La generación de inteligencia artificial hace que las acciones legales sean baratas y las empresas tienen que prepararse

El año pasado, para mejorar el cumplimiento tributario, el Departamento del Tesoro de los Estados Unidos propuso una norma diseñada para aumentar la divulgación de criptomonedas. La criptoindustria pensó que las obligaciones eran demasiado amplias y las retrasó con fuerza, con el apoyo de un aliado poco convencional.

El «ejército LexPunk», una comunidad de abogados y desarrolladores que ofrece apoyo legal de código abierto a la industria financiera descentralizada, lanzó un bot de IA que cualquiera podría utilizar para hacer comentarios sobre la norma propuesta. El efecto era triple: primero, cualquier persona que tuviera un comentario podía archivarlo fácilmente en el formato correcto. En segundo lugar, una avalancha de comentarios ralentizó la acción del Tesoro, lo que podría retrasar o poner en peligro la norma. En tercer lugar, los comentarios sentaron las bases para una futura impugnación legal.

La mediana del número de comentarios sobre un nuevo reglamento es tres, pero en este caso la regla suscitó 120 000 comentarios. Cuando la propuesta se finalizó, estaba diluido en lo que la Asociación Blockchain describió como un «testimonio de la increíblemente poderosa voz de nuestra industria y comunidad».

¿Es una victoria única para un grupo de nicho experto en tecnología y ley? ¿O es indicativo de una perturbación más amplia en la forma en que las personas y las empresas van a cumplir la ley?

Creemos que es lo último, un ejemplo prototípico de cómo la tecnología amplifica los servicios y procesos legales de nuevas formas, lo que representa grandes promesas y grandes desafíos tanto para los gobiernos como para las empresas.

Un mundo en llamas

No es solo la digitalización de la ley lo que está cambiando.

El mundo se encuentra actualmente sumido en una volatilidad geopolítica y declive del estado de derecho, lo que aumenta la exposición legal en general. Las barreras legales tradicionales para el comportamiento empresarial están cayendo: El El proceso de adjudicación de la OMC ha sido neutralizado. Nuevas guerras significan nuevas sanciones. Los países son seguir su propio camino sobre el reglamento, crear cuencos de espaguetis con reglas que cumplir. Los políticos están procesando a sus rivales y amenazando con impugnar las elecciones en jurisdicciones tradicionalmente libres y justas.

Toda esta agitación ofrece nuevas exposiciones para las empresas mundiales. Según una encuesta de 2022, el 99% de los abogados internos dijeron que están tramitando un volumen «considerablemente» mayor de asuntos legales que también son más complicados. Las acciones legales entrantes pueden provenir de competidores, empleados, clientes o reguladores gubernamentales que buscan un día de pago económico o político.

Colapso de los costes legales

Las empresas pueden gastar cientos de millones de dólares al año en servicios legales. Estas firmas, cuyos abogados pueden costar miles de dólares por hora, probablemente no piensen que los costes legales estén disminuyendo. Pero esto está a punto de cambiar radicalmente.

Tomemos el ejemplo de un comentario sobre la norma sobre criptomonedas propuesta por el Departamento del Tesoro, que tenía unas 100 000 palabras. Con 225 palabras por minuto, una persona promedio tardaría casi ocho horas en leer la legislación. Entonces podrían tardar otros dos en redactar una respuesta. Ni siquiera estamos hablando del tiempo de análisis, solo del tiempo que se tarda en digerir y formular una respuesta. Con tarifas corporativas medias por hora de 500 dólares, esas 10 horas de trabajo serían 5000 dólares. Con abogados más caros haciendo un trabajo más extenso, podría ser mucho más.

Compartimos la norma sobre las criptomonedas propuesta con varios modelos lingüísticos extensos (LLM) orientados al consumidor, lo que generó una visión general concisa y comprensible de la propuesta en cuestión de minutos. Cuando le dijimos al LLM que adoptara diferentes personas (un corredor de bitcoins, un comprador de bitcoins), nos explicó por qué nos debía importar y redactó los comentarios que podríamos haber presentado. Esto prácticamente no llevó tiempo ni dinero.

Imagínese si estas herramientas se utilizaran como armas contra su empresa. Supongamos que se ha expandido a un nuevo mercado en el que un competidor se siente amenazado y decide incurrir en un delito legal. Utilizan una herramienta de inteligencia artificial para analizar la información pública sobre su empresa y archivar cientos de casos de infracción de derechos de autor, propiedad intelectual y robo de secretos comerciales. La escala significa que no puede simplemente ignorarla o conformarse con una cantidad nominal.

O quizás dirige un restaurante o una cafetería. ¿Y si todos los teléfonos inteligentes que entran en el restaurante estuvieran a unos pocos clics de captar el comportamiento de sus empleados y presentar una demanda por discriminación? Su exposición al riesgo ha aumentado considerablemente.

Por último, imagine que uno de sus clientes tiene una demanda contra su empresa. Tradicionalmente, siguen el proceso de servicio de atención al cliente porque el coste de las acciones legales es prohibitivo. Pero, ¿y si pudieran utilizar una plataforma para hacer clic en unos cuantos botones y presentar una queja que se tradujera en un pago más alto para ellos y le costaría más en honorarios legales defenderse que llegar a un acuerdo? Apostamos a que harían clic en ese botón.

Las empresas actuales a menudo pueden salirse con la suya con una mala conducta porque es demasiado caro hacer cumplir su ley. Sus empleados, clientes o competidores tienen que pensar mucho en pasar a la ofensiva porque las batallas legales llevan mucho tiempo, son caras y distraen. Cuando las acciones legales sean mucho más fáciles, se tomarán muchas más medidas. Nivela las condiciones al eliminar la ventaja asimétrica que tienen las empresas hoy en día de tener más recursos legales y experiencia al alcance de la mano.

En algunos casos, esto es bueno para la justicia y en otros permite a los agresores injustificados. En cualquier caso, crea un nuevo mundo de riesgos legales para las empresas.

El nuevo ciberriesgo

Este mundo es nuevo para el riesgo legal, pero no para la ciberseguridad, que lleva décadas haciendo frente a un gran volumen de riesgos y ofrece lecciones útiles para hacer frente a la próxima ola de acciones legales.

Imagínese si cientos de empresas compartieran datos sobre los tipos de acciones legales a las que se enfrentaban y los motores tecnológicos que las producen. O si incluso invirtieran en tecnología para facilitar el intercambio y reducir las vulnerabilidades. Esto es algo habitual en la ciberseguridad. Del Vulnerabilidades y exposiciones comunes (CVE) sistema al Base de datos nacional de vulnerabilidades, los gobiernos, las empresas, los académicos y los cazarrecompensas por bichos han aprendido a compartir.

Es difícil imaginar a muchos directores ejecutivos y consejeros generales que piensen que es una buena idea compartir las vulnerabilidades y exposiciones legales de su empresa. Tendrían objeciones inmediatas basadas en el privilegio y la confidencialidad, así como en la preocupación por la defensa de la competencia. Se basan en un cálculo de riesgos basado en la conocida forma del riesgo legal: una acción legal específica la emprende un actor claro.

Los riesgos legales futuros serán las expediciones de pesca legales, como los ataques de «suplantación de identidad» en Internet: acciones menos personales y producidas en masa iniciadas por muchos actores. Cuando se coordinen, se parecerán mucho más a los ataques de denegación de servicio distribuido (DDoS), que implican aplastar a un objetivo con una avalancha de tráfico para dejarlo desconectado. Esto es similar a intentar abrumar al Tesoro con comentarios para frenarlo.

Los ataques DDoS son pequeñas molestias, hasta que no lo son. Las solicitudes a los servidores forman parte de Internet de la misma manera que los comentarios sobre una propuesta de reglamento son solo una parte del derecho administrativo o la presentación de quejas de los clientes es simplemente la ejecución de un derecho del consumidor. Pero cuando llegan demasiadas solicitudes a la vez, el sistema se bloquea.

En cuanto a la ciberseguridad, la posición por defecto es que la ciberseguridad es mala para todos, excepto para los delincuentes y los adversarios. Si bien no cabe duda de que las empresas pueden rendir cuentas por no tomar medidas para protegerse (y los datos confidenciales de los clientes) de los ataques, las empresas siguen siendo vistas como víctimas en la mayoría de los casos.

Por ejemplo, Petya (2016) y No Petya (2017) eran ataques que aprovechaban vulnerabilidades similares y tomaban la misma medida (cifrar los archivos de los usuarios), pero tenían diferentes propósitos. Petya  lo usaron los delincuentes como ransomware. Pague una cuota, recupere sus datos. No Petya, por otro lado,  se cree que Rusia lo desplegó simplemente para destruir datos. En ambos casos, las empresas atacadas, como el gigante naviero Maersk, fueron vistos como víctimas.

