La IA generativa está reduciendo el costo de las acciones legales — las empresas deben prepararse

xguru · 2024-10-07T10:32:02+09:00

La IA está haciendo que sea más fácil y barato para clientes, empleados, competidores y reguladores emprender acciones legales Los riesgos legales del futuro surgirán en forma de investigaciones legales parecidas a ataques de phishing en internet, producidas en masa en lugar de ser personales, e iniciadas por múltiples actores Cuando se coordinan, pueden avanzar como un ataque DDoS, inutilizando al objetivo mediante una avalancha de tráfico Las empresas deben tomar como referencia las respuestas de ciberseguridad y establecer con rapidez estrategias para identificar vulnerabilidades, analizar impactos, mitigar riesgos y comunicarse con las partes interesadas Posibles cambios revolucionarios en los servicios legales El año pasado, el Departamento del Tesoro de EE. UU. propuso una norma para ampliar la divulgación de información sobre criptomonedas con el fin de prevenir la evasión fiscal La industria cripto reaccionó con fuerza, argumentando que las obligaciones eran demasiado amplias Una comunidad de desarrolladores y abogados llamada "LexPunk Army", que brinda apoyo legal a la industria de las finanzas descentralizadas, publicó un bot de IA para que cualquiera pudiera enviar comentarios sobre el borrador de la norma Gracias a este bot, se volvió fácil presentar comentarios en el formato correcto; la presentación masiva de comentarios retrasó la medida del Tesoro y sentó las bases para futuras impugnaciones legales Normalmente, una regulación nueva recibe alrededor de 3 comentarios, pero este proyecto recibió 120 mil La norma final se suavizó considerablemente, y la Blockchain Association lo describió como el resultado de una voz fuerte de la industria y la comunidad Esto plantea la pregunta de si fue una victoria puntual de un pequeño grupo con dominio de la tecnología y el derecho, o si provocará una disrupción amplia en la forma en que personas y empresas usan los recursos legales Creemos que es lo segundo, y lo vemos como un caso típico en el que la tecnología amplifica de forma revolucionaria los servicios y procesos legales, generando al mismo tiempo oportunidades y desafíos para gobiernos y empresas Un escenario global inestable No solo está cambiando la digitalización del derecho; también está cambiando la situación mundial Hoy, el mundo enfrenta un aumento general de la exposición legal debido a la inestabilidad geopolítica y al debilitamiento del Estado de derecho Los mecanismos legales tradicionales que regulaban la conducta empresarial se están desmoronando El sistema de resolución de disputas de la OMC ha quedado neutralizado Cada nueva guerra implica nuevas sanciones Los países están introduciendo regulaciones propias, creando reglas complejas que deben cumplirse Políticos amenazan con procesar a rivales e impugnar resultados electorales en jurisdicciones que tradicionalmente eran libres y justas Este desorden crea nuevos riesgos legales para las empresas globales Según una encuesta de 2022, el 99% del personal legal interno respondió que los problemas legales habían aumentado considerablemente y se habían vuelto más complejos Las acciones legales pueden provenir de competidores, empleados, clientes y reguladores gubernamentales, entre otros actores que buscan beneficios económicos o políticos La caída de los costos legales Las empresas gastan cientos de millones de dólares al año en servicios legales Quienes pagan miles de dólares por hora a abogados tal vez no sientan que los costos legales estén bajando, pero se espera un cambio de fondo Si se toma como ejemplo la presentación de comentarios sobre la propuesta del Tesoro sobre criptomonedas, de unas 100 mil palabras, Una persona promedio, leyendo 225 palabras por minuto, tardaría 8 horas solo en leer la norma Redactar una respuesta podría tomar 2 horas más Esto considera únicamente el tiempo necesario para entenderla y redactar una respuesta, sin incluir el tiempo de análisis Aplicando una tarifa corporativa promedio de 500 dólares