Unidos aún no cuenta con una regulación federal integral para esta tecnología.
Por ello, Pritzker dijo que el Congreso y la Casa Blanca deberían aprobar una legislación similar, pero que no lo han hecho porque, a su juicio, hay intereses que se benefician de una industria sin regulación.
Detalles de la leyLa ley no está dirigida a cualquier aplicación pequeña ni a todos los usos cotidianos de la IA generativa, su foco son los grandes desarrolladores de modelos de frontera, como empresas con ingresos anuales superiores a 500 millones de dólares y sistemas entrenados con enorme capacidad de cómputo.
Eso significa que el objetivo no es frenar al usuario que emplea IA para estudiar, trabajar o crear contenido, sino exigir controles a las compañías que desarrollan los modelos más potentes del mercado.
La ley obliga a esos desarrolladores a publicar un marco de seguridad donde expliquen cómo identifican, evalúan y reducen riesgos catastróficos.
También deben describir sus medidas de ciberseguridad, sus procesos internos de gobernanza y la forma en que responden ante incidentes críticos.
En todo caso, la palabra clave de la ley es riesgo catastrófico, el texto define ese riesgo como la posibilidad de que un modelo de frontera contribuya de forma material a la muerte o lesión grave de más de 50 personas, o a daños materiales superiores a mil millones de dólares en un solo incidente.
La ley menciona ejemplos concretos, como por ejemplo que un modelo ofrezca asistencia experta para crear o liberar armas químicas, biológicas, radiológicas o nucleares; que participe en un ciberataque sin supervisión humana significativa; que facilite delitos como homicidio, agresión, extorsión o robo; o que evada el control de su desarrollador o usuario.
Ahí está el cambio de escala, la preocupación ya no es solo que la IA se equivoque en una respuesta o invente información, sino que el temor regulatorio es que sistemas más avanzados puedan ser usados para causar daños físicos, ataques digitales o incidentes de seguridad pública.
Auditorías externasIllinois va un paso más allá que otras leyes estatales porque exige auditorías anuales independientes realizadas por terceros.
A partir del 1 de enero de 2028, o 90 días después de que una empresa califique como gran desarrollador de frontera, deberá contratar a un auditor externo para revisar si cumple con las obligaciones de seguridad establecidas en su propio marco.
Ese auditor debe tener experiencia técnica en seguridad de modelos de frontera y no puede tener conflictos financieros con la empresa auditada.
Hasta ahora, gran parte de la seguridad en IA se apoya en compromisos voluntarios o reportes elaborados por las propias compañías, mientras que Illinois introduce una lógica distinta: no basta con decir que se tienen controles; alguien externo debe revisar si realmente se cumplen.
La ley también exige que las empresas publiquen una versión resumida de los resultados de la auditoría y entreguen reportes a las autoridades estatales, con redacciones permitidas para proteger secretos comerciales, ciberseguridad, seguridad nacional o seguridad pública.
Otro punto central en la nueva ley es la obligación de reportar incidentes críticos, ya que ordena crear un mecanismo para que desarrolladores o integrantes del público reporten incidentes de seguridad.
Las empresas deberán informar a la agencia correspondiente y al fiscal general de Illinois dentro de las 72 horas posteriores a identificar hechos suficientes para creer que ocurrió un incidente crítico.
El objetivo es evitar que fallas graves queden encerradas dentro de una compañía hasta que el daño sea irreversible.
La ley también contempla procesos internos para que empleados puedan denunciar de forma anónima si creen que las actividades de la empresa representan un peligro sustancial para la salud o seguridad pública, o si consideran que se violó la ley.
Multas para quien no cumplaLa regulación no se queda solo en declaraciones, las empresas que no publiquen documentos requeridos, no realicen auditorías independientes, no reporten incidentes críticos o incumplan su propio marco de seguridad pueden recibir multas civiles de hasta un millón de dólares por la primera infracción y hasta tres millones de dólares por violaciones posteriores.
La aplicación quedará en manos del fiscal general de Illinois pero por lo pronto el diseño busca convertir la seguridad en una obligación verificable, no en una promesa de buena voluntad.
Regular sin apagar la innovaciónLa ley también abre una discusión importante para la industria: cómo poner límites sin frenar el desarrollo tecnológico.
California ya había aprobado la SB 53, una legislación de seguridad para modelos de frontera que busca aumentar la confianza pública y mantener el impulso de innovación.
El gobierno estatal la presentó como una forma de equilibrar protección ciudadana y liderazgo tecnológico.
Nueva York avanzó después con la RAISE Act, que adopta una lógica similar de transparencia, reportes de incidentes y marcos de seguridad.
Sin embargo, expertos de Carnegie Endowment señalaron que California y Nueva York se alinearon en un modelo de “confiar, pero verificar”, lo que empieza a crear un estándar estatal común ante la falta de una ley federal.
Illinois entra ahora a ese bloque, pero con la diferencia de que obliga a auditorías externas periódicas.
Áreas de oportunidad de la IALa regulación no solo funciona como freno, también puede abrir oportunidades.
En salud, la IA puede apoyar diagnósticos, gestión hospitalaria, investigación médica y atención preventiva, solo que si un sistema falla, sesga información o actúa sin control humano suficiente, el riesgo puede alcanzar a pacientes reales.En educación, puede ayudar a personalizar aprendizaje, detectar rezagos y apoyar a docentes, pero también exige reglas sobre privacidad, dependencia tecnológica, sesgos y calidad de la información.En empresas y gobierno, puede acelerar trámites, detectar fraudes, fortalecer ciberseguridad y mejorar servicios públicos, aunque esas ventajas dependen de que los sistemas sean auditables, seguros y explicables.