La IA en la sombra y sus riesgos en las organizaciones

A medida que se disipa el revuelo en torno a DeepSeek, las organizaciones se plantean diversas preguntas sobre el uso de la IA generativa en el lugar de trabajo. En concreto, si DeepSeek supone una amenaza específica para la seguridad o si simplemente pone de manifiesto los riesgos relacionados con la expansión del uso de chatbots de inteligencia artificial y grandes modelos de lenguaje (LLM). La respuesta, como es habitual, están en el punto medio.

Aunque el chatbot chino puede tener sus propios problemas de privacidad, seguridad y censura, no es el único. Todos los modelