El riesgo de IA que nadie está asegurando: por qué su póliza no responde cuando el modelo falla (y qué significa en México)

QMA Research
Su organización ya desplegó inteligencia artificial. Un copiloto que redacta correos, un chatbot que atiende clientes, un modelo que prioriza solicitudes de crédito o detecta fraude. La pregunta que casi nadie ha hecho todavía es incómoda y concreta: cuando ese modelo se equivoque y alguien reclame, ¿qué póliza responde?
La respuesta, en la mayoría de los casos, es ninguna.
En marzo de 2026, la reaseguradora global Gallagher Re publicó junto con MIT Sloan y Testudo un análisis del mercado asegurador frente a la IA. Su conclusión central es que la adopción de IA ha corrido más rápido que la capacidad del seguro para absorber los riesgos que crea, y que el resultado es una categoría creciente de riesgo empresarial sin asegurar. Tomamos ese documento como punto de partida y lo contrastamos con lo que realmente existe en México. Lo que encontramos es que aquí el hueco no solo está presente: es más ancho, y prácticamente nadie lo está nombrando.
El punto ciego: quien despliega es quien responde
La intuición de la mayoría de los directivos es que, si la IA de un tercero falla, responde ese tercero. Los hechos apuntan en dirección contraria.
Cuando el chatbot de Air Canada inventó una política de tarifas por duelo que no existía, el tribunal responsabilizó a la aerolínea por representación negligente. El proveedor del chatbot no fue el demandado. Cuando se litigan las negativas automatizadas de cobertura médica en Estados Unidos, las demandadas son UnitedHealthcare, Humana y Cigna —las organizaciones que desplegaron el algoritmo—, no el proveedor que lo construyó. El patrón es consistente: quien pone la cara frente al usuario y hace la representación es quien carga con la responsabilidad.
No se trata de casos aislados. Testudo, que suscribe riesgos de IA, contabiliza los litigios acumulados en Estados Unidos relacionados con IA generativa desde 2020: superaron los 700 hacia 2025, con un crecimiento de 978% entre 2021 y 2025 y una aceleración interanual que pasó de 59% en 2023-2024 a 137% en 2024-2025. La curva no solo es alta: se está empinando. Y las propias empresas ya lo perciben —en una encuesta de Gallagher a 1,250 compañías a finales de 2025, el 57% señaló los errores, la desinformación y las alucinaciones de IA como su principal preocupación, por encima incluso de los riesgos legales y reputacionales.
Ese patrón se agrava por el lado contractual. Gallagher Re señala que los contratos estándar de los proveedores de IA suelen topar su responsabilidad en el equivalente a doce meses de honorarios y no ofrecen garantías de desempeño. Traducido: si el modelo alucina y su organización enfrenta una demanda de varios millones, el recurso contra el proveedor está limitado a una fracción de lo que usted pagó por la licencia. El resto lo absorbe usted.
Conviene tener presente la distinción que el propio documento utiliza, porque define dónde cae la responsabilidad. Los desarrolladores crean los modelos fundacionales. Los proveedores los empaquetan en productos. Los desplegadores los integran en sus operaciones o en servicios de cara al cliente. La inmensa mayoría de las organizaciones mexicanas —incluida, con toda probabilidad, la suya— cae de lleno en la tercera categoría.
Qué responde —y qué no— cuando la IA falla
Aquí está el matiz que decide todo: el seguro cibernético responde cuando la IA es el vector del ataque, no cuando es la fuente del daño.
Si un atacante usa IA para generar un phishing hiperpersonalizado o un deepfake de voz de su director financiero, se trata de un ataque, y la póliza cibernética probablemente responda. Pero si su propio modelo alucina y causa una pérdida financiera a un cliente, si su algoritmo de contratación discrimina sistemáticamente, o si su generador de contenido infringe derechos de autor, no hubo brecha, no hubo falla de seguridad de red, y no hay disparador de póliza. El daño existe; la cobertura no.
Las demás líneas tampoco cierran el hueco:
- Errores y Omisiones de Tecnología (Tech E&O). Protege a quien vende tecnología a terceros. Si su organización usa IA pero no la suministra, este producto no está diseñado para su perfil de riesgo.