¿Hay alguna razón para pensar que Rusia u otro actor estatal no lanzarían ataques similares contra los sistemas legales a través de las empresas o los ya sobrecargados sistemas legales en los que se basan? Corea del Norte, Rusia, y Irán, por ejemplo, todos han condenado a los Estados Unidos por racismo y desigualdad de acceso a la justicia. ¿Podrían intentar avergonzar a los EE. UU. y socavar a sus empresas más exitosas ofreciendo litigios como servicio gracias a la IA a clientes o competidores molestos?

Si bien muchos posibles rescatadores se ven estrangulados por la amenaza de ir a la cárcel por sus acciones, es muy legal seguir una estrategia legal ofensiva. De hecho, no es difícil convencerse de que ir a la ofensiva es simplemente una forma más eficaz de obtener justicia y reequilibrar la dinámica del poder.

A medida que aumente la avalancha de amenazas legales, será cada vez más difícil determinar quién busca un pago y quién quiere hacer que la empresa objetivo pase por fases de descubrimiento dolorosas y embarazosas con poco coste para el atacante. Averiguar qué es la señal y qué es el ruido es difícil en una inundación y las empresas necesitarán nuevas técnicas para filtrar los riesgos legales. Sin duda, luchar contra la IA con la IA será un resultado natural.

El nuevo blindaje legal

En la actualidad, es más probable que las empresas interactúen con importantes riesgos legales en la sala de juntas, donde las acciones y casos legales pasan al radar del riesgo empresarial solo cuando alcanzan un umbral de materialidad. Ese no es el mecanismo de filtrado correcto del riesgo legal en el futuro.

Para prepararse para esta nueva realidad, las empresas tienen que seguir una página de preparación para la ciberseguridad. En concreto, las empresas tendrán que tomar medidas rápidamente para entender mejor sus vulnerabilidades, las amenazas emergentes y su posible impacto, las medidas de mitigación del riesgo que quieren tomar y sus estrategias de comunicación con las partes interesadas internas y externas. Por ejemplo, el bufete de abogados DLA Piper trabaja con empresas de un» equipo rojo legal» ejercicio para identificar las vulnerabilidades.

Empiece por establecer un enfoque y una estrategia básicos. Puede decidir invertir en tecnología para gestionar el creciente volumen de riesgos legales. Por supuesto, echar a la gente ante el problema también es un enfoque antiguo: aumentar el número de abogados internos o subcontratar a un bufete de abogados también podría funcionar, al menos durante un tiempo.

Luego, conecte los equipos legal y de estrategia corporativa para pensar en la presencia actual de la empresa. ¿Cuáles son sus principales mercados? ¿Dónde hay competidores feroces que harían cualquier cosa por la cuota de mercado? ¿A qué sistemas legales está expuesta la empresa y cómo actuará ante ataques legales de mayor volumen generados por la IA? ¿Hay lugares de los que valga la pena salir para proteger a aquellos en los que la empresa se mantendrá firme? ¿Hay medidas de mitigación que pueda tomar ahora para reducir sus vulnerabilidades?

Además, monitorear lo que sucede en el mundo es crucial. Si bien no existe un sistema CVE para los riesgos legales, los esfuerzos por digitalizar el trabajo legal y hacer que el funcionamiento del sistema legal sea más transparente, al menos en algunos países, significan que hay no escasez de datos disponible para empezar. Agregue a esto los datos que ya tiene sobre los riesgos legales existentes y tendrá un punto de partida decente.

Una vez identificados los riesgos, puede identificar a su equipo de respuesta e diseñar sistemas y procesos para responder a los riesgos. Revise los marcos de mejores prácticas en materia de ciberseguridad, como NIST CSF 2.0, y hable con sus equipos internos de ciberseguridad. Los directores generales pueden descubrir que pueden aprender mucho de la forma en que los CISO operan sus centros de operaciones de seguridad (SOC).

Busque socios externos que estén dispuestos a colaborar. Se puede pedir a los grupos industriales, a las empresas asociadas y a algunas agencias gubernamentales que desarrollen respuestas más holísticas a tipos particulares de ataques. Por ejemplo, una avalancha de demandas frívolas de propiedad intelectual podría servir de base para cabildear en busca de apoyo regulatorio o legislativo.

Una última advertencia: no subestime este riesgo. El Departamento del Tesoro tenía que dar sentido a los 120 000 comentarios porque la tecnología lo facilitaba. Prepárese para su inundación legal antes de que llegue.