por hora, 10 horas equivalen a 5,000 dólares Si abogados más caros realizan un trabajo más amplio, el costo puede ser mucho mayor Sin embargo, al introducir el borrador en un modelo de lenguaje grande (LLM), este generó en minutos un resumen claro y fácil de entender Al asignarle al LLM distintos roles, como corredor de Bitcoin o comprador de Bitcoin, explicó por qué cada uno debería interesarse por la norma y redactó comentarios que podrían presentarse En la práctica, esto casi no requiere tiempo ni costo ¿Qué pasaría si estas herramientas se usaran de forma maliciosa contra una empresa? ¿Y si un competidor amenazado por una empresa en un mercado nuevo revisara su información pública con herramientas de IA y presentara cientos de demandas por infracción de copyright, violación de propiedad intelectual o apropiación de secretos comerciales? Si administras un pequeño restaurante o cafetería, ¿qué pasaría si cada smartphone que entra al local pudiera capturar la conducta del personal y, con solo unos clics, convertirla en una denuncia por discriminación? ¿Y si un cliente inconforme pudiera, con unos cuantos clics en una plataforma, presentar una queja que le dé una compensación mayor y obligue a gastar más en honorarios legales que en un acuerdo? Las empresas a menudo evitan castigos incluso cuando actúan ilegalmente porque el costo de responder legalmente es alto Empleados, clientes y competidores suelen mostrarse cautelosos porque las disputas legales consumen tiempo, dinero y atención Pero si emprender acciones legales se vuelve mucho más fácil, habrá más litigios Esto nivela el terreno competitivo al eliminar la ventaja asimétrica de las empresas con abundantes recursos y experiencia legal En algunos casos puede ayudar a hacer justicia, y en otros puede fomentar ataques injustificados De cualquier forma, abre para las empresas un nuevo mundo de riesgos legales Un nuevo riesgo cibernético Aunque el riesgo legal masivo puede parecer poco familiar, el campo de la ciberseguridad ha enfrentado durante décadas riesgos a gran escala y ofrece lecciones útiles para responder a la ola de acciones legales que viene Imagina que cientos de empresas compartieran datos sobre los tipos de acciones legales que enfrentan y sobre los motores tecnológicos que las generan, o que invirtieran conjuntamente en tecnología para compartir y reducir vulnerabilidades Esto es normal en ciberseguridad Desde CVE (Common Vulnerabilities and Exposures) hasta NVD (National Vulnerability Database), gobiernos, empresas, academia y bug bounty hunters han reconocido la importancia de compartir información Sin embargo, es difícil que CEOs o responsables legales crean que compartir las vulnerabilidades y exposiciones legales de su empresa sea una buena idea Se opondrían de inmediato por razones como el privilegio abogado-cliente, la confidencialidad o el riesgo de infringir leyes antimonopolio Ese cálculo se basa en una estructura de riesgo legal conocida: acciones legales concretas iniciadas por actores específicos Pero los riesgos legales del futuro tomarán la forma de investigaciones legales parecidas a ataques de phishing en internet En lugar de ser personales, se producirán en masa e iniciarán por múltiples actores Si se coordinan, podrían operar como un ataque DDoS, inutilizando al objetivo mediante una avalancha de tráfico Eso es similar a intentar saturar al Tesoro con una avalancha de comentarios Los ataques DDoS suelen parecer una molestia menor hasta que de pronto se vuelven graves Así como las solicitudes a un servidor forman parte normal de internet, presentar comentarios sobre una norma o quejas de clientes es simplemente parte del derecho administrativo y del ejercicio de derechos del consumidor Pero cuando llegan demasiadas solicitudes al mismo tiempo, el sistema colapsa En ciberseguridad, la idea de que la inestabilidad cibernética perjudica a todos excepto a criminales y actores hostiles es algo básico A las empresas también se les puede exigir responsabilidad por no protegerse a sí mismas y a los datos sensibles de sus clientes, pero en la mayoría de