Lo que importa esta semana
Los agentes de IA dejaron de ser una promesa de laboratorio y empezaron a tomar decisiones dentro de las organizaciones. Recientemente el National Institute of Standards and Technology (NIST) de Estados Unidos abrió las primeras sesiones de consulta de su AI Agent Standards Initiative, anunciada en febrero y enfocada justamente en lo que más rápido se está saliendo de control: los sistemas de IA que ya no solo responden, sino que ejecutan tareas por su cuenta — escriben código, abren tickets, mueven dinero, conectan herramientas y toman decisiones operativas sin intervención humana directa.
Esto importa porque cambia la pregunta que debes hacerte como directivo. Hasta el año pasado, el debate era si tu empresa debía o no usar IA. Hoy, la pregunta correcta es otra: ¿quién es responsable cuando un agente de IA, conectado a tus sistemas, toma una decisión que afecta a un cliente, a un empleado o a tu balance? Un agente de IA — entendido como un programa que ejecuta varias acciones encadenadas en tu nombre, con acceso a tus herramientas internas y a datos sensibles — introduce un tipo de riesgo distinto al de un chatbot que solo conversa. El error ya no es una respuesta equivocada; es una transacción ejecutada, un correo enviado, un acceso concedido.
En México, la conversación pública sigue centrada en si conviene adoptar IA o no. Mientras tanto, los proveedores que tu equipo está contratando — desde plataformas de productividad hasta sistemas de soporte al cliente — están integrando agentes que ya operan en tus procesos. La consecuencia práctica: si tu organización todavía no tiene una política sobre qué puede y qué no puede decidir un agente de IA, esa política la está escribiendo, por omisión, cada empleado que activa una nueva integración.
Un caso que vale la pena conocer
Contexto. Walmart de México y Centroamérica opera una de las cadenas logísticas más complejas del país: más de 4,200 tiendas en seis países, con flujos de inventario que dependen de pronósticos diarios. El problema clásico era doble: exceso de inventario en productos de baja rotación y desabasto en productos de alta demanda local. Ambos cuestan, y la decisión sobre qué entregar y cuándo se tomaba con reglas rígidas que ignoraban variables locales.
Decisión. En lugar de comprar una solución única "de IA" y desplegarla a toda la operación, el equipo eligió una arquitectura por capas. Primero, modelos de pronóstico de demanda alimentados por datos de cada tienda (no del país en su conjunto), aprendizaje automático para detectar patrones de demanda local y agrupamiento de tiendas con comportamientos parecidos. Después, robots móviles autónomos en los centros de distribución para acelerar la entrega. Crucialmente, cada capa se midió de forma independiente y se le asignó un responsable con poder de decisión sobre cuándo escalar y cuándo retroceder.
Resultado. Reducción de inventario en exceso entre 10 y 15%, incremento de productividad en la entrega de hasta 30% por la introducción de robots autónomos, y un mecanismo de toma de decisiones que diferencia la entrega tienda por tienda en lugar de imponer un catálogo nacional. La empresa eliminó productos sin rotación en zonas específicas y reforzó los de demanda local — algo que un modelo nacional habría ocultado.
Qué puedes extraer tú de esto. El error más común en proyectos de IA empresarial es comprar una plataforma única, conectarla a todo, y esperar los resultados. Walmart hizo lo contrario: descompuso el problema, asignó una métrica clara a cada capa y mantuvo control humano sobre cuándo cada modelo entraba en producción. Si tu organización está evaluando IA, la pregunta no es qué herramienta comprar; es qué problema específico resolverás primero, cómo lo medirás y quién tendrá la autoridad para apagarlo si no funciona.
Radar regulatorio
En febrero de 2026, la Organización para la Cooperación y el Desarrollo Económicos (OCDE) publicó la Due Diligence Guidance for Responsible AI — una guía de debida diligencia para IA responsable que ha pasado relativamente desapercibida en el debate latinoamericano, pero que vale la pena entender ahora, no después. La OCDE no legisla, pero sus marcos suelen convertirse en la base técnica de regulaciones nacionales: la propia ley europea de IA y los marcos de varios países adoptan su definición de "sistema de IA" y su lógica de ciclo de vida.
Esta nueva guía traduce los Principios de IA de la OCDE — actualizados en mayo de 2024 — en un proceso de seis pasos que las empresas deben seguir para identificar, prevenir y mitigar daños relacionados con sus sistemas de IA. Lo distinto de este marco respecto a la Ley de IA de la Unión Europea es que no se concentra en el sistema técnico aislado, sino en la cadena de valor: tus proveedores de IA, los datos que entran al modelo, los terceros que despliegan tus salidas. Es un marco de responsabilidad extendida aplicado ahora a IA.
¿Por qué importa esto antes de que llegue formalmente a México? Porque tus contratos con clientes internacionales, sobre todo si operan en la Unión Europea o tienen exposición regulatoria global, empezarán a pedir evidencia de debida diligencia de IA en los próximos 12 a 18 meses. Esta guía es la mejor descripción pública de cómo se verá esa evidencia. Tener algo razonable preparado hoy es más barato que improvisarlo cuando un cliente lo exija como condición para celebrar o renovar un contrato.
Algo que puedes implementar esta semana
Convoca una sesión de 30 minutos con tu equipo directivo y respondan, por escrito, tres preguntas. Esta sesión no requiere consultor externo, no requiere herramienta nueva y produce un documento que tu organización puede adoptar como política mínima.
Primera pregunta: si un agente o herramienta de IA, hoy en uso en tu organización, toma una decisión equivocada que afecta a un cliente, a un empleado o a un proveedor, ¿quién responde? No la respuesta corporativa — el nombre y apellido de la persona que firma. Si nadie quiere firmar, esa herramienta no debería estar en producción.
Segunda pregunta: ¿qué tipo de decisiones nunca debe tomar un sistema de IA en tu organización sin validación humana explícita? Ejemplos para arrancar la conversación: aprobaciones de crédito, decisiones de contratación o despido, comunicaciones a clientes en situaciones sensibles, accesos a sistemas financieros. La lista debe ser corta y específica.
Tercera pregunta: ¿quién aprueba que un nuevo agente de IA — incluyendo los que vienen integrados en herramientas que ya usas — se conecte a un sistema con datos personales, financieros o de recursos humanos? Si la respuesta es "el equipo de TI" o "el proveedor", todavía no tienes una política.
El producto de esta sesión es un documento de una página con tres listas. No es la política definitiva, no necesita aprobación de comité, no requiere certificación. Es el punto de partida que te falta para tener una conversación informada cuando alguien — cliente, regulador, consejo de administración, socios o inversionistas — te pregunten cómo gobiernan la IA en tu empresa. Existen herramientas y certificaciones que pueden ayudar después, pero ninguna sustituye este primer ejercicio. Lo importante hoy es que el documento exista, no que sea perfecto.
Samuel Campos
Arquitectura Estratégica con IA