- Responsabilidad civil de productos. Se centra en el daño físico. La pérdida puramente financiera, la discriminación algorítmica y el daño reputacional quedan fuera del alcance.
- Responsabilidad civil general. Excluye la pérdida propia y la mayoría de los daños asociados a IA. Y, como veremos, desde enero está excluyendo bastante más.
El caso Zillow es el que mejor ilustra el vacío. En 2021, su algoritmo de valuación de vivienda —entrenado con datos históricos— no supo adaptarse a la volatilidad posterior a la pandemia y sobrepagó sistemáticamente por inmuebles. La empresa redujo el valor estimado de su inventario en más de 500 millones de dólares, cerró la división, despidió a 2,000 personas y vio caer su acción 25%. No hubo brecha de datos. No hubo robo. No hubo un empleado tomando una mala decisión. El modelo simplemente dejó de funcionar cuando el mundo cambió —y ninguna póliza tradicional respondía a esa causa.
Enero de 2026: el fin de la «IA silenciosa»
Hasta hace poco, el riesgo de IA estaba cubierto de manera implícita en muchas pólizas por una razón simple: nadie lo había excluido. El mercado lo llama silent AI, IA silenciosa. Ese periodo terminó.
En enero de 2026, la Insurance Services Office —el organismo que estandariza los formularios de responsabilidad civil comercial en Estados Unidos— publicó tres endosos de exclusión de IA generativa que aplican a las renovaciones a partir del 1 de enero:
- CG 40 47 — la versión amplia: elimina daño corporal, daño a la propiedad y perjuicio personal y publicitario derivados de IA generativa.
- CG 40 48 — variante que elimina únicamente el perjuicio personal y publicitario (Coverage B).
- CG 35 08 — variante para responsabilidad de productos y operaciones terminadas.
Vale la pena leer la definición que usan, porque su amplitud es el verdadero problema. IA generativa es, textualmente, «un sistema o modelo de aprendizaje automático entrenado con datos, con la capacidad de crear contenido o respuestas, incluidos, entre otros, texto, imágenes, audio, video o código». Prácticamente cualquier herramienta de IA que su organización tenga desplegada hoy cabe en esa frase.
Y la exclusión no opera sobre el daño causado por la IA en sentido estricto, sino sobre el daño «que surja de» (arising out of) la IA generativa —una fórmula que en la práctica aseguradora solo exige una conexión causal, no que la IA sea la causa próxima. Es una de las redacciones más amplias disponibles.
La lectura es directa: el mercado dejó de tolerar la ambigüedad y se está moviendo primero a excluir. Los productos dedicados existen —Munich Re, Testudo, Armilla— pero operan en Londres y Nueva York, y llegan más lento que las exclusiones.
Qué encontramos al buscar cobertura de IA en México
Aquí es donde el análisis deja de ser importado. Buscamos, en fuentes públicas del mercado mexicano, oferta documentada de cobertura de responsabilidad por daños derivados del uso de IA —alucinaciones, discriminación algorítmica, deriva de modelo—. No la encontramos.
Lo que sí abunda es contenido sobre aseguradoras usando IA para suscripción, detección de fraude y automatización de siniestros. Son dos temas distintos que se confunden con frecuencia: una cosa es que la aseguradora ocupe IA en su operación, y otra muy diferente es que le venda a usted una póliza que responda cuando su IA falle. Lo primero está muy avanzado en México. Lo segundo, hasta donde es públicamente verificable, no existe como producto.
El resto del cuadro es igual de revelador:
- La CNSF no ha emitido circular específica que regule el uso de IA en las instituciones de seguros. El marco aplicable se deriva de disposiciones preexistentes: gobierno corporativo bajo la LISF, las disposiciones generales en materia de tecnologías de la información y la legislación de protección de datos personales.
- México no tiene ley de IA. Existen iniciativas en el Senado —una reforma constitucional al artículo 73 y una propuesta de Ley General de IA— pero ninguna aprobada. El diseño institucional que proponen anticipa una discusión larga.
- La responsabilidad civil se resuelve con el Código Civil Federal. El artículo 1910 establece un régimen subjetivo: hay que acreditar daño, culpa o dolo, y nexo causal. No existe en México un régimen de responsabilidad objetiva para IA equivalente al que la Unión Europea construyó con su Directiva de Responsabilidad por Productos.
