Para garantizar la mejor experiencia de navegación, active JavaScript en su navegador web. Sin él, muchas funciones del sitio web no estarán disponibles.


Internet Security Center
Total de pruebas:
Esta semana:
Hoy:
Manténgase en contacto

Reciba las últimas novedades, insights semanales e invitaciones a seminarios web y eventos.


Sus datos permanecerán confidenciales.Privado y confidencial

ImmuniWebCobertura mediática internacional

El uso de la IA en el arbitraje: privacidad, ciberseguridad y riesgos legales

Commercial Dispute Resolution Magazine
Por Ilia Kolochenko para Commercial Dispute Resolution Magazine
Martes, 5 de mayo de 2026

El Dr. Ilia Kolochenko, de ImmuniWeb, comparte su experiencia interdisciplinaria en ciberseguridad, forensia digital y ciberderecho sobre los riesgos emergentes del uso de la IA en la resolución alternativa de litigios.

Los abogados y los bufetes de abogados han estado en el punto de mira de los ciberdelincuentes durante años [1]; sin embargo, con la proliferación de las tecnologías de IA en nuestra vida personal y profesional, las empresas legítimas de todo el mundo están generando más problemas de ciberseguridad y riesgos de privacidad para los profesionales del arbitraje que los ciberdelincuentes nefastos e incluso los grupos cibernéticos patrocinados por el Estado.

Desde principios de 2023, los riesgos técnicos y jurídicos del uso de la IA en la práctica jurídica, ya sea en procedimientos judiciales o arbitrales, son bien conocidos [2]. Tres años después, la mayoría de estos riesgos han aumentado drásticamente tanto en cantidad como en complejidad. En el ámbito del arbitraje, un uso imprudente de la IA por parte de los árbitros puede acarrear graves consecuencias, incluso la anulación del laudo arbitral. En cuanto a los abogados que representan a las partes en procedimientos de resolución alternativa de disputas (ADR), corren el riesgo de medidas disciplinarias y sanciones subsiguientes, las cuales se vuelven más severas a medida que la IA se consolida como la nueva normalidad y los errores asociados dejan de ser tolerados. Incluso los peritos expertos, contratados para testificar ante tribunales arbitrales, están expuestos a una plétora de riesgos impulsados por la IA al almacenar o gestionar datos sensibles de una parte sin las debidas precauciones. Este artículo proporciona una visión general concisa de las trampas y errores más frecuentes asociados al uso de la IA en la práctica arbitral.

Actualmente, existe un consenso general de que las herramientas y soluciones de IA pueden asistir a los árbitros y a otros participantes en los procedimientos de arbitraje mediante la automatización inteligente de tareas arduas. La automatización de la IA abarca desde el análisis de grandes volúmenes de datos de Discovery y el resumen de documentos judiciales hasta la asistencia en la investigación jurídica cuando, por ejemplo, las normas de arbitraje o de prueba aplicables callan sobre una cuestión procesal compleja o un detalle técnico novedoso. Sin embargo, la automatización tiene su precio y no está exenta de riesgos y trampas.

Para abordar algunos de los riesgos subyacentes, muchas instituciones líderes de arbitraje ya han publicado directrices sobre el uso ético de la IA en los procedimientos arbitrales. Las Directrices sobre el uso de la IA en el arbitraje del Chartered Institute of Arbitrators (CIArb) o las Directrices sobre el uso de la Inteligencia Artificial en el arbitraje internacional del Silicon Valley Arbitration and Mediation Center (SVAMC) son buenos ejemplos de un enfoque integral para prevenir los principales escollos del uso de la IA en el ADR. Sin embargo, incluso los profesionales del arbitraje con conocimientos técnicos son víctimas regulares de incidentes de seguridad y privacidad, fugas de datos sensibles e incluso brechas de datos, debido a la creciente complejidad de los entornos técnicos y a la rápida proliferación de riesgos invisibles de la IA para la confidencialidad de los datos.

Asistentes de AI: ¿nuevos amigos o enemigos disfrazados?