los casos se las considera víctimas Los ataques Petya (2016) y NotPetya (2017) explotaron la misma vulnerabilidad para cifrar archivos de usuarios, pero tenían objetivos distintos Petya fue ransomware distribuido por criminales, y había que pagar para recuperar los datos Se cree que NotPetya fue propagado por Rusia con fines de destrucción de datos En ambos casos, empresas afectadas como Maersk fueron vistas como víctimas ¿Podemos asegurar que actores estatales como Rusia no lanzarán ataques similares contra el sistema legal a través de empresas o de un sistema judicial ya sobrecargado? Corea del Norte, Rusia e Irán han criticado el racismo y el acceso desigual a la justicia en EE. UU. Podrían avergonzar a EE. UU. y erosionar la confianza en empresas clave al ofrecer servicios de litigio impulsados por IA a clientes molestos o a competidores Quienes exigen rescates ven limitada su actividad por el riesgo de castigo, pero perseguir estrategias legales agresivas es legal Incluso es fácil convencerse de que el ataque es una forma eficiente de hacer justicia y corregir desequilibrios de poder A medida que aumenten las amenazas legales, será más difícil identificar quién busca dinero y quién solo pretende imponer costosos y vergonzosos procesos de descubrimiento sin asumir el costo del ataque En un entorno donde será difícil distinguir la señal del ruido, se necesitarán nuevas técnicas para filtrar el riesgo legal Combatir IA con IA será un resultado natural Una nueva línea de defensa legal Hoy, las empresas tratan los riesgos legales relevantes a nivel de consejo directivo, y las acciones y casos legales solo aparecen en el radar de riesgo corporativo cuando cumplen ciertos umbrales de materialidad Pero esa no es la forma correcta de filtrar los riesgos legales del futuro Para prepararse para esta nueva realidad, hay que tomar como referencia la respuesta de la ciberseguridad Hay que identificar rápidamente vulnerabilidades, amenazas emergentes y su posible impacto, medidas de mitigación del riesgo y estrategias de comunicación con partes interesadas internas y externas El bufete DLA Piper identifica vulnerabilidades junto con empresas mediante ejercicios de "equipo rojo legal" Primero, establece enfoques y estrategias clave Eso permitirá decidir inversiones tecnológicas para responder al aumento del riesgo legal Por supuesto, el método tradicional de sumar personal —contratar más abogados internos o subcontratar a firmas legales— seguirá siendo útil por un tiempo Luego, haz que el equipo de estrategia corporativa y el equipo legal analicen juntos la situación actual ¿Cuáles son los mercados clave? ¿Dónde están los competidores dispuestos a todo por cuota de mercado? ¿A qué sistemas legales están expuestos y cómo funcionarían ante ataques legales masivos impulsados por IA? ¿Hay lugares de los que convendría retirarse? ¿Qué medidas de mitigación pueden reducir la vulnerabilidad desde ahora? También es importante monitorear las tendencias globales No existe un sistema CVE para el riesgo legal, pero gracias a la digitalización del trabajo legal y a los esfuerzos por transparentar los sistemas judiciales, hay abundancia de datos Si a eso se suman los datos existentes sobre riesgo legal, será un excelente punto de partida Una vez identificados los riesgos, forma un equipo de respuesta y diseña sistemas y procesos de respuesta Revisa marcos de buenas prácticas de ciberseguridad como NIST CSF 2.0 y discútelos con tu equipo interno de ciberseguridad Los responsables legales pueden aprender mucho de cómo un CISO opera un SOC Busca socios externos abiertos a colaborar Con asociaciones de la industria, socios comerciales y algunas agencias gubernamentales, se pueden preparar respuestas integrales frente a ciertos tipos de ataques Una ofensiva irresponsable de reclamaciones de propiedad intelectual podría servir como base para impulsar regulación o apoyo legislativo Por último, una advertencia: no subestimen este riesgo Gracias a la tecnología, el Tesoro tuvo que procesar 120 mil comentarios "Prepárense antes de que llegue la inundación legal"

