La idea de que “los datos corporativos son fiables por defecto” está perdiendo vigencia a gran velocidad. Gartner sostiene que, a medida que el volumen de información generada por Inteligencia Artificial (IA) crece y se vuelve cada vez más difícil de distinguir de la creada por personas, el gobierno del dato tendrá que evolucionar hacia un enfoque de “confianza cero”.
La consultora estima que para 2028, el 50 % de las organizaciones implementará una postura zero trust en data governance, impulsada por la proliferación de datos “no verificados” generados por IA y por el impacto que eso puede tener en decisiones operativas, financieras y de cumplimiento normativo.
Por qué el problema ya no es solo “calidad del dato”
Durante años, el debate sobre data governance se apoyó en pilares relativamente conocidos: linaje, calidad, propietarios del dato, políticas de acceso, clasificación, retención y auditoría. El salto actual tiene otro matiz: cada vez más información entra en los sistemas sin una verificación sólida de origen.
Gartner lo resume con una idea incómoda para cualquier comité de dirección: las organizaciones ya no pueden “confiar implícitamente” en los datos, ni asumir que fueron generados por humanos. Cuando los repositorios corporativos (documentos, tickets, bases de conocimiento, resúmenes, informes, incluso campos en hojas de cálculo) se alimentan de contenido generado por IA, la frontera entre “dato” y “texto plausible” se difumina.
En paralelo, el propio mercado acelera. Según Gartner, el 84 % de los encuestados en su encuesta de CIOs y directivos tecnológicos de 2026 espera aumentar la financiación destinada a IA generativa en 2026, lo que anticipa más automatización… y más producción de información a escala.
“Zero trust” aplicado a data governance: qué significa en la práctica
En ciberseguridad, zero trust se popularizó como un cambio cultural y técnico: no confiar por defecto en ningún usuario, dispositivo o flujo, y verificar continuamente. Trasladado al gobierno del dato, el principio es parecido:
- Ningún dato se considera “apto” por defecto para decisiones críticas, entrenamiento de modelos, informes regulatorios o automatizaciones.
- Se exige autenticación, verificación y trazabilidad (procedencia, transformaciones, responsables, controles).
- La confianza se gana mediante señales y evidencias (metadatos, certificaciones, firmas, controles de integridad, auditoría).
Esto no implica tratar todo el dato como “culpable”, sino establecer un marco donde la verificación es un requisito operativo, especialmente cuando el dato puede haberse originado o modificado por IA.
Tabla 1 — Riesgos típicos del “dato no verificado” y cómo encaja el enfoque zero trust
| Riesgo | Ejemplo realista en empresa | Qué exige un enfoque zero trust |
|---|---|---|
| Origen incierto | Informes o procedimientos redactados por IA sin fuentes verificables | Etiquetado de origen + evidencias de procedencia + responsable de validación |
| Inconsistencias invisibles | Resúmenes que omiten matices críticos o mezclan versiones | Controles de recertificación + auditoría de cambios + revisión por rol |
| Automatización sobre premisas falsas | Agentes o flujos que ejecutan acciones basadas en un “dato plausible” | Políticas de “dato confiable” por caso de uso + validaciones antes de actuar |
| Riesgo reputacional / cumplimiento | Reportes internos o externos con afirmaciones no demostrables | Trazabilidad end-to-end + controles de integridad y retención de evidencias |
El factor “model collapse”: cuando la IA aprende de la IA (y pierde realidad)
Gartner alerta de un efecto que ya se discute en investigación: si los modelos se entrenan cada vez más con datos generados por modelos anteriores, aumenta el riesgo de degradación progresiva, lo que se conoce como model collapse. En términos simples: el sistema empieza a reforzar sus propias “aproximaciones” y pierde información de la distribución original, especialmente en los casos raros o en los “bordes” de la realidad.
Aunque este riesgo se asocia a los modelos, la consecuencia práctica para una organización es directa: si el dato corporativo se contamina con contenido no verificado, también se contamina la analítica, la automatización y la toma de decisiones.
El punto clave: identificar y etiquetar datos generados por IA
Gartner anticipa que, en ciertos entornos, aumentará la exigencia de poder demostrar qué datos son “AI-free” (no generados por IA) o, como mínimo, poder identificar y etiquetar datos generados por IA. El matiz importante es que estas exigencias podrían variar por geografía y sector, pero la capacidad técnica de demostrar procedencia y verificación tenderá a convertirse en ventaja competitiva (y, en algunos casos, en requisito).
Aquí entra un concepto operativo que Gartner destaca: la gestión activa de metadatos (active metadata management). No se trata solo de tener un catálogo, sino de que los metadatos sirvan para:
- analizar y detectar datos obsoletos o dudosos,
- alertar cuando un activo necesita recertificación,
- automatizar decisiones (por ejemplo, bloquear usos de un dataset si pierde “estado verificado”).
Qué recomienda Gartner: cuatro movimientos para no quedarse atrás
Gartner sugiere varias acciones estratégicas que, en conjunto, dibujan una implantación realista:
- Nombrar un responsable de gobierno de IA
Un rol explícito para políticas zero trust aplicadas al dato, gestión de riesgo de IA y operaciones de cumplimiento, coordinado con equipos de datos y analítica. - Crear colaboración transversal
Equipos que integren ciberseguridad, datos/analítica y áreas de negocio para evaluar riesgos concretos: qué decisiones dependen de qué datos y qué controles faltan. - Aprovechar y actualizar la gobernanza existente
No empezar desde cero: actualizar políticas de seguridad, ética, metadatos y gobierno del dato para contemplar el nuevo factor “contenido generado por IA”. - Adoptar prácticas de metadatos activos
Para recertificación en tiempo real, alertas, automatización y trazabilidad del dato a lo largo de su ciclo de vida.
Lo que cambia para CIOs, CDOs y responsables de seguridad
En un enfoque clásico, la conversación sobre data governance podía quedarse en el terreno de “mejores prácticas” y madurez. Con la IA generativa, el debate se vuelve más ejecutivo:
- Coste de equivocarse: si el dato es incierto, la automatización escala el error.
- Velocidad: ya no basta con auditorías trimestrales; hace falta verificación continua en activos críticos.
- Responsabilidad: el dato necesita propietarios claros y evidencias, no solo “buenas intenciones”.
- Resiliencia: el objetivo es que el dato sea utilizable con garantías, incluso en entornos donde la IA produce contenido masivo.
Preguntas frecuentes (FAQ)
¿Qué es “zero-trust data governance” y en qué se diferencia del zero trust de ciberseguridad?
El zero trust de ciberseguridad se centra en accesos (usuarios, dispositivos, redes). En data governance, el foco está en no dar por válido un dato por defecto: exige verificación de procedencia, trazabilidad, recertificación y controles para declarar un dato “apto” según su uso.
¿Cómo se puede etiquetar el contenido generado por IA dentro de una organización?
Normalmente combinando políticas y metadatos: campos de origen (humano/IA/sistema), responsable de validación, evidencias (fuente, transformaciones), y reglas que impidan que datos “no verificados” se usen en procesos críticos sin revisión o sin señales mínimas de fiabilidad.
¿Qué es el “model collapse” y por qué importa aunque mi empresa no entrene modelos desde cero?
Importa porque una empresa puede reutilizar modelos, afinar modelos, o alimentar sistemas con conocimiento interno. Si el repositorio corporativo se llena de contenido IA no verificado, se eleva el riesgo de degradación de la calidad informativa que alimenta a sistemas de búsqueda, asistentes, agentes y analítica.
¿Qué áreas suelen priorizar primero un enfoque de confianza cero para el dato?
Las que tienen impacto directo en resultados y riesgo: finanzas (reporting y forecast), legal/compliance, operaciones críticas, atención al cliente con automatización, y cualquier sistema donde una acción se ejecute a partir de una respuesta o “recomendación” generada.
