Esta semana, la iniciativa que podría convertirse en la primera ley de inteligencia artificial de México encendió el debate en redes sociales con tal intensidad que el Senado canceló la sesión programada para su presentación formal. El aviso oficial de suspensión cita, textualmente, que la decisión fue "derivada de la conversación pública generada recientemente en espacios digitales, particularmente en la red social X". Se busca, dice el oficio, "fortalecer, analizar y robustecer la iniciativa antes de su presentación".
La iniciativa de Ley General para Regular y Fomentar el Uso de la Inteligencia Artificial, coordinada por el senador priista Rolando Zapata, Presidente de la Comisión de IA en el Senado, está respaldada por senadores de Morena, PAN, PVEM, PRI, PT y Movimiento Ciudadano. Es el resultado de 16 meses de trabajo y clasifica infracciones en tres niveles —leves, graves y gravísimas— al tiempo que crea nuevas instituciones nacionales: la Autoridad Nacional de Inteligencia Artificial, la Estrategia Nacional de IA, el Fondo Nacional para el Desarrollo de la IA y el Sistema Nacional de Certificación de la IA. Además, adopta un modelo de regulación escalonada: los sistemas de alto riesgo estarán sujetos a registro obligatorio, auditorías y certificación; los de uso personal o limitado solo deberán cumplir principios básicos.
En ese debate, sin embargo, no entró la perspectiva de uno de los sectores que quizás más va a sentir esta ley en su operación cotidiana. Esta entrega busca contribuir a ese análisis: qué dice la ley, qué implica para universidades, académicos y estudiantes, y qué conviene hacer desde ahora.
La iniciativa parte de una premisa que pocos cuestionan: la inteligencia artificial no es neutral. Puede amplificar sesgos, vulnerar privacidad y afectar derechos fundamentales si se usa sin ningún tipo de control. La ley propone entonces un modelo de regulación escalonado por nivel de riesgo: no todos los sistemas de IA recibirían el mismo tratamiento, sino uno proporcional a su impacto potencial.
Los cuatro niveles de riesgo que la ley establece:
| Riesgo mínimo | IA de uso cotidiano sin impacto significativo en derechos. Aplican sólo principios básicos de transparencia. Ejemplos: filtros de spam, asistentes de calendario, correctores de texto. |
| Riesgo limitado | Sistemas que interactúan con personas y deben informar que son IA. Chatbots de atención, asistentes de voz, generadores de contenido. |
| Alto riesgo | Sistemas que toman o apoyan decisiones con impacto real en derechos, seguridad o acceso a servicios. Registro obligatorio, evaluación previa, auditoría y certificación. Aquí están los que más afectan a las IES. |
| Prohibidos | Sistemas que ningún actor puede usar. Vigilancia masiva sin orden judicial, manipulación cognitiva o política, scoring social coercitivo, sistemas autónomos letales sin supervisión humana. |
Para hacer cumplir este esquema, la ley crea una Autoridad Nacional de Inteligencia Artificial con amplias facultades: emitir lineamientos técnicos vinculantes, clasificar sistemas, ordenar suspensiones preventivas, imponer sanciones (multas, clausuras, inhabilitaciones) y remitir casos a la Fiscalía General de la República cuando los hechos constituyan delitos. Las infracciones se clasifican en leves, graves y gravísimas —una categoría que amplía el alcance del derecho administrativo sancionador en materia tecnológica— que pueden incluir penas de cárcel.
La ley también introduce el concepto de neuroderechos: privacidad mental, integridad cognitiva y autonomía de la voluntad. Son derechos orientados a proteger a las personas frente a tecnologías que pueden interferir en sus procesos mentales o emocionales. Su inclusión es significativa y su interpretación práctica, uno de los debates jurídicos más relevantes que traerá la ley.
El primer punto que conviene entender con claridad es éste: las instituciones de educación superior no son observadoras de esta ley. Son, técnicamente, operadoras de sistemas de inteligencia artificial, y varios de los que ya usan —o están adoptando— caen dentro de la categoría de alto riesgo.
