Desde la fuga de datos involuntaria hasta el código con errores, aquí le explicamos por qué debería preocuparse por el uso no autorizado de la IA en su empresa
11 de noviembre de 2025
•
,
5 min. leer
La TI en la sombra ha sido durante mucho tiempo una molestia para los equipos de seguridad corporativos. Después de todo, no puedes gestionar ni proteger lo que no puedes ver. Pero las cosas podrían estar a punto de empeorar mucho. La escala, el alcance y el poder de la inteligencia artificial (IA) deberían hacer que la IA en la sombra sea una preocupación para cualquier líder de seguridad o TI.
El riesgo cibernético prospera en los espacios oscuros entre las políticas de uso aceptable. Si aún no lo ha hecho, puede que sea el momento de arrojar luz sobre lo que podría ser su mayor punto ciego de seguridad.
¿Qué es la IA en la sombra y por qué ahora?
Las herramientas de inteligencia artificial han sido parte de la TI corporativa desde hace bastante tiempo. Han estado ayudando a los equipos de seguridad a detectar actividades inusuales y filtrar amenazas como el spam desde principios de la década de 2000. Pero esta vez es diferente. Desde el gran éxito de la herramienta ChatGPT de OpenAI en 2023, cuando el chatbot obtuvo 100 millones de usuarios en sus primeros dos meses, los empleados han quedado cautivados por el potencial de la IA generativa para hacerles la vida más fácil. Desafortunadamente, las empresas han tardado más en incorporarse.
Esto ha creado un vacío que los usuarios frustrados han estado ansiosos por llenar. Aunque es imposible medir con precisión una tendencia que, por su propia naturaleza, existe en las sombras, Microsoft calcula El 78% de los usuarios de IA ahora traen sus propias herramientas al trabajo. No es coincidencia que al 60% de los líderes de TI les preocupe que los altos ejecutivos carezcan de un plan para implementar la tecnología oficialmente.
Los chatbots populares como ChatGPT, Gemini o Claude se pueden usar y/o descargar fácilmente en un teléfono BYOD o en una computadora portátil para trabajar en casa. Ofrecen a algunos empleados la tentadora perspectiva de reducir la carga de trabajo, facilitar los plazos y liberarlos para trabajar en tareas de mayor valor.
Más allá de los modelos públicos de IA
Las aplicaciones independientes como ChatGPT son una gran parte del desafío de la IA en la sombra. Pero no representan la magnitud total del problema. La tecnología también puede infiltrarse en la empresa a través de extensiones de navegador. O incluso funciones de productos de software empresarial legítimos que los usuarios activan sin el conocimiento del departamento de TI.
Luego está la IA agente: la próxima ola de innovación en IA centrada en agentes autónomos, diseñados para trabajar de forma independiente para completar tareas específicas que les asignan los humanos. Sin las medidas de seguridad adecuadas, podrían acceder a almacenes de datos confidenciales y ejecutar acciones no autorizadas o maliciosas. Para cuando alguien se dé cuenta, puede que ya sea demasiado tarde.
¿Cuáles son los riesgos de la IA en la sombra?
Todo lo cual plantea enormes riesgos potenciales de seguridad y cumplimiento para las organizaciones. Consideremos primero el uso no autorizado de modelos públicos de IA. Con cada aviso, el riesgo es que los empleados compartan datos confidenciales y/o regulados. Podrían ser notas de reuniones, IP, código o información de identificación personal (PII) del cliente/empleado. Todo lo que entra se utiliza para entrenar el modelo y, por lo tanto, podría regurgitarse a otros usuarios en el futuro. También se almacena en servidores de terceros, potencialmente en jurisdicciones que no tienen los mismos estándares de seguridad y privacidad que la suya.
Esto no les sentará bien a los reguladores de protección de datos (por ejemplo, GDPR, CCPA, etc.). Y expone aún más a la organización al permitir potencialmente que los empleados del desarrollador del chatbot vean su información confidencial. Los datos también podrían ser filtrados o violados por ese proveedor, como sucedió con Proveedor chino DeepSeek.
Los chatbots pueden contener vulnerabilidades de software y/o puertas traseras que exponen a la organización sin saberlo a amenazas específicas. Y cualquier empleado que desee descargar un chatbot con fines laborales puede instalar accidentalmente una versión maliciosa, diseñada para robar secretos de su máquina. Existen muchas herramientas GenAI falsas diseñadas explícitamente para este propósito.
Los riesgos se extienden más allá de la exposición de datos. El uso no autorizado de herramientas para codificar, por ejemplo, podría introducir errores explotables en productos orientados al cliente, si la producción no se examina adecuadamente. Incluso el uso de herramientas de análisis basadas en IA puede ser riesgoso si los modelos se han entrenado con datos sesgados o de baja calidad, lo que lleva a una toma de decisiones errónea.
Los agentes de IA también pueden introducir contenido falso y códigos defectuosos, o realizar acciones no autorizadas sin que sus amos humanos lo sepan. Las cuentas que dichos agentes necesitan para operar también podrían convertirse en un objetivo popular de secuestro si sus identidades digitales no se administran de forma segura.
Algunos de estos riesgos son todavía teóricos, otros no. Pero IBM afirma que, el año pasado, el 20% de las organizaciones ya sufrieron una violación debido a incidentes de seguridad relacionados con la IA en la sombra. Para aquellos con altos niveles de IA en la sombra, podría agregar hasta 670.000 dólares además de los costos promedio de violación, calcula. Las infracciones relacionadas con la IA en la sombra pueden causar importantes daños financieros y de reputación, incluidas multas por cumplimiento. Pero las decisiones empresariales tomadas sobre productos defectuosos o corruptos pueden ser igual de dañinas, si no más, especialmente porque es probable que pasen desapercibidas.
Iluminando la sombra de la IA
Hagas lo que hagas para abordar estos riesgos, agregar cada nueva herramienta de IA oculta que encuentres a una “lista de denegaciones” no será suficiente. Es necesario reconocer que se están utilizando estas tecnologías, comprender en qué medida y con qué fines, y luego crear una política de uso aceptable y realista. Esto debería ir de la mano con pruebas internas y la debida diligencia de los proveedores de IA, para comprender dónde existen riesgos de seguridad y cumplimiento en ciertas herramientas.
No hay dos organizaciones iguales. Así que construya sus políticas en torno a su apetito por el riesgo corporativo. Cuando ciertas herramientas estén prohibidas, trate de tener alternativas a las que se pueda persuadir a los usuarios para que migren. Y cree un proceso fluido para que los empleados soliciten acceso a nuevos que aún no han descubierto.
Combine esto con la educación del usuario final. Informe al personal los riesgos que pueden correr al utilizar la IA en la sombra. Las violaciones graves de datos a veces terminan en inercia corporativa, estancamiento de la transformación digital e incluso pérdida de empleos. Y considere herramientas de seguridad y monitoreo de red para mitigar los riesgos de fuga de datos y mejorar la visibilidad del uso de la IA.
La ciberseguridad siempre ha sido un equilibrio entre mitigar el riesgo y respaldar la productividad. Y superar el desafío de la IA en la sombra no es diferente. Una gran parte de su trabajo es mantener la organización segura y en cumplimiento. Pero también es para apoyar el crecimiento empresarial. Y para muchas organizaciones, ese crecimiento en los próximos años estará impulsado por la IA.
Acerca del autor
