La IA se ha vuelto inescapable. Lo que antes era un campo de investigación nicho ahora está totalmente integrado en la vida personal y profesional de las personas. Para los líderes empresariales, la pregunta ya no es "¿usan mis empleados IA?" (lo hacen, les guste o no), sino "¿usan mis empleados la IA de forma segura?".
Oliver Simonnet
Investigador Principal de Ciberseguridad en CultureAI.
Nadie puede negar el impacto que ha tenido la IA en el lugar de trabajo en tan poco tiempo. De hecho, un estudio reciente reveló que el 83% de los empleados en el Reino Unido ya usa regularmente GenAI en el trabajo para realizar tareas básicas y repetitivas, como búsquedas y resúmenes.
Evidentemente, tanto los empleados como los empleadores ven el potencial de la IA para ganar productividad. Un punto atractivo para equipos con poco tiempo y recursos.
Gran parte de este cambio se está impulsando desde abajo hacia arriba. Las investigaciones sugieren que el 78% de los usuarios de IA ya llevan sus propias herramientas de IA al trabajo. Sin embargo, estas herramientas a menudo se usan en el entorno laboral sin el conocimiento ni la supervisión de la empresa.
Estas herramientas de IA no documentadas –o IA en la sombra– que operan en redes corporativas o utilizan datos de la empresa, pueden representar riesgos de seguridad importantes.
Lo que está claro es que los empleados seguirán usando la IA, sin esperar a que sus empleadores establezcan permisos, directrices claras y medidas de seguridad. Afortunadamente, hay formas en las que los empleadores pueden implementar rápidamente controles efectivos de gobernanza y uso de la IA, sin frenar la innovación.
Visibilidad de la IA (o la falta de ella)
Es probable que tus empleados estén usando la IA de una forma u otra. El riesgo está en no saber dónde, cómo ni con qué herramientas. Los estudios sugieren que casi la mitad (el 47%) de los usuarios de GenAI aún acceden a las herramientas mediante cuentas personales no gestionadas, ya sea de forma exclusiva o junto con herramientas aprobadas por la empresa.
A diferencia del software tradicional, la IA generativa depende de los datos que se introducen. Con eso viene el riesgo de que los prompts incluyan información confidencial, datos personales, propiedad intelectual o incluso código fuente. Sin visibilidad, los empleadores enfrentan un punto ciego cada vez mayor.
Entendiendo los riesgos asociados al uso de la IA en el trabajo
Con la adopción de cualquier nueva tecnología llegan riesgos. Con la adopción de la IA en el trabajo, estos incluyen:
IA en la sombra:
Los empleados experimentan cada vez más con nuevas herramientas de IA en el trabajo, a menudo porque son gratuitas, más rápidas o más convenientes que las alternativas aprobadas. Aunque esto puede mejorar la eficiencia, el uso de aplicaciones de IA no autorizadas (IA en la sombra) amplía significativamente la superficie de ataque y deja a los equipos de seguridad sin suficiente visibilidad ni supervisión.
Lo preocupante son los datos que se introducen en estas herramientas. Investigaciones recientes sugieren que el 93% de los empleados introduce datos de la empresa en herramientas de IA no autorizadas, y casi un tercio de ellos admite compartir información confidencial de clientes.
Esto significa que propiedad intelectual, información regulada y datos personales están potencialmente siendo procesados por terceros desconocidos. Lo que hacen con esa información sigue siendo un misterio.
Lo alarmante es que muchas herramientas de monitoreo tradicionales tienen dificultades para detectar envíos de prompts que contienen datos sensibles, especialmente cuando se accede a las herramientas de IA mediante cuentas no gestionadas o dispositivos personales.
Filtración de datos:
Los empleados pegan rutinariamente información sensible en herramientas de IA, a menudo sin comprender plenamente los riesgos. Ya en 2023, ingenieros de Samsung expusieron accidentalmente código propietario y notas de reuniones confidenciales al enviarlas a ChatGPT, perdiendo el control de esos datos.
Desde entonces, han surgido incidentes similares en diversas industrias, revelando cuánta información sensible fluye silenciosamente hacia sistemas de IA de terceros. Una vez enviados, las organizaciones suelen tener una capacidad limitada para eliminar o controlar completamente cómo se retienen o usan esos datos.
Vulneraciones de cuentas y prompts:
Conversaciones de IA filtradas o prompts comprometidos pueden dar a los actores maliciosos acceso a una amplia gama de información sensible y, en algunos casos, permitir un mayor compromiso de cuentas si los controles generales de ciberseguridad son débiles.
Dado el volumen y la sensibilidad de los datos que suelen introducirse en las herramientas de IA, una sola cuenta de IA comprometida puede llevar a una exposición inmediata de información privada de la empresa, incluyendo credenciales, propiedad intelectual y sistemas internos.
Brechas de cumplimiento y gobernanza:
A medida que se acelera la adopción de la IA, los reguladores escudriñan cada vez más cómo las organizaciones la utilizan, especialmente cuando se cruza con la protección de datos. Enviar información de identificación personal (PII) a servicios de IA externos o no controlados puede violar regulaciones como el GDPR, HIPAA y requisitos de privacidad específicos del sector.
En industrias muy reguladas como las finanzas, la defensa o la salud, incluso un solo uso no sancionado de una herramienta de IA externa puede crear una exposición legal y de cumplimiento significativa.
El futuro de la IA en el lugar de trabajo
Aunque la explosión de la IA en el trabajo pueda parecer rápida, refleja la misma adopción "de abajo hacia arriba" de las tecnologías que la precedieron.
La diferencia entre la IA y la adopción de otras tecnologías "nuevas" es que la IA consume datos corporativos a gran escala en cada interacción, lo que magnifica enormemente su riesgo de filtraciones, brechas y problemas de cumplimiento. La solución no es bloquear la IA por completo; los empleados buscarán alternativas, como usar sus teléfonos personales para introducir datos de la empresa, especialmente si ya han encontrado estas herramientas valiosas para su eficiencia.
Los equipos de seguridad necesitan construir estrategias de TI y seguridad que establezcan una línea base de controles de uso de la IA, descubrimiento de IA en la sombra y análisis integrales de uso. Estos pilares son habilitadores esenciales para una innovación responsable.
Puede que las regulaciones tarden en ponerse al día, pero es fundamental que las organizaciones no esperen. En definitiva, sus empleados usan IA – les guste o no –. Actuar ahora puede ayudarle a entender y controlar el "cómo" y el "dónde", haciendo el uso de la IA más seguro sin sofocar la innovación.