Aguilar advierte que los modelos largos de lenguaje operan como una gran nube de información que procesa todo lo que se sube. Así se genera la probabilidad de que se «viralice contenido sensible» si alguien sube documentos PDF o archivos oficiales, y luego un usuario consulta información similar.
A esta vulnerabilidad se añade la dificultad de medir y sistematizar el uso de estas herramientas.
Jorge Ordelin, investigador del Centro de Investigación y Docencia Económicas (CIDE), apunta que el uso informal por parte de funcionarios no puede sistematizarse, lo que impide saber con qué frecuencia se usa, qué procesos se están empleando y en qué casos se están introduciendo datos personales.
Incluso en los casos donde las dependencias afirman haber tomado precauciones, la opacidad persiste. La SRE indica que su Chatbot PTAT no solicita, almacena ni trata datos personales, limitándose a emitir información estándar. Sin embargo, al probar el chatbot a través de WhatsApp, solicita datos personales para realizar trámites de citas para renovar pasaporte, como la CURP, número de pasaporte, entre otros.
Ordelin precisa que no está en contra de la incorporación de la IA a instituciones de gobierno, pero hay una necesidad no solo de transparencia en el ámbito público, sino de transparencia algorítmica, que permita conocer cómo funcionan los sistemas y cómo se está garantizando la protección de los datos.
Vacío normativo
Ante la rápida adopción de la IA y el riesgo que implica el manejo de información sensible, existe una urgencia de establecer un marco regulatorio robusto y mecanismos de control.
Juan Manuel Aguilar apunta que la solución debe ir más allá de la mera toma de conciencia institucional en ciberseguridad, que es donde se ha avanzado. Para él, es imperativo un reforzamiento en la profesionalización del personal de gobierno, junto con la creación de una legislación, normativa, manual y protocolo específicos para la IA.
“No veo una ley, un marco jurídico de cómo se pueden habilitar estos sistemas de IA y creo que también eso tendría que avanzarse en una normativa, un reglamento interno, que supondría que podría estar en los órganos de control interno dentro de las instituciones”, destaca.
Ordelin, que junto con su colega Cesar Rentería desarrollaron el Reporte de Algoritmos 2024, sostiene que una regulación general pierde visión, ya que hay muchas áreas de aplicación dentro de la IA que requieren especificidad. “Mientras más general sea el tema de la regulación de la IA, peor es”, dice, ya que dificulta que las personas entiendan los requerimientos específicos, como la necesidad de que los códigos, los parámetros y los modelos sean abiertos.
Ante esto señala que se requiere un observatorio desde el ámbito de la administración pública que ayude a formar y a preparar a las personas.
Guías parciales e intentos fallidos
Los esfuerzos por crear un marco legal que garantice la transparencia y la ética en su empleo han sido insuficientes. Desde el ámbito legislativo, los intentos por regular la IA no han prosperado en el Congreso de la Unión, como la presentada en mayo de 2023 para expedir la ‘Ley de Regulación Ética de la Inteligencia Artificial y la Robótica’.
De las instituciones que admitieron el uso de IA, solo el Banco de México (BM) informó que cuenta con la ‘Guía para el uso seguro de herramientas públicas de inteligencia artificial generativa’. El BM, que utiliza siete sistemas de IA desarrollados de forma interna o por proveedores externos, con un gasto de 8.3 millones de pesos, es una excepción.
En contraste, otras dependencias que manejan datos sensibles no cuentan con tales lineamientos. La SABG, que está probando Gemini, expone que no tiene lineamiento interno, manual, guía o política sobre el uso ético y responsable de la IA. El SAT refiere no identificar documentación, a pesar de sus modelos de aprendizaje estadístico. Y la SRE argumenta que, al no almacenar datos con su chatbot, no es necesaria la generación de documentación sobre el uso ético.
El intento más reciente para establecer una guía de buenas prácticas es la declaración de los ‘Principios Chapultepec’, presentada el 29 de enero de 2026 por la Agencia de Transformación Digital y Telecomunicaciones (ATDT) y la Secretaría de Ciencia, Humanidades, Tecnología e Innovación (Secihti). Estos son 10 principios éticos orientados a guiar el desarrollo y uso de la IA en el país.