Aplicando esa definición a la operación cotidiana de las IES, estos son los casos que más probablemente quedarían sujetos a las obligaciones de alto riesgo:
| Detección de plagio con IA | Sistemas como Turnitin ya incorporan modelos de lenguaje para identificar contenido generado por IA y toman decisiones que afectan directamente los derechos académicos de los estudiantes. Aplicando la definición de la ley, probablemente calificarían como alto riesgo: implicaría registro y certificación obligatorios. |
| Evaluación automatizada | Plataformas que califican ensayos, detectan patrones de deshonestidad o clasifican perfiles académicos. Si afectan derechos, requieren evaluación de impacto previa a su implementación. |
| Admisiones con IA | Cualquier sistema que preseleccione candidatos, asigne becas o determine continuidad académica cae en la categoría de alto riesgo por definición: incide directamente en el acceso a la educación. |
| Tutores inteligentes | Plataformas adaptativas que ajustan contenidos y evaluaciones según el perfil del estudiante. La interpretación amplia de los neuroderechos podría alcanzar sistemas diseñados para influir en procesos de aprendizaje. |
| Investigación con IA | Proyectos académicos que usen datos sensibles, modelos experimentales o generación de contenido podrían requerir evaluaciones de riesgo previas, controles éticos formales y documentación ante la Autoridad Nacional. |
La semana pasada, la Secretaría de Educación Pública presentó por primera vez evidencia nacional sobre el uso de IA en educación superior. Los números son contundentes: ocho de cada diez estudiantes usan inteligencia artificial generativa para elaborar tareas escritas —ensayos, tesis, resúmenes—. Más del 60% la usa al menos una vez por semana. La encuesta cubrió 2 mil 900 instituciones, un millón 529 mil estudiantes y 163 mil docentes.
El 91% de los docentes encuestados reconoció que necesita capacitarse en el uso de la IA. El 80% de los estudiantes considera que la IA transformará su área de estudio. Y un dato que no debería pasar inadvertido: casi 92 mil estudiantes —el 9% de los encuestados— reportaron usar la IA como herramienta de apoyo emocional, para manejar ansiedad, estrés o depresión.
El trabajo de investigación con IA enfrenta un nuevo entorno de obligaciones. Usar datasets sensibles, desarrollar modelos experimentales, generar contenido sintético o aplicar IA en estudios con sujetos humanos podría requerir, bajo la nueva ley, una evaluación de impacto previa, controles de seguridad documentados y supervisión continua. Los tiempos académicos y los tiempos regulatorios no siempre van a coincidir. Eso es una fricción real.
Además, conceptos como "manipulación subliminal", "afectación a derechos" o "no discriminación algorítmica" tienen redacciones amplias cuya interpretación queda, en primera instancia, en manos de la Autoridad Nacional. Para investigadores que trabajan en algoritmos de recomendación, sistemas de tutoría inteligente o modelos de predicción académica, esa ambigüedad es una fuente de incertidumbre jurídica que no puede ignorarse.
La ley les otorga derechos explícitos: el derecho a saber cuándo una decisión que les afecta fue tomada o apoyada por un sistema de IA; el derecho a oponerse a tratamientos automatizados que incidan significativamente en sus derechos o libertades; el derecho a que los datos con los que se entrenan los sistemas que los evalúan sean gestionados con transparencia y con su consentimiento informado. Estas son garantías reales que, una vez que la ley entre en vigor, las IES deberán poder cumplir.
Hay un ángulo adicional que el sector universitario debería estar analizando con atención. Si la Autoridad Nacional tiene facultades para emitir lineamientos vinculantes sobre el uso de IA —como sugiere el esquema de la iniciativa— su aplicación a universidades públicas autónomas introduciría una tensión con el principio de autonomía universitaria que merece un debate jurídico específico.
La autonomía no es un privilegio administrativo. Es el reconocimiento constitucional de que las universidades cumplen mejor su misión cuando pueden gobernarse a sí mismas. Si la Autoridad Nacional pudiera determinar qué sistemas de IA puede o no puede usar una universidad en sus procesos de admisión, evaluación o investigación, estamos ante una interferencia de alcance que el texto final de la ley tendrá que resolver con precisión.
El sector educativo sí estuvo presente en el proceso que dio origen a esta ley. En marzo de 2025, el tercer conversatorio de la Comisión fue dedicado específicamente a "IA, la nueva Educación y el Futuro del Trabajo", con participación de académicos del IPN, el Tec de Monterrey y la UACM, entre otros. En noviembre de 2025, la Comisión instaló una mesa específica con rectores universitarios de las seis regiones de la ANUIES —UAM, UABC, UASLP, UAN y otras— donde el senador Zapata les anunció que la Ley General viene, y que después vendrá un capítulo específico en la Ley General de Educación.
