Llevo más de 25 años construyendo software empresarial. Nunca vi una curva de costos moverse tan rápido.

Pero este artículo no es sobre la oportunidad — eso lo escribí en febrero. Esto es sobre lo que nadie está discutiendo: qué pasa cuando el precio mínimo desaparece y se lleva consigo el único mecanismo real de control sobre tu IA.

La aprobación presupuestaria siempre fue un mecanismo de gobernanza

Ningún CTO que conozco diseñó su proceso de compras como un sistema de seguridad de IA. Pero exactamente eso era.

Cuando un proyecto de IA costaba $15 por millón de tokens, cada despliegue necesitaba un caso de negocio. Alguien tenía que escribir la propuesta. Alguien tenía que aprobar el presupuesto. Un financiero revisaba los costos proyectados. El proyecto recibía un centro de costos, un cronograma y un ciclo de revisión.

Esa fricción no era gobernanza por diseño. Era gobernanza por accidente. Y funcionaba — no porque estuviera bien diseñada, sino porque era suficientemente cara para que nadie pudiera desplegar IA sin que alguien preguntara “¿por qué?”

En nuestra experiencia en IQ Source, las empresas que nunca necesitaron una política de IA eran aquellas donde el CFO rechazaba cada proyecto por costo. Eso era gobernanza. Solo que nadie la llamaba así.

Y entonces el costo se desplomó. El AI Index 2025 de Stanford reporta que el 88% de las organizaciones ya usa IA en al menos una función de negocio — pero la mayoría sigue sin un marco de gobernanza explícito. La adopción corrió mientras los controles se quedaron congelados en la era de aprobaciones presupuestarias.

280x en 22 meses: la matemática detrás de la fricción que desaparece

Epoch AI rastreó los costos de inferencia para rendimiento nivel GPT-3.5 desde noviembre de 2022 hasta octubre de 2024. El resultado: una reducción de 280 veces en menos de dos años.

Y la curva se está acelerando, no aplanando.

El pronóstico de Gartner de marzo 2026 proyecta que la inferencia en un modelo de 1 billón de parámetros costará más de 90% menos para 2030. No es una ganancia marginal de eficiencia. Es la diferencia entre que la electricidad cueste lo suficiente para importar en el presupuesto de una fábrica y que la electricidad sea un error de redondeo.

Y está TurboQuant de Google, presentado en ICLR 2026 el mes pasado. Comprime la memoria de trabajo del modelo 6x y entrega inferencia 8x más rápida en GPUs H100 — sin pérdida de precisión. El algoritmo cuantiza el caché clave-valor a solo 3 bits sin necesitar reentrenamiento. Modelos que antes requerían infraestructura costosa ahora corren en hardware más modesto. La comunidad de desarrolladores independientes en X lo tenía corriendo en MacBooks 36 horas después de que se publicara el paper.

Cada uno de estos desarrollos significa lo mismo para tu organización: la barrera de costo que obligaba a cada despliegue de IA a pasar por una aprobación presupuestaria se está evaporando. Y cuando desaparezca, ¿qué queda?

Qué pasa cuando cualquiera puede desplegar cualquier cosa

Piensa en el shadow IT de los años 2010. Los departamentos empezaron a comprar herramientas SaaS con tarjetas corporativas, saltándose compras completamente. El daño era limitado — un tablero de Trello no autorizado o una cuenta de Dropbox sin aprobar no iban a tumbar los sistemas de producción.

Los agentes de IA son una categoría diferente de riesgo.

Una herramienta SaaS no autorizada muestra datos. Un agente de IA no autorizado toma acciones. Envía correos, modifica bases de datos, aprueba flujos de trabajo, genera documentos que llegan a clientes. Cuando el costo de levantar un agente cae por debajo del umbral que dispara una orden de compra, pierdes visibilidad sobre qué está corriendo, quién lo autorizó y qué puede hacer.

Estos riesgos ya se están materializando. SentinelOne reporta que el 37% de las organizaciones ya experimentaron problemas operacionales causados por agentes de IA en el último año. El 8% de esos causaron interrupciones significativas o corrupción de datos. Una de cada ocho empresas reportó brechas de seguridad vinculadas a sistemas con agentes.

Y esos números vienen de un mundo donde el costo todavía creaba algo de fricción. Con otra caída de 10x en el horizonte, estos incidentes van a dejar de ser excepciones para convertirse en el modo predeterminado de fallo.

Deloitte encontró la misma brecha desde el lado de la adopción — el 74% de las empresas planea desplegar agentes, pero solo el 21% tiene modelos de gobernanza lo suficientemente maduros para gestionarlos. El apetito es enorme; la infraestructura para sostenerlo apenas existe.