Muchos profesionales del arbitraje trabajan en entornos corporativos de gran tamaño equipados con numerosas herramientas y asistentes de IA. Muchos de esos asistentes, como Microsoft Copilot, se integran en el entorno informático de forma predeterminada y requieren mucho tiempo y esfuerzo para desactivarse por completo. ¿Alguna vez ha celebrado una audiencia de arbitraje en Zoom, por ejemplo? Entonces, inicie sesión en su cuenta personal de Zoom y compruebe la configuración de su nueva función ’AI Companion’ – es posible que se sorprenda con algunas de las opciones que encuentre allí. Hoy en día, las audiencias arbitrales pueden celebrarse habitualmente de forma remota en Zoom, Microsoft Teams u otras plataformas de videoconferencia. Cuando se configuran y gestionan adecuadamente, estos entornos digitales son razonablemente seguros. Sin embargo, el problema acecha en los diversos asistentes de IA que algunos participantes de reuniones en línea utilizan sin saberlo. El autor mantuvo recientemente una reunión confidencial en Zoom, en la que dos de los cuatro abogados participaron con asistentes de transcripción potenciados por IA que tomaban notas de la reunión. Sorprendentemente, ambos abogados desconocían por completo la presencia de estos bots de IA en sus dispositivos corporativos, sin contar que se habían generado transcripciones de sus reuniones de Zoom y se habían enviado a la nube para su almacenamiento y análisis. Problemas similares con los asistentes de IA están empezando a impulsar un número creciente de demandas por diversas infracciones de la privacidad a ambos lados del Atlántico.

Aunque los proveedores empresariales de tecnologías de IA comienzan progresivamente a ofrecer garantías contractuales de que sus datos se mantendrán segregados y no se utilizarán deliberadamente para el entrenamiento de sus modelos de IA comerciales, la redacción de sus términos de servicio y de los anexos incorporados puede, en ocasiones, sugerir todo lo contrario. Por ejemplo, para proteger sus soluciones de IA alojadas en la nube, la mayoría de los proveedores de IA han implementado sistemas de ciberdefensa multicapa para evitar inyecciones de *prompts*, *data poisoning* y otros ciberataques específicos de la IA. En consecuencia, todo lo que envíe a un servidor de IA remoto será primero interceptado y analizado por proveedores de ciberseguridad de terceros en busca de posibles amenazas maliciosas y riesgos cibernéticos, y solo entonces llegará al modelo de lenguaje grande (LLM) para su procesamiento final sin riesgo para el modelo. ¿Se ha preguntado alguna vez qué hacen, han hecho o podrían hacer esos proveedores de ciberseguridad legítimos, pero a menudo no divulgados o incluso no documentados, con sus datos, incluyendo todos sus *prompts* de chat, grabaciones de voz y vídeo, documentos escaneados y otra información sensible compartida con soluciones de IA alojadas en la nube?

Para mitigar los riesgos anteriores, dedique tiempo a leer y analizar cuidadosamente los términos de servicio de sus proveedores de IA, así como cualquier documento incorporado: podría detectar excepciones sutiles a la no utilización o no divulgación de sus datos más sensibles. El autor ha sido testigo recientemente de cómo una empresa tecnológica incorporó creativamente una excepción excesivamente amplia sobre el intercambio de datos en su Service Level Agreement (SLA) relativo al mantenimiento y la disponibilidad de su solución de IA. Dado que los abogados corporativos ya tienen suficiente trabajo, los SLA a menudo escapan a su revisión minuciosa, mientras que es poco probable que los equipos técnicos, igualmente ocupados, detecten nada sospechoso en la elegante jerga legal. Aunque la validez y exigibilidad finales de tales cambios sean cuestionables, esto ejemplifica la tendencia general a obtener sus datos por todos los medios disponibles, sean éticos o no.

Lo peor de todo es que este tipo de daño es prácticamente irreversible: incluso si dispone de pruebas sólidas de que sus datos salieron del enclave seguro debido a un incumplimiento contractual por parte del proveedor, el litigio sobre esta cuestión tan técnica y novedosa probablemente tardará años en resolverse y podría concluir con una sentencia simbólica que apenas cubra sus costes legales. Por no mencionar el daño reputacional duradero para su práctica de arbitraje. Por lo tanto, cuando la ley lo permita, intente negociar daños liquidados por violaciones de las cláusulas de protección de datos de su contrato con proveedores de tecnología e IA, prestando atención a la solvencia del proveedor y a su seguro para este tipo de reclamaciones.

