La IA y sus riesgos en las organizaciones

A medida que se disipa el revuelo en torno a DeepSeek, las organizaciones se plantean diversas preguntas sobre el uso de la IA generativa en el lugar de trabajo. En concreto, si DeepSeek supone una amenaza específica para la seguridad o si simplemente pone de manifiesto los riesgos relacionados con la expansión del uso de chatbots de inteligencia artificial y grandes modelos de lenguaje (LLM). La respuesta, como es habitual, están en el punto medio. Este contexto vuelve a poner sobre la mesa el tema de la IA y sus riesgos.

Aunque el chatbot chino puede tener sus propios problemas de privacidad, seguridad y censura, no es el único. Todos los modelos de IA generativa y LLM conllevan riesgos, sobre todo cuando no se tiene plena consciencia de con qué frecuencia, dónde y por qué se utilizan. Aquí también entra en juego la gestión responsable de la IA y sus riesgos.

Con estas herramientas que requieren poco más que un navegador web, cada vez es más difícil comprender los tipos de información que se envían y reciben entre personas y aplicaciones. Si el rápido ascenso de DeepSeek puede enseñarnos algo, es la velocidad con la que las aplicaciones potentes pueden llegar al mercado y lograr una adopción generalizada. No obstante, en caso de que los controles no sean lo suficientemente rápidos para seguir el ritmo, los riesgos que operan en la sombra serán cada vez mayores, reforzando la necesidad de analizar la IA y sus riesgos.

¿Qué ocurre en las sombras? La IA en la sombra se refiere al uso de cualquier herramienta de IA fuera de controles y permisos de una organización, a menudo sin su conocimiento. Mientras que algunos empleados enmascaran intencionadamente el uso de estas aplicaciones, muchos otros las utilizan abiertamente y de buena fe, sin ser conscientes de los riesgos o de si están utilizando IA generativa. Este desconocimiento expone a las compañías a la problemática de la IA y sus riesgos.

Si se pregunta al empleado medio por las aplicaciones de IA que utiliza a diario, es posible que responda ChatGPT. Aun así, hay muchas más de uso común: desde Copilot de Microsoft y Gemini de Google hasta Claude, Grammarly, Otter y ciertas herramientas de Canva y GitHub. Detrás de todas ellas, subyace el debate permanente sobre la IA y sus riesgos.

Estas aplicaciones ofrecen muchas ventajas y ayudan a los empleados a trabajar con mayor rapidez y eficacia, aunque es vital saber lo que los empleados comparten con ellas y que quienes las utilicen conozcan cómo funcionan, cómo manejan los datos y los muchos riesgos potenciales que plantean a la organización. Ignorar la IA y sus riesgos puede tener consecuencias graves.

Lo que no sabes es si pueden hacerte daño. Como cabía esperar, tan pronto como DeepSeek atrajo la atención del mundo, se convirtió en objetivo de los ciberdelincuentes; y es que cualquier aplicación que almacene y analice datos está en el punto de mira de los atacantes. A menos que el usuario controle el uso de este tipo de herramientas, es poco probable que descubra cuántos de sus datos son suyos antes de que sea demasiado tarde. Este es otro reflejo claro de la IA y sus riesgos.

Estos son algunos de los numerosos riesgos a los que expone la IA en la sombra: IA y sus riesgos se manifiestan de diferentes formas.
Vulnerabilidades de seguridad: cuando la información se comparte con un tercero no autorizado, no hay forma de saber cómo se almacena, procesa o analiza. Algo tan inocuo como pedir a un LLM que elabore un correo electrónico para un cliente o resuma la transcripción de una llamada puede dejar al descubierto datos confidenciales sobre una empresa y sus clientes, un claro ejemplo de la IA y sus riesgos.

Integridad de los datos: la IA comete errores; y cuando un profesional usa ChatGPT y otras herramientas al pie de la letra, corre el riesgo de dar autenticidad a información incorrecta que puede afectar a su servicio y dañar su reputación. Todo ello forma parte del debate sobre la IA y sus riesgos.

Cumplimiento: además de poner los datos en riesgo de exposición, compartir información con aplicaciones de IA en la sombra podría poner en peligro los acuerdos de confidencialidad, el GDPR y otras numerosas normativas de privacidad de datos. Este aspecto jurídico se alinea estrechamente con la IA y sus riesgos.

Amenazas internas: los usuarios que copian y pegan código, texto o imágenes de herramientas no autorizadas pueden introducir vulnerabilidades, malware y otros elementos en sus sistemas y redes, reforzando la percepción sobre la IA y sus riesgos.

la IA y sus riesgos deben abordarse como un aspecto estratégico dentro de cualquier organización

Confianza y fiabilidad: el uso de servicios de IA en la sombra puede ser contrario a la política pública sobre este tipo de herramientas, causando problemas de confianza y autenticidad en caso de que clientes, actuales o potenciales, y partners se enteren. De nuevo, la IA y sus riesgos ponen a prueba la reputación corporativa.

Seguridad en las sombras. No existe una solución milagrosa para proteger el uso de la IA en la sombra. Toda ciberdefensa eficaz debe tener varios niveles y combinar personas, procesos y tecnología. Esto significa aplicar controles de acceso y datos centrados en los usuarios, junto con políticas internas sólidas y consejos de gobernanza de la IA para supervisión y orientación. Sólo de esta manera se podrá gestionar la IA y sus riesgos de forma sostenible.

Con herramientas DLP especializadas, se puede rastrear el uso de más de 600 sitios de IA generativa por usuario, grupo o departamento; identificar a cualquiera que pueda acceder a datos en la nube, correo electrónico y calendarios; y supervisar el uso de aplicaciones en contexto con el riesgo del usuario. Estas capacidades de detección mejoran la comprensión de la IA y sus riesgos.

Una solución integral permite aplicar políticas aceptables para el uso de IA generativa, bloqueando la carga o el pegado de datos sensibles, redactando términos sensibles de las indicaciones de IA y capturando metadatos y capturas de pantalla antes y después del uso de aplicaciones de IA generativa. Con ello se mitigan en parte los efectos de la IA y sus riesgos.

Estos controles deben ir acompañados de una formación sólida y continua para concienciar a los empleados. Todos los miembros de una organización deben conocer los riesgos potenciales asociados a la IA en la sombra, así como los procesos aprobados para solicitar y utilizar nuevas tecnologías. La educación interna es un elemento clave en la gestión de la IA y sus riesgos.

Contar con soluciones para mantenerse al día con herramientas de IA generativa, con un enfoque arquitectónico, permitirá innovar rápidamente y desplegar nuevas capacidades con un impacto mínimo en la productividad de los usuarios. De esta manera, se podrá dar al personal lo que necesita para hacer su trabajo, sin perder datos confidenciales en la sombra. En definitiva, la IA y sus riesgos deben abordarse como un aspecto estratégico dentro de cualquier organización.

Autor: Manuela Muñoz, Senior Named Account Manager en Proofpoint