En Estados Unidos, la inteligencia artificial empresarial ya ha dejado atrás la etapa de experimentación. Los directores financieros buscan un retorno de inversión claro, los consejos de administración exigen evidencias de supervisión de riesgos, y los reguladores esperan controles acordes con las obligaciones actuales de gestión de riesgos. En este contexto, todo vicepresidente de IA se enfrenta a una pregunta constante: ¿conviene desarrollar internamente esta capacidad, comprarla a un proveedor o apostar por una combinación de ambas?
La realidad es que no existe una respuesta única válida para todas las organizaciones. La decisión adecuada depende del contexto específico y del portafolio de casos de uso. No se trata solo de “hacer o comprar” en abstracto, sino de analizar cada caso según su aporte estratégico, el nivel de escrutinio regulatorio y la madurez operativa de la empresa.
El marco estadounidense está marcado por regulaciones y condiciones de mercado particulares. Mientras que en Europa el AI Act establece normas prescriptivas, en EE. UU. la regulación es sectorial y basada en la aplicación concreta. Entre las referencias clave para las empresas están:
- Marco de Gestión de Riesgos en IA del NIST, que guía las adquisiciones y programas de aseguramiento de proveedores, y está cada vez más presente en la práctica empresarial.
- Perfil Generativo AI 600-1 del NIST, que detalla la evaluación de fenómenos como las “alucinaciones” y el monitoreo continuo.
- Normativas específicas en sectores como banca y finanzas (SR 11-7 de la Reserva Federal, directrices del FDIC/FFIEC, vigilancia de la OCC), salud (HIPAA y supervisión de la FDA sobre algoritmos clínicos).
- Autoridad de la FTC para sancionar prácticas engañosas, especialmente relacionadas con transparencia y divulgación.
- Expectativas de la SEC para que las empresas públicas informen sobre riesgos materiales vinculados a la IA, incluyendo sesgos, ciberseguridad y uso de datos.
En resumen, aunque no exista una ley única para la IA en Estados Unidos, los consejos y reguladores exigirán evidencias concretas de supervisión, gobierno de modelos y gestión de riesgos con proveedores. Esto obliga a que la decisión de construir o comprar sea sólida y justificable.
A nivel estratégico, se recomienda:
- Construir internamente cuando la capacidad es clave para la ventaja competitiva, involucra datos sensibles regulados o requiere integración profunda con sistemas propios.
- Comprar cuando el caso de uso es una commodity, donde la velocidad de entrega es fundamental o el proveedor aporta cumplimiento regulatorio que la empresa no tiene.
- Combinar ambos enfoques para la mayoría de los casos: usar plataformas probadas de proveedores junto con desarrollos propios en aspectos críticos como prompts, orquestación y evaluaciones específicas.
Para tomar esta decisión con objetividad, se puede emplear un modelo de puntuación basado en 10 dimensiones, cada una valorada del 1 al 5 y con distintos pesos según prioridades estratégicas. Algunos ejemplos:
1. Diferenciación estratégica: ¿la IA es un núcleo diferencial o solo una mejora estándar?
2. Sensibilidad y localización de datos: PHI/PII o datos regulados vs. proveedor con certificaciones claras.
3. Exposición regulatoria: obligaciones específicas vs. controles externos que cumple el proveedor.
4. Tiempo para aportar valor: meses aceptables vs. semanas necesarias.
5. Nivel de personalización.
6. Complejidad de integración.
7. Madurez operativa y talento interno.
8. Costo total de propiedad a 3 años.
9. Rendimiento y escalabilidad requeridos.
10. Riesgo de dependencia o facilidad de portabilidad.
Las reglas para decidir son:
- Construir si la puntuación de Build supera a Buy en al menos un 20%.
- Comprar si Buy supera a Build en un 20% o más.
- Optar por un modelo híbrido si las puntuaciones están dentro de un margen del ±20%.
Este enfoque cuantitativo permite fundamentar la decisión y facilitar su reporte transparente a la junta.