Chatbots de IA: nadando en aguas infestadas de tiburones

Cada vez que comparte documentos confidenciales o privilegiados a través de la creciente cantidad de chatbots de IA disponibles de forma gratuita o comercial, con un impresionante conjunto de capacidades promocionadas, todos sus datos —incluidos los prompts de chat y los historiales extensos— pueden utilizarse silenciosamente para el entrenamiento de modelos de IA nacionales y extranjeros, así como para muchos otros fines inesperados. Cuando dichos datos se correlacionan con otros datos de fuentes de terceros, de manera similar al caso BrowserGate en LinkedIn, es probable que los gigantes tecnológicos sepan todo sobre usted y su práctica jurídica. Una revisión meticulosa de sus términos de servicio probablemente no aportará mucho valor, ya que estos evolucionan constantemente, a menudo sin notificación clara a los usuarios finales.

Los chatbots de IA ofrecidos por pequeñas empresas tecnológicas y startups de IA, que por lo general no cuentan con presupuesto para adquirir un volumen suficiente de datos de entrenamiento de alta calidad y actualizados para sus modelos, son especialmente peligrosos. Para sobrevivir en medio de la feroz competencia del mercado global de IA, las entidades más pequeñas comienzan a formar los llamados pools de entrenamiento de datos con otras pequeñas y medianas empresas en todo el mundo. Esto significa que cualquier empresa que aporte el volumen de datos acordado al pool de datos comunitario puede utilizar algunos, o incluso todos los demás datos, de ese pool. Dado que una verificación adecuada del uso legítimo, lícito y ético de los datos en tales circunstancias es una tarea ardua, cualquier prompt, documento o imagen —una vez incorporado a dicho pool a través de sus interacciones inocentes con un chatbot en línea— puede acabar tarde o temprano en manos equivocadas al otro lado del globo. Cabe destacar que incluso los principales proveedores tecnológicos pueden recurrir a prácticas similares para reducir sus costes de adquisición de datos, que se disparan.

Algunos profesionales del arbitraje utilizan diversas técnicas para limpiar y anonimizar documentos confidenciales —incluidos laudos arbitrales o incluso materiales que contienen secretos comerciales de las partes— antes de cargarlos en chatbots de IA y herramientas en línea similares. Lamentablemente, estas medidas preventivas suelen fallar. La mayoría de los modelos LLM poseen actualmente capacidades impresionantes para deducir los nombres enmascarados de las partes contrastando los hechos, sucesos y alegaciones contenidos en el documento con información de acceso público: los arbitrajes de gran envergadura rara vez ocurren sin comunicados de prensa, filtraciones o rumores en los medios, o al menos algunas revelaciones o avisos anónimos en las redes sociales. Incluso puede realizar un experimento —bajo su propia responsabilidad— enviando un documento extenso con los nombres de las partes meticulosamente enmascarados a un LLM y pidiéndole luego que deduzca quiénes son las partes. Probablemente le sorprenderá el resultado. Por no mencionar que la mayoría de los documentos contienen metadatos invisibles, específicos del formato, que a menudo no se eliminan. Por lo tanto, a menos que cuente con una solución de IA on-premise con flujos de datos minuciosamente documentados y monitorizados continuamente, corre un enorme riesgo de exponer involuntariamente los datos más sensibles de sus clientes al solicitar ayuda a los chatbots de IA en línea.

Dispositivos móviles y objetos conectados: las paredes tienen oídos

La creciente popularidad de los objetos inteligentes y los dispositivos IoT amplifican los riesgos del uso de la IA en el ADR. ¿Alguna vez ha comprobado la configuración de privacidad e IA de, por ejemplo, la aplicación de correo electrónico de su teléfono móvil? Si no es así, todos sus correos electrónicos podrían ser utilizados con fines de entrenamiento de IA por el fabricante de su smartphone, en el mejor de los casos, o compartidos con sus numerosos proveedores extranjeros y otros terceros, en el peor de los casos.

