Pasee por la mayoría de los lugares de trabajo y lo verá: herramientas de IA gratuitas o de bajo coste por todas partes. Arrastre una grabación a una aplicación con IA y obtendrá lo que se dijo junto con las tareas asignadas; abra un PDF largo y la herramienta podrá resumirlo; pulse un botón durante una videollamada y no solo obtendrá subtítulos en directo, sino que podrá traducir en tiempo real; introduzca un vídeo y el ruido de fondo desaparecerá. Muchas son acciones de un solo clic, integradas en teléfonos inteligentes y aplicaciones de escritorio, y lo suficientemente buenas como para tentarle a usarlas en sus investigaciones. Esa comodidad es exactamente la razón por la que necesitamos un control más estricto sobre cómo -y cuándo- estas herramientas afectan a las investigaciones.
Con todo el conocimiento y la información que hay detrás y la confianza que transmite una respuesta limpia y bien redactada, es fácil confiar en lo que te devuelve la IA. Pero hay innumerables informes de IA que inventan hechos o incluso fuentes. Y este mal comportamiento puede aplicarse a una investigación: la respuesta de la IA puede inventarse información, afirmar una fecha o nombrar a alguien que ni siquiera figura en el registro. El perfil de IA generativa del NIST llama a esto confabulación. Si el investigador cree en la respuesta confabulada y la incluye en un informe o una declaración jurada, habrá introducido afirmaciones de oídas sin ninguna fuente probatoria. Las consecuencias son mucho mayores si la creencia en la confabulación se utiliza en la toma de decisiones.
Los prejuicios, en sus múltiples formas, representan un riesgo silencioso pero perjudicial. Los sesgos perjudiciales se manifiestan mucho más rápido en la IA. Estos sesgos perjudiciales pueden adoptar la forma de infrarrepresentación o infrarrepresentación del sexo, la raza o la capacidad física, lo que contamina gravemente el resultado del modelo. Y el riesgo no se limita a los atributos físicos. Cuando se utiliza la IA para traducir grabaciones, si el modelo subyacente es adecuado para el inglés de EE.UU. pero no lo es para el español de México, la traducción resultante puede tergiversar lo que se dijo. El informe del DOJ sobre inteligencia artificial y justicia penal vincula esto directamente con el debido proceso: la precisión, la imparcialidad y la transparencia deben demostrarse si el material retocado por la IA influye en las decisiones de investigación o en los juicios de los fiscales. En resumen: los tribunales preguntarán cómo se ha comprobado la existencia de sesgos y qué se ha hecho cuando se han detectado.
Las fugas de seguridad y privacidad son problemas prácticos, no teóricos. Si copia y pega información de identificación personal (PII), datos de informantes o material sellado en herramientas públicas, esos datos corren el riesgo de quedar expuestos. Los ataques de inyección de instrucciones desdibujan los límites entre las instrucciones del usuario y las propias instrucciones del sistema interno de la IA. Esta confusión manipula el comportamiento del modelo, haciendo que revele o incluso altere información.
Otro problema es hacer un seguimiento de lo que ha visto la IA y cómo se ha utilizado. Los fiscales del condado de King, en Washington ya han comunicado a las agencias que no aceptarán informes policiales asistidos por IA debido a problemas de precisión e integridad, y el organismo de control policial de de la policía de Seattle instó formalmente al Departamento de Policía de Seattle a establecer una política después de que un agente utilizara IA para informes internos.
Los tribunales, como árbitros de la transparencia y la privacidad, se están tomando naturalmente en serio la IA. Si no se conservan los avisos, borradores e instrucciones de la IA, es posible que no pueda presentar la información o las pruebas. El Centro Nacional de Tribunales Estatales (NCSC) y la Conferencia de Administradores de Tribunales Estatales (COSCA) publicaron conjuntamente orientaciones sobre la IA en los tribunaleshaciendo hincapié en la privacidad, la verificación y la divulgación clara. En julio de este año, el poder judicial de California adoptó un requisito estatal que todos los tribunales adopten una política de IA o la prohíban totalmente, dando prioridad a la confidencialidad, la mitigación de los prejuicios y la verificación. Estas normas determinarán lo que los jueces esperan de las fuerzas del orden en todo el país.
Algunas aplicaciones de IA conservan todas las indicaciones, los comentarios del usuario y las versiones del resultado para que el usuario pueda revisarlas o continuar su trabajo más tarde. Sin embargo, muchas de estas herramientas se pueden utilizar sin necesidad de iniciar sesión. Sin vincular el producto del trabajo a una cuenta, se pierden todas las indicaciones, comentarios, etc. de esa sesión. La falta de normas claras sobre IA puede dañar la confianza en las fuerzas de seguridad. Sin unas directrices adecuadas, el personal bienintencionado puede inventarse normas por su cuenta. De este modo, la dirección de la agencia se enfrenta al escrutinio de los medios de comunicación en lugar de al trabajo policial.
Buenas prácticas para el uso de GenAI en investigaciones
¿Qué debe hacer?
Empiece por la gobernanza, no por las herramientas. Nombre a un responsable de IA, exija la aprobación previa de los casos de uso y mantenga un inventario vivo. Clasifique los usos de la IA en función del riesgo: bajo (para la gramática), medio (para resúmenes administrativos), alto (cualquier cosa objetiva que pueda entrar en las pruebas). A continuación, vincule cada clasificación a marco de gestión de riesgos de IA del NIST (gobernar, mapear, medir, gestionar) para que los controles se ajusten a lo que está en juego.
Trazar líneas claras para los informes. Si se utiliza IA en un documento, el informe debe incluir: una declaración de divulgación, una comprobación humana de la exactitud y referencias a las fuentes utilizadas. Y los humanos deben mantener los cambios de línea roja sobre el borrador de IA. Estos pasos responden de inmediato a las preocupaciones de los fiscales sobre la credibilidad y coinciden con lo que los tribunales y los fiscales esperan ahora.
Trate las peticiones, borradores y resultados como artefactos adyacentes a las pruebas. Guárdelos con marcas de tiempo, números de caso e ID de usuario. Prohíba pegar datos sensibles (o subir archivos que contengan datos sensibles) en modelos públicos. Guárdalo todo en un entorno controlado en el que los registros y los controles de acceso sean estándar. Esto viene directamente del énfasis del NIST en la documentación, la seguridad y la trazabilidad.
Pruébelo. Para cada uso, defina criterios de éxito, monte escenarios de prueba fijos, mida las tasas de error y forme equipos rojos para detectar inyecciones rápidas y señales engañosas. Aprobar sólo después de pasar una puerta documentada, volver a probar después de los cambios de modelo o política. Esto refleja las expectativas de rendimiento y equidad del DOJ y el enfoque del ciclo de vida del NIST.
Mantenga a una persona al tanto. Los revisores deben cotejar los hechos con el material fuente, no limitarse a leerlo para ver si tiene sentido o se lee bien. La responsabilidad recae en el funcionario o analista cuyo nombre figura en el producto del trabajo. Las directrices del DOJ insisten en este punto: la supervisión humana no es opcional.
Limitar el alcance y la exposición. Suena bastante obvio: empiece con usos administrativos de bajo riesgo y prohíba explícitamente que la IA proporcione cualquier cosa que sustituya al juicio investigador (como declaraciones de causa probable, recomendaciones de acusación o narraciones). Reduzca al mínimo (o elimine) la información de identificación personal en las solicitudes y prefiera las entradas estructuradas al texto libre. Eso es minimización de riesgos 101 según el NIST.
Planifique los registros públicos y la transparencia. Ponga por escrito cuándo y cómo revela la ayuda de IA en los informes, cómo responde a las solicitudes de registros y qué dirá a los tribunales y a la comunidad. Los artículos que he mencionado antes muestran el coste de la ambigüedad.
Construya una rampa de salida. Si las pruebas revelan errores materiales (o un caso plantea problemas legales novedosos), interrumpa el uso de la IA, documente el problema, notifíquelo al departamento legal, corríjalo y, sólo entonces, reanúdelo. El enfoque del NIST incluye la "medición y gestión" continuas por una razón.
Adapte la contratación a su política. Incorpore requisitos políticos a sus contratos, como el registro y la exportación de solicitudes y resultados, los límites de retención de datos, los controles de seguridad, el apoyo de equipos rojos, la documentación modelo y la cooperación en auditorías. El estudio de la GAO muestra que los organismos que vinculan los contratos a la política consiguen un cumplimiento más sostenido.
Utilice la IA para acelerar el trabajo, no para rebajar el nivel. Con unos límites de seguridad basados en las directrices del NIST y el DOJ, e informados por lo que los tribunales y los estados esperan ahora, puedes conseguir la eficiencia sin arriesgar el caso.
Acerca de Kevin McTiernan
Kevin McTiernan es un experimentado profesional con más de 20 años de experiencia en el sector de la seguridad. Sus amplios conocimientos abarcan big data, ciberseguridad, análisis de seguridad de redes y cumplimiento normativo. Como Vicepresidente de Soluciones Gubernamentales en SS8, Kevin se especializa en la implementación de soluciones avanzadas de inteligencia para el Gobierno de Estados Unidos, las fuerzas de seguridad y la alianza Five Eyes. Es un consumado orador público y un firme partidario y voluntario de la National Child Protection Task Force. Puede obtener más información sobre Kevin en su Perfil en LinkedIn.
Acerca de SS8 Networks
Como líder en inteligencia legal y de localización, SS8 se compromete a hacer que las sociedades sean más seguras. Nuestra misión es extraer, analizar y visualizar inteligencia crítica, proporcionando información en tiempo real que ayuda a salvar vidas. Con 25 años de experiencia, SS8 es un socio de confianza de las mayores agencias gubernamentales y proveedores de comunicaciones del mundo, manteniéndose constantemente a la vanguardia de la innovación.
Discovery es la última solución de SS8. Se ofrece en forma de suscripción y es un multiplicador de la fuerza de investigación para que la policía local y estatal pueda fusionar, filtrar y analizar volúmenes masivos de datos de investigación en tiempo real.
La cartera de productos de supervisión y análisis de datos Intellego® XT está optimizada para que las fuerzas de seguridad capturen, analicen y visualicen conjuntos de datos complejos para obtener inteligencia de investigación en tiempo real.
LocationWise ofrece la mayor precisión auditada de localización de redes en todo el mundo, proporcionando inteligencia de localización activa y pasiva para servicios de emergencia, fuerzas de seguridad y operadores de redes móviles.
La plataforma de mediación Xcipio® satisface las exigencias de la interceptación legal en cualquier tipo de red y ofrece la posibilidad de transcodificar (convertir) entre versiones de traspaso de interceptación legal y familias estándar.
Para más información, Contacto en info@SS8.com.