Un error común es comparar costos de suscripción a corto plazo con costos de desarrollo acumulados a varios años. Para evaluar bien, hay que considerar el costo total a 3 años, que incluye:
En Build: salarios de ingenieros (IA, ML, SRE, seguridad), cómputo en la nube, pipelines de datos, monitoreo, cumplimiento y pruebas, además de costos ocultos como tarifas de salida de datos.
En Buy: suscripciones, tarifas por uso, gastos de integración, módulos adicionales, cumplimiento, y gastos de migración al salir.
¿Cuándo conviene construir? Particularmente cuando:
- La IA es propiedad intelectual estratégica (ej. scoring de riesgos, detección de anomalías financieras).
- Se requiere control estricto de datos sensibles que no pueden pasar a proveedores externos.
- La integración con sistemas legacy es muy específica y compleja.
Pero hay también riesgos, como la necesidad constante de evidencias para auditorías, la dificultad para atraer talento especializado y costos inesperados en pruebas y monitoreo.
¿Cuándo conviene comprar?
- Para tareas estándar como toma de notas, preguntas y respuestas, asistentes básicos.
- Si la dirección exige despliegue en plazos muy cortos.
- Cuando el proveedor ofrece cumplimiento sólido y certificados reconocidos.
Los riesgos son la dependencia al proveedor, la volatilidad en el uso que impacta el presupuesto y costos altos para salir del servicio.
Lo más común en las grandes empresas estadounidenses para 2025 será un modelo híbrido: comprar plataformas que aseguren gobernanza, rutas multi-modelo, seguridad y cumplimiento; y desarrollar internamente las capas finales donde se personaliza la IA al negocio, controlando la propiedad intelectual sensible y cumpliendo con supervisión de niveles altos.
Para quienes optan por comprar, es clave verificar que el proveedor cuente con certificaciones ISO/IEC 42001, SOC 2 y vínculos claros con el marco del NIST, además de acuerdos de gestión de datos (ej. HIPAA BAA) y cláusulas claras de portabilidad y salida.
Quienes construyen deberán seguir las categorías del marco de gestión de riesgos del NIST, diseñar arquitecturas que eviten dependencia bloqueante, contar con equipos dedicados de operaciones de grandes modelos de lenguaje y controlar estrictamente los costos, incluyendo la minimización de tarifas por salida de datos.
Una guía práctica para ejecutivos sería:
- Si la capacidad genera ventaja competitiva en 1–2 años, es probable que deban construir.
- Si existe madurez en gobernanza interna, se puede optar por construir.
- Si no es así, quizá convenga un modelo híbrido.
- Si los artefactos de cumplimiento del proveedor satisfacen reguladores, comprar o mezclar puede acelerar.
- Siempre comparar costos totales a 3 años para tomar la mejor decisión.
Por ejemplo, una aseguradora de salud con casos de uso de revisión automática de reclamos, que maneja datos médicos protegidos, regulada por HIPAA y con integración compleja, podría usar un proveedor que garantice cumplimiento y construir internamente las adaptaciones específicas y controles, en un esquema mixto con evidencias documentadas para auditorías.
En definitiva, los vicepresidentes de IA deben usar marcos de evaluación claros que generen pruebas y criterios auditables, esperar que el modelo híbrido prevalezca y asegurarse de que sus desarrollos y compras estén alineados con normativas como NIST AI RMF, SOC 2 e HIPAA, además de integrar estrategias de costos a largo plazo y cláusulas contractuales para la salida de proveedores.
En Estados Unidos en 2025, la pregunta de construir o comprar IA no es una cuestión ideológica, sino una cuestión de asignación estratégica, gobernanza rigurosa y disciplina de ejecución. Quienes adopten este enfoque no solo acelerarán la adopción de IA en sus organizaciones, sino que también estarán mejor preparados para afrontar el escrutinio regulatorio y el control del riesgo por parte de los consejos de administración.