(hbr.org)

16 puntos por xguru 2024-10-07 | 4 comentarios | Compartir por WhatsApp

La IA está haciendo que sea más fácil y barato para clientes, empleados, competidores y reguladores emprender acciones legales
Los riesgos legales del futuro surgirán en forma de investigaciones legales parecidas a ataques de phishing en internet, producidas en masa en lugar de ser personales, e iniciadas por múltiples actores
Cuando se coordinan, pueden avanzar como un ataque DDoS, inutilizando al objetivo mediante una avalancha de tráfico
Las empresas deben tomar como referencia las respuestas de ciberseguridad y establecer con rapidez estrategias para identificar vulnerabilidades, analizar impactos, mitigar riesgos y comunicarse con las partes interesadas

Posibles cambios revolucionarios en los servicios legales

El año pasado, el Departamento del Tesoro de EE. UU. propuso una norma para ampliar la divulgación de información sobre criptomonedas con el fin de prevenir la evasión fiscal
La industria cripto reaccionó con fuerza, argumentando que las obligaciones eran demasiado amplias
Una comunidad de desarrolladores y abogados llamada "LexPunk Army", que brinda apoyo legal a la industria de las finanzas descentralizadas, publicó un bot de IA para que cualquiera pudiera enviar comentarios sobre el borrador de la norma
Gracias a este bot, se volvió fácil presentar comentarios en el formato correcto; la presentación masiva de comentarios retrasó la medida del Tesoro y sentó las bases para futuras impugnaciones legales
Normalmente, una regulación nueva recibe alrededor de 3 comentarios, pero este proyecto recibió 120 mil
La norma final se suavizó considerablemente, y la Blockchain Association lo describió como el resultado de una voz fuerte de la industria y la comunidad
Esto plantea la pregunta de si fue una victoria puntual de un pequeño grupo con dominio de la tecnología y el derecho, o si provocará una disrupción amplia en la forma en que personas y empresas usan los recursos legales
Creemos que es lo segundo, y lo vemos como un caso típico en el que la tecnología amplifica de forma revolucionaria los servicios y procesos legales, generando al mismo tiempo oportunidades y desafíos para gobiernos y empresas

Un escenario global inestable

No solo está cambiando la digitalización del derecho; también está cambiando la situación mundial
Hoy, el mundo enfrenta un aumento general de la exposición legal debido a la inestabilidad geopolítica y al debilitamiento del Estado de derecho
Los mecanismos legales tradicionales que regulaban la conducta empresarial se están desmoronando
- El sistema de resolución de disputas de la OMC ha quedado neutralizado
- Cada nueva guerra implica nuevas sanciones
- Los países están introduciendo regulaciones propias, creando reglas complejas que deben cumplirse
- Políticos amenazan con procesar a rivales e impugnar resultados electorales en jurisdicciones que tradicionalmente eran libres y justas
Este desorden crea nuevos riesgos legales para las empresas globales
Según una encuesta de 2022, el 99% del personal legal interno respondió que los problemas legales habían aumentado considerablemente y se habían vuelto más complejos
Las acciones legales pueden provenir de competidores, empleados, clientes y reguladores gubernamentales, entre otros actores que buscan beneficios económicos o políticos

La caída de los costos legales

Las empresas gastan cientos de millones de dólares al año en servicios legales
Quienes pagan miles de dólares por hora a abogados tal vez no sientan que los costos legales estén bajando, pero se espera un cambio de fondo
Si se toma como ejemplo la presentación de comentarios sobre la propuesta del Tesoro sobre criptomonedas, de unas 100 mil palabras,
- Una persona promedio, leyendo 225 palabras por minuto, tardaría 8 horas solo en leer la norma
- Redactar una respuesta podría tomar 2 horas más
- Esto considera únicamente el tiempo necesario para entenderla y redactar una respuesta, sin incluir el tiempo de análisis
- Aplicando una tarifa corporativa promedio de 500 dólares por hora, 10 horas equivalen a 5,000 dólares
- Si abogados más caros realizan un trabajo más amplio, el costo puede ser mucho mayor
Sin embargo, al introducir el borrador en un modelo de lenguaje grande (LLM), este generó en minutos un resumen claro y fácil de entender
Al asignarle al LLM distintos roles, como corredor de Bitcoin o comprador de Bitcoin, explicó por qué cada uno debería interesarse por la norma y redactó comentarios que podrían presentarse
- En la práctica, esto casi no requiere tiempo ni costo
¿Qué pasaría si estas herramientas se usaran de forma maliciosa contra una empresa?
- ¿Y si un competidor amenazado por una empresa en un mercado nuevo revisara su información pública con herramientas de IA y presentara cientos de demandas por infracción de copyright, violación de propiedad intelectual o apropiación de secretos comerciales?
- Si administras un pequeño restaurante o cafetería, ¿qué pasaría si cada smartphone que entra al local pudiera capturar la conducta del personal y, con solo unos clics, convertirla en una denuncia por discriminación?
- ¿Y si un cliente inconforme pudiera, con unos cuantos clics en una plataforma, presentar una queja que le dé una compensación mayor y obligue a gastar más en honorarios legales que en un acuerdo?
Las empresas a menudo evitan castigos incluso cuando actúan ilegalmente porque el costo de responder legalmente es alto
Empleados, clientes y competidores suelen mostrarse cautelosos porque las disputas legales consumen tiempo, dinero y atención
Pero si emprender acciones legales se vuelve mucho más fácil, habrá más litigios
Esto nivela el terreno competitivo al eliminar la ventaja asimétrica de las empresas con abundantes recursos y experiencia legal
En algunos casos puede ayudar a hacer justicia, y en otros puede fomentar ataques injustificados
De cualquier forma, abre para las empresas un nuevo mundo de riesgos legales