Pero esa conversación tuvo un enfoque preciso: formación de talento, brecha digital, actualización curricular, el riesgo de que las universidades pierdan relevancia. Lo que no se discutió —y que esta ley ahora impone— es qué ocurre cuando una universidad opera como proveedora de sistemas de inteligencia artificial de alto riesgo: evaluaciones de impacto previas, registro ante la Autoridad Nacional, obligaciones de compliance, régimen sancionatorio. Las IES fueron convocadas como actores de política educativa. No fueron consultadas sobre sus obligaciones regulatorias como operadoras de IA.
La ley tiene aspectos positivos y aspectos que generan preguntas legítimas. Pero independientemente del debate sobre su diseño, algo es claro: va a existir. Y las instituciones que lleguen al momento de su entrada en vigor sin haber ordenado su propio ecosistema de IA estarán en una posición de desventaja —operativa, legal y estratégica.
Las acciones más urgentes para las IES son concretas:
| Mapear los sistemas de IA en uso | Identificar qué herramientas de IA opera la institución hoy y cuáles califican como de alto riesgo bajo la clasificación que propone la ley. Muchas IES no tienen este inventario. |
| Designar un responsable de gobernanza de IA | No el área de sistemas. Un actor con autoridad real para establecer política institucional sobre el uso de IA, articular el cumplimiento normativo y representar a la institución ante reguladores. |
| Revisar la exposición jurídica | Las áreas jurídicas institucionales necesitan analizar cómo la iniciativa afecta los procesos de admisión, evaluación, investigación y gestión de datos. Antes de que la ley esté vigente. |
| Construir o actualizar la política institucional de IA | Las instituciones sin política formal de uso de IA están expuestas tanto a las sanciones de la ley como a los riesgos de integridad académica que ya se vienen documentando en esta serie. |
| Incidir en el proceso legislativo | El texto todavía no está cerrado. Las IES, a través de la ANUIES y de sus instancias de representación, tienen la oportunidad de hacer llegar al Senado su perspectiva sobre los artículos que más las afectan. El tiempo es corto, pero no es cero. |
En entregas anteriores de esta serie hemos documentado que menos del 10% de las IES mexicanas cuenta con un marco formal de gobernanza de IA. Que el uso es masivo —docentes, estudiantes y administrativos utilizan estas herramientas todos los días— mientras las instituciones operan sin política, sin responsables designados y sin claridad sobre lo que está permitido y lo que no.
Con la llegada de un marco regulatorio formal, ese vacío deja de ser solo un problema de visión estratégica. Se convierte en un problema de exposición legal. Y el primer paso para resolverlo es saber exactamente dónde está cada institución.
El Índice Campus de Gobernanza Universitaria (ICGU) es el primer instrumento nacional de medición sistemática del estado de preparación de las IES mexicanas para gestionar los retos tecnológicos, de integridad académica y de gobernanza institucional del siglo XXI. No es un ranking académico ni un ejercicio comparativo de prestigio. Es un espejo institucional: le dice a cada universidad exactamente en qué punto está y qué necesita construir para avanzar.
Participar en el ICGU no es solo obtener un diagnóstico. Es contar con un mapa de dónde está la institución, qué necesita construir y en qué orden, antes de que el regulador llegue a preguntar. Las instituciones que hayan hecho ese trabajo tendrán una ventaja real: cumplirán más rápido, con menor costo, y podrán posicionarse como referentes ante la nueva Autoridad Nacional de Inteligencia Artificial.
Quienes aún no lo hayan hecho llegarán al mismo destino, pero sin el mapa. Y con la ley vigente.
La pausa que se abrió esta semana —cuando el debate en redes forzó al presidente de la Comisión a aclarar públicamente el alcance de la iniciativa y a posponer su presentación formal— es exactamente la ventana que el sector educativo necesita para hacer llegar su voz. Particularmente sobre lo que la ley sí impone a las universidades como operadoras de sistemas de IA de alto riesgo: registro, evaluación de impacto, cumplimiento normativo, régimen sancionatorio. Esa conversación todavía no ha ocurrido. Y el tiempo para tenerla se está agotando.
Vanessa Medina Armienta
Especialista en regulación, educación superior e inteligencia artificial, con más de 25 años de experiencia en el sector público federal mexicano — SHCP, CNBV, SRE y Cámara de Diputados, entre otras instituciones. Es Directora de Campus Consulting, donde acompaña a universidades mexicanas en el diseño e implementación de políticas institucionales de IA responsable. Licenciada en Relaciones Internacionales por la UNAM, Maestra en Relaciones Internacionales por la Universidad de Nottingham, Reino Unido (Beca Chevening) y Maestra en Consultoría Organizacional y de Negocios por ICE México.
Columna Campus: Un-Common Sense