Esa última pieza merece atención, porque corta en dos direcciones. En el corto plazo, el régimen subjetivo mexicano parece más benigno para quien despliega: el demandante debe probar culpa, no basta con que el daño haya ocurrido. Pero esa aparente ventaja se invierte en cuanto se piensa en términos de evidencia. Si la disputa se va a resolver sobre si su organización actuó con diligencia, entonces todo depende de lo que usted pueda demostrar que hizo —qué controles tenía, qué validó, qué documentó, qué vigiló—. Sin ese rastro, la ausencia de un estándar legal explícito no lo protege: lo deja sin defensa.
Falta una pieza más del rompecabezas, y es la que probablemente decida el calendario. El mercado asegurador mexicano depende del reaseguro internacional, y las condiciones de las reaseguradoras globales se están endureciendo en las renovaciones de 2026. No encontramos evidencia pública de que las exclusiones de IA ya estén incorporadas en las pólizas mexicanas. Pero el canal de transmisión existe y está abierto, y las exclusiones viajan por él más rápido que los productos nuevos.
Recomendación de QMA Research
La conclusión operativa no es que su organización deba salir a comprar un seguro de IA. Es que este riesgo, hoy, en México, no se puede transferir —y cuando un riesgo no se puede transferir, la única palanca que queda es gobernarlo.
Es notable que sea la propia reaseguradora la que llegue a esa conclusión: Gallagher Re señala explícitamente que, donde las protecciones contractuales resultan inadecuadas y las indemnizaciones de los proveedores están topadas o no existen, los marcos de gobernanza como ISO/IEC 42001 y el NIST AI Risk Management Framework se vuelven complementos esenciales. Cuando quien vive de vender transferencia de riesgo le dice que el control es su mejor defensa, conviene escuchar.
Cuatro acciones concretas, en orden:
- Levante el inventario. No puede evaluar la exposición de lo que no sabe que está corriendo. Qué modelos hay desplegados, quién los opera, qué decisiones toman y con qué datos se alimentan.
- Revise los contratos de sus proveedores de IA. Busque específicamente el tope de responsabilidad, las garantías de desempeño y el alcance real de la indemnización. Es probable que el resultado lo sorprenda.
- Haga las preguntas incómodas en su próxima renovación. ¿Responde mi póliza si el modelo alucina y un cliente reclama? ¿Responde si el algoritmo discrimina? ¿Mi renovación trae exclusiones de IA nuevas? Si las respuestas tardan o llegan ambiguas, ya tiene su diagnóstico.
- Construya el rastro de diligencia. Bajo el régimen del artículo 1910, su defensa es la evidencia de que actuó con cuidado. Un sistema de gestión de IA bajo ISO/IEC 42001 no es un adorno de cumplimiento: es la documentación estructurada de esa diligencia, y es exactamente lo que le van a pedir cuando el reclamo llegue.
La pregunta ya no es si la IA va a generar responsabilidad para su organización. Es si usted va a poder demostrar que hizo lo correcto cuando eso ocurra —porque el seguro, por ahora, no va a estar ahí para responder por usted.
En QMA acompañamos a las organizaciones mexicanas a llevar el uso de IA a un marco gobernado, auditable y defendible —desde el inventario y la evaluación de exposición hasta la certificación bajo ISO/IEC 42001 e ISO/IEC 27001, a través de nuestra práctica Certeza. Si no sabe qué respondería su póliza cuando su modelo se equivoque, hablemos.
Fuentes: Gallagher Re, MIT Sloan y Testudo, «Smart Systems, Blind Spots: Rethinking Insurance for the AI Era», marzo de 2026. Insurance Services Office, formulario CG 40 48 01 26, «Exclusion — Generative Artificial Intelligence (Coverage B Only)», © ISO 2025. Fenwick, «The End of ‘Silent AI’?», 15 de junio de 2026. J. L. Cháves Sánchez (UNAM), «La responsabilidad civil en el uso de sistemas de inteligencia artificial», febrero de 2026. Este análisis es una elaboración original de QMA Research a partir de información pública. QMA no es intermediario de seguros y este contenido no constituye asesoría en materia de seguros ni asesoría legal.




