La IA generativa multiplica las vías por las que los datos confidenciales pueden verse expuestos

Netskope ha publicado la edición 2026 de su informe anual sobre servicios financieros, elaborado por Netskope Threat Labs, en el que advierte de que los datos financieros regulados se han convertido en la principal causa de infracciones de políticas de datos relacionadas con el uso de inteligencia artificial generativa y servicios en la nube. Según el análisis, el 59% de todas las infracciones detectadas involucran información sujeta a regulación, lo que refleja la magnitud del desafío al que se enfrentan las entidades financieras en materia de cumplimiento y protección de datos sensibles.

El informe señala que la propiedad intelectual representa el 20% de las infracciones, seguida del código fuente (11%) y de contraseñas y claves API (9%), lo que evidencia que la exposición no se limita a datos financieros, sino que afecta a activos críticos para la continuidad del negocio. Este riesgo se amplifica en un contexto en el que el 70% de los usuarios del sector utiliza activamente herramientas de IA generativa, y el 97% interactúa indirectamente con aplicaciones que incorporan funciones impulsadas por esta tecnología. Además, el 94% de los usuarios emplea aplicaciones de genAI que utilizan los datos introducidos para entrenar sus modelos, lo que incrementa el riesgo de fuga involuntaria de información.

El estudio también muestra avances en la reducción de la llamada “IA en la sombra”. En el último año, el uso de aplicaciones personales de IA generativa en el entorno laboral ha descendido del 76% al 36%, mientras que la adopción de soluciones gestionadas por la organización ha aumentado del 33% al 79%. Sin embargo, el porcentaje de usuarios que alternan entre cuentas personales y corporativas ha crecido del 9% al 15%, lo que incrementa el riesgo de transferencia de datos sensibles entre entornos no gestionados y entornos seguros.

 

El ecosistema de IA se diversifica y complica el control

El ecosistema de IA generativa continúa diversificándose. ChatGPT sigue siendo la herramienta más utilizada, con una adopción del 76% entre las organizaciones financieras, seguida de Google Gemini (68%). Nuevas aplicaciones están ganando terreno rápidamente: Google NotebookLM alcanza un 39% de adopción, mientras que AssemblyAI ha pasado del 1% en junio de 2025 al 37%, reflejando la demanda creciente de capacidades especializadas de IA. Paralelamente, herramientas como ZeroGPT (46%), DeepSeek (44%) y PolitePost (43%) figuran entre las aplicaciones más bloqueadas por motivos de seguridad y cumplimiento.

Más allá de la IA, el uso de aplicaciones personales en la nube sigue siendo un vector crítico de riesgo. El 65% de las infracciones de políticas de datos en estas aplicaciones involucra información regulada, lo que demuestra que los datos financieros sensibles son especialmente vulnerables cuando los empleados trabajan fuera de entornos supervisados. LinkedIn (92%), Google Drive (84%) y ChatGPT (77%) son las aplicaciones personales más utilizadas en el trabajo dentro del sector financiero.

El informe también destaca que los ciberdelincuentes recurren cada vez más a plataformas en la nube de confianza para distribuir malware. GitHub es actualmente la plataforma más utilizada, afectando al 11% de las organizaciones, seguida de Microsoft OneDrive (8%). Al camuflar la actividad maliciosa entre tráfico legítimo, los atacantes dificultan la detección de amenazas.

Ray Canzanese, director de Netskope Threat Labs, advierte que, “a medida que las entidades financieras aceleran el uso de la IA generativa, también se multiplican las vías por las que los datos confidenciales pueden verse expuestos. Aunque el cambio hacia herramientas gestionadas por la organización es un paso positivo, nuestros análisis demuestran que los riesgos siguen presentes, especialmente cuando se solapan los usos personales y corporativos”. Para mitigarlos, recomienda un enfoque por capas que combine inspección de tráfico web y en la nube, bloqueo de aplicaciones no esenciales, prevención de pérdida de datos y tecnologías como el aislamiento remoto del navegador.