La expansión descontrolada de la IA dispara los riesgos de seguridad

La adopción acelerada de herramientas de inteligencia artificial en el entorno laboral ha desbordado la capacidad de control de muchos departamentos de TI. Lo que comenzó como un fenómeno de productividad individual se ha convertido en un riesgo estructural: la llamada shadow AI, el uso de soluciones de IA sin supervisión ni aprobación corporativa. Según ESET, este fenómeno está empezando a pasar factura a la seguridad empresarial, con brechas de datos, errores en procesos críticos y decisiones basadas en resultados defectuosos generados por modelos no verificados. Según IBM, el 20% de las organizaciones sufrió el año pasado una brecha relacionada con shadow AI, y su impacto puede elevar el coste medio de un incidente en más de 500.000 euros, además de provocar daños reputacionales y sanciones regulatorias.

El problema se agrava por la facilidad de acceso a plataformas como ChatGPT, Gemini o Claude desde dispositivos personales o entornos de teletrabajo. Microsoft estima que el 78% de los usuarios de IA utiliza herramientas propias en el trabajo, mientras que el 60% de los responsables de TI teme que la dirección carezca de un plan claro para su implantación oficial.

 

Un riesgo que va más allá de los chatbots

La shadow AI no se limita a aplicaciones independientes. También puede infiltrarse a través de extensiones de navegador, funciones activadas sin control en software corporativo o incluso mediante la nueva generación de IA agéntica, basada en agentes autónomos capaces de ejecutar tareas sin supervisión constante. Sin mecanismos de control, estos sistemas pueden acceder a información sensible, ejecutar acciones no autorizadas o introducir errores difíciles de detectar.

El uso de modelos públicos añade un riesgo adicional: la exposición de datos confidenciales. Propiedad intelectual, código fuente, actas de reuniones o datos personales pueden acabar almacenados en servidores de terceros, a menudo fuera de la jurisdicción de la empresa, lo que plantea problemas de cumplimiento normativo (RGPD, CCPA) y aumenta la probabilidad de accesos indebidos. Casos como la brecha sufrida por el proveedor chino DeepSeek ilustran la magnitud del problema.

Además de las fugas de información, la utilización de IA para programación o automatización sin revisión adecuada puede introducir vulnerabilidades explotables en productos finales. Los modelos entrenados con datos sesgados también pueden generar decisiones empresariales incorrectas, afectando a áreas como recursos humanos, finanzas o atención al cliente.

La IA agéntica añade un nivel adicional de riesgo, con la generación de contenido falso, la ejecución de acciones no autorizadas o la manipulación de cuentas utilizadas por los agentes, que se convierten en objetivos atractivos para los atacantes.

ESET recuerda que, aunque la IA lleva años presente en entornos corporativos, el punto de inflexión llegó en 2023 con la explosión de la IA generativa. “Mientras los empleados adoptaban estas tecnologías para mejorar su productividad, muchas organizaciones no contaban con estrategias claras para su uso”, señala Josep Albors, director de investigación y concienciación de ESET España. En 2026, advierte, será imprescindible establecer marcos de gobernanza sólidos para aprovechar el potencial de la IA sin comprometer la seguridad.

ESET propone una serie de medidas para reducir los riesgos asociados al uso no controlado de la IA:

-     Mapear el uso real de IA dentro de la organización, identificando herramientas, casos de uso y áreas afectadas.

-     Definir políticas de uso aceptable realistas y alineadas con el nivel de riesgo, respaldadas por evaluaciones de seguridad y cumplimiento normativo.

-     Ofrecer alternativas oficiales cuando se restrinjan herramientas no autorizadas, junto con procesos ágiles para solicitar nuevas soluciones.

-     Formar y concienciar a los empleados sobre los riesgos de la IA no supervisada, especialmente en materia de protección de datos.

-     Reforzar la monitorización y las capacidades de seguridad, mejorando la visibilidad sobre el uso de IA y reduciendo el riesgo de fugas o accesos no autorizados.