Un nuevo riesgo cibernético

Aunque el riesgo legal masivo puede parecer poco familiar, el campo de la ciberseguridad ha enfrentado durante décadas riesgos a gran escala y ofrece lecciones útiles para responder a la ola de acciones legales que viene
Imagina que cientos de empresas compartieran datos sobre los tipos de acciones legales que enfrentan y sobre los motores tecnológicos que las generan, o que invirtieran conjuntamente en tecnología para compartir y reducir vulnerabilidades
- Esto es normal en ciberseguridad
- Desde CVE (Common Vulnerabilities and Exposures) hasta NVD (National Vulnerability Database), gobiernos, empresas, academia y bug bounty hunters han reconocido la importancia de compartir información
Sin embargo, es difícil que CEOs o responsables legales crean que compartir las vulnerabilidades y exposiciones legales de su empresa sea una buena idea
- Se opondrían de inmediato por razones como el privilegio abogado-cliente, la confidencialidad o el riesgo de infringir leyes antimonopolio
- Ese cálculo se basa en una estructura de riesgo legal conocida: acciones legales concretas iniciadas por actores específicos
Pero los riesgos legales del futuro tomarán la forma de investigaciones legales parecidas a ataques de phishing en internet
- En lugar de ser personales, se producirán en masa e iniciarán por múltiples actores
- Si se coordinan, podrían operar como un ataque DDoS, inutilizando al objetivo mediante una avalancha de tráfico
- Eso es similar a intentar saturar al Tesoro con una avalancha de comentarios
Los ataques DDoS suelen parecer una molestia menor hasta que de pronto se vuelven graves
- Así como las solicitudes a un servidor forman parte normal de internet, presentar comentarios sobre una norma o quejas de clientes es simplemente parte del derecho administrativo y del ejercicio de derechos del consumidor
- Pero cuando llegan demasiadas solicitudes al mismo tiempo, el sistema colapsa
En ciberseguridad, la idea de que la inestabilidad cibernética perjudica a todos excepto a criminales y actores hostiles es algo básico
- A las empresas también se les puede exigir responsabilidad por no protegerse a sí mismas y a los datos sensibles de sus clientes, pero en la mayoría de los casos se las considera víctimas
- Los ataques Petya (2016) y NotPetya (2017) explotaron la misma vulnerabilidad para cifrar archivos de usuarios, pero tenían objetivos distintos
  - Petya fue ransomware distribuido por criminales, y había que pagar para recuperar los datos
  - Se cree que NotPetya fue propagado por Rusia con fines de destrucción de datos
  - En ambos casos, empresas afectadas como Maersk fueron vistas como víctimas
¿Podemos asegurar que actores estatales como Rusia no lanzarán ataques similares contra el sistema legal a través de empresas o de un sistema judicial ya sobrecargado?
- Corea del Norte, Rusia e Irán han criticado el racismo y el acceso desigual a la justicia en EE. UU.
- Podrían avergonzar a EE. UU. y erosionar la confianza en empresas clave al ofrecer servicios de litigio impulsados por IA a clientes molestos o a competidores
Quienes exigen rescates ven limitada su actividad por el riesgo de castigo, pero perseguir estrategias legales agresivas es legal
- Incluso es fácil convencerse de que el ataque es una forma eficiente de hacer justicia y corregir desequilibrios de poder
A medida que aumenten las amenazas legales, será más difícil identificar quién busca dinero y quién solo pretende imponer costosos y vergonzosos procesos de descubrimiento sin asumir el costo del ataque
- En un entorno donde será difícil distinguir la señal del ruido, se necesitarán nuevas técnicas para filtrar el riesgo legal
- Combatir IA con IA será un resultado natural