Esta advertencia no se refiere solo al correo electrónico, sino también a todas las demás aplicaciones móviles, incluidas aquellas que pueden escuchar subrepticiamente sus conversaciones, un fenómeno que recientemente le costó a Google un acuerdo de 68 millones de USD. Incluso si su smartphone está correctamente configurado y protegido, algunas aplicaciones de terceros en él —incluidas las preinstaladas— pueden conllevar riesgos intolerables y amenazas devastadoras para los profesionales del ADR. Aunque tanto Apple como muchos fabricantes de dispositivos Android (como Samsung) permiten una gestión precisa de los permisos de las aplicaciones móviles —como el acceso al micrófono, la cámara o sus contactos—, la mayoría de los usuarios suelen pasar por alto o simplemente ignorar los permisos excesivos, innecesarios o no utilizados, tanto de aplicaciones legítimas como de dudosas.

Por ejemplo, el autor se encontró recientemente con una aplicación de seguros que, tras su instalación, solicitaba un conjunto casi completo de permisos, incluido el acceso a fotografías y contactos. Tras un análisis exhaustivo de ese conjunto incomprensible de permisos predeterminados para ese tipo de aplicación móvil, se descubrió que, según la documentación de la compañía de seguros, el acceso a fotografías y contactos era necesario para combatir el fraude en los seguros. Aunque la prevención del fraude es un interés legítimo para el tratamiento de datos personales en virtud, por ejemplo, del RGPD u otras leyes y normativas de protección de datos, ese caso concreto era obviamente excesivo y difícilmente habría resistido el escrutinio judicial en un tribunal. Dicho esto, al menos algunos usuarios desprevenidos de esa aplicación concedieron mecánicamente todos esos permisos. Por lo tanto, para evitar poner en peligro su privacidad personal y profesional, asegúrese de eliminar de su smartphone todas las aplicaciones móviles innecesarias o que no utilice, y de que las restantes solo tengan los permisos necesarios para el correcto funcionamiento de la aplicación.

Lamentablemente, las aplicaciones para smartphones excesivamente curiosas son solo la punta del iceberg de los problemas de privacidad de datos que los árbitros tendrán que abordar en 2026. ¿Usas un reloj digital, una pulsera o un anillo inteligentes, o las ahora de moda gafas de realidad aumentada? Entonces, debes seguir atentamente el panorama actual de litigios que apuntan a los proveedores de tus gadgets para ver quién podría estar espiándote en silencio a ti y a tu entorno empresarial.

¿Tienes Amazon Alexa, Google Home u otros dispositivos conectados en tu oficina en casa o en el salón desde donde ocasionalmente realizas llamadas telefónicas confidenciales o participas en videoconferencias? Cuidado: todo lo que digas, hagas o veas podría estar siendo grabado sin previo aviso, como ha quedado recientemente demostrado en una demanda presentada por el Fiscal General de Texas contra cinco fabricantes de televisores inteligentes.

Para evitar estos riesgos y sus consecuencias duraderas, asegúrese de que su espacio de trabajo, ya sea la sede corporativa o su oficina en casa, no tenga objetos conectados, a menos que hayan sido configurados minuciosamente e instalados de forma segura por su departamento de TI tras completar una evaluación holística de los riesgos de privacidad. Si considera que ciertos objetos de su oficina, como cafeteras y refrigeradores inteligentes (sí, ha leído bien) o proyectores conectados, podrían introducir riesgos de privacidad desconocidos o no documentados, notificar al responsable de privacidad y protección de datos es una muy buena idea.

Conclusión y próximos pasos

En el arbitraje, la IA puede ser una amiga leal, pero también puede ser tu archienemiga. Para evitar los riesgos significativos abordados en este artículo, sigue las mejores prácticas de protección de datos [3], prestando especial atención a la implementación de un inventario exhaustivo y actualizado de todas las herramientas tecnológicas y de IA que utilices, sus condiciones de servicio con todos los anexos y los flujos de datos entre todos los sistemas. De lo contrario, utilizar la IA en ADR es como bailar en un campo minado o sentarse sobre una bomba de relojería. Leer el artículo completo


Publicaciones anteriores en medios:

CNN: Cómo las conversaciones de ChatGPT se convirtieron en una «mina» de pruebas en investigaciones penales

TechRound: Google sigue los pasos de OpenAI en la ampliación del acceso del Pentágono a la IA tras la negativa de Anthropic: ¿está la ética de la IA pasando a un segundo plano?

Este sitio web utiliza cookies para ofrecerle una mejor experiencia de navegación. Para obtener más información, visite nuestra Política de privacidad. Al continuar utilizando este sitio web, usted acepta el uso de cookies.

Hable con un experto