Tres cuartos de las organizaciones gobiernan por accidente

La Cloud Security Alliance publicó su informe sobre el Estado de la Seguridad y Gobernanza de IA. El número clave: solo el 25% de las organizaciones tiene lo que se podría llamar gobernanza de seguridad de IA. El otro 75% depende de lineamientos parciales, políticas en desarrollo, o nada.

El AI Pulse Q4 2025 de KPMG es más específico: solo el 20% de las empresas tiene un modelo de gobernanza maduro para agentes autónomos de IA. El resto está construyendo uno, pensando en construir uno, o ni ha empezado.

Mientras tanto, el Forum de Gobierno Corporativo de Harvard Law encontró que el 72% del S&P 500 ahora reporta al menos un riesgo material por IA en sus presentaciones regulatorias. Eso subió desde 12% en 2023.

Lee esos números juntos: casi tres cuartos de las grandes empresas públicas reconocen el riesgo de IA en sus presentaciones regulatorias, pero solo una cuarta parte ha construido gobernanza para gestionarlo. Eso no es un pendiente en la agenda — es cumplimiento de fachada. Presentar un riesgo ante el regulador sin hacer nada estructural al respecto protege al departamento legal, no a la organización.

Vimos cómo se ve el “sin gobernanza” en la práctica durante el ataque a la cadena de suministro de LiteLLM. El atacante no apuntó al modelo de IA — apuntó a la capa de infraestructura que gestiona credenciales de IA en más de 22 proveedores. Las organizaciones sin gobernanza sobre su cadena de confianza de IA ni siquiera supieron que estaban expuestas hasta después de que la brecha se hizo pública.

Cómo se ve realmente la gobernanza explícita de IA

Nadie necesita un documento de políticas de 50 páginas. Lo que necesitas son tres capas operacionales que hagan lo que el presupuesto hacía antes: crear fricción donde la fricción realmente hace falta.

Capa 1: Autorización de despliegue

¿Quién puede desplegar un sistema de IA, y dónde? Suena básico, pero la mayoría de las empresas con las que trabajo no pueden responderlo. No hay registro de despliegues activos de IA. No hay flujo de aprobación. No hay distinción entre “marketing usa ChatGPT para redacción” e “ingeniería desplegó un agente autónomo que modifica bases de datos de producción.”

El mínimo: un proceso ligero de aprobación que capture qué se está desplegando, quién lo autorizó, a qué datos accede y qué acciones puede tomar. No un comité de revisión de seis meses — un formulario de 15 minutos que crea un registro auditable.

Capa 2: Límites de comportamiento

¿Qué puede decidir un agente de IA de forma autónoma, sin supervisión humana? Aquí es donde la mayoría de los marcos de gobernanza se quedan en principios vagos (“la IA debe usarse responsablemente”) en lugar de reglas operacionales.

Las reglas operacionales se ven así: “Este agente puede clasificar tickets de soporte y redactar respuestas, pero no puede enviar respuestas a clientes sin aprobación humana.” O: “Este agente puede consultar la base de datos pero no puede ejecutar operaciones de escritura.” Límites concretos, codificados en el sistema, no en un documento.

Capa 3: Infraestructura de auditoría

Registros, suites de evaluación y mecanismos de apagado. Cada despliegue de IA necesita poder responder tres preguntas después del hecho: qué hizo, por qué lo hizo, y cómo lo detenemos.

Aquí es donde las evaluaciones se convierten en la columna vertebral de la gobernanza. Una suite de evaluación no solo mide si la IA es precisa — crea una pista de auditoría continua. Cuando un regulador pregunta “¿cómo saben que su IA está funcionando según lo previsto?”, la respuesta tiene que ser un conjunto de datos y una puntuación, no un encogimiento de hombros y un documento de políticas.

La ventana es de dos años, no de cinco

Gartner dice 90% más barato para 2030. La aplicación del EU AI Act se intensifica hasta 2027. Los requisitos de divulgación de la SEC se están expandiendo. Construir gobernanza ahora significa elegir tu propio marco, definir estándares que encajen con tus operaciones y capacitar a tus equipos a un ritmo razonable. Construirla después de un incidente — después de que un regulador haga preguntas que no puedes responder, o después de que un agente haga algo que salga en las noticias — significa hacer todo eso bajo presión, con menos tiempo y menos opciones.

El 72% del S&P 500 que reporta riesgo por IA sabe que algo viene. La pregunta es si construyen la infraestructura de control antes o después de que el piso de costos desaparezca completamente.

En IQ Source, hemos empezado a mapear esto para nuestros clientes: cada despliegue de IA, quién lo autorizó, qué puede hacer de forma autónoma y dónde se rompe la pista de auditoría. Si quieres esa misma visibilidad, envíanos dos cosas — cuántas herramientas y agentes de IA tiene tu empresa actualmente, y quién aprobó cada uno. Mapearemos tu superficie de gobernanza y te mostraremos dónde están las brechas. Diagnóstico de una página, sin discurso de ventas. Escríbenos aquí.