Una nueva línea de defensa legal

Hoy, las empresas tratan los riesgos legales relevantes a nivel de consejo directivo, y las acciones y casos legales solo aparecen en el radar de riesgo corporativo cuando cumplen ciertos umbrales de materialidad
- Pero esa no es la forma correcta de filtrar los riesgos legales del futuro
Para prepararse para esta nueva realidad, hay que tomar como referencia la respuesta de la ciberseguridad
- Hay que identificar rápidamente vulnerabilidades, amenazas emergentes y su posible impacto, medidas de mitigación del riesgo y estrategias de comunicación con partes interesadas internas y externas
- El bufete DLA Piper identifica vulnerabilidades junto con empresas mediante ejercicios de "equipo rojo legal"
Primero, establece enfoques y estrategias clave
- Eso permitirá decidir inversiones tecnológicas para responder al aumento del riesgo legal
- Por supuesto, el método tradicional de sumar personal —contratar más abogados internos o subcontratar a firmas legales— seguirá siendo útil por un tiempo
Luego, haz que el equipo de estrategia corporativa y el equipo legal analicen juntos la situación actual
- ¿Cuáles son los mercados clave? ¿Dónde están los competidores dispuestos a todo por cuota de mercado?
- ¿A qué sistemas legales están expuestos y cómo funcionarían ante ataques legales masivos impulsados por IA?
- ¿Hay lugares de los que convendría retirarse? ¿Qué medidas de mitigación pueden reducir la vulnerabilidad desde ahora?
También es importante monitorear las tendencias globales
- No existe un sistema CVE para el riesgo legal, pero gracias a la digitalización del trabajo legal y a los esfuerzos por transparentar los sistemas judiciales, hay abundancia de datos
- Si a eso se suman los datos existentes sobre riesgo legal, será un excelente punto de partida
Una vez identificados los riesgos, forma un equipo de respuesta y diseña sistemas y procesos de respuesta
- Revisa marcos de buenas prácticas de ciberseguridad como NIST CSF 2.0 y discútelos con tu equipo interno de ciberseguridad
- Los responsables legales pueden aprender mucho de cómo un CISO opera un SOC
Busca socios externos abiertos a colaborar
- Con asociaciones de la industria, socios comerciales y algunas agencias gubernamentales, se pueden preparar respuestas integrales frente a ciertos tipos de ataques
- Una ofensiva irresponsable de reclamaciones de propiedad intelectual podría servir como base para impulsar regulación o apoyo legislativo
Por último, una advertencia: no subestimen este riesgo
- Gracias a la tecnología, el Tesoro tuvo que procesar 120 mil comentarios
- "Prepárense antes de que llegue la inundación legal"

4 comentarios

lcanon 2024-10-07

Es una especie de ataque DDoS contra el sistema legal. ¿Qué tiene que ver este tipo de sabotaje con el espíritu del Estado de derecho que busca hacer realidad la justicia sustantiva?

mammal 2024-10-08

Las patentes también se usan así con el pretexto de proteger las invenciones, así que no sé...

nuthatch 2024-10-07

Dicen que una herramienta depende de cómo se use...
El grupo de profesiones que se esperaba que desapareciera primero con el desarrollo de la IA, paradójicamente, terminó subiéndose al lomo del dragón.

savvykang 2024-10-07

Creo que la predicción de que el desarrollo de la IA hará desaparecer los empleos de los abogados no resulta muy convincente, incluso dejando de lado los casos del artículo original. Desde la perspectiva del cliente, si no quiere perder en un juicio, no creo que presente una demanda basándose únicamente en los resultados generados por un LLM, sin una revisión jurídica ni un proceso de toma de decisiones. Y aunque se adopte la IA, como los procedimientos administrativos siguen siendo los mismos, tampoco es que vaya a reducirse la cantidad de documentos que hay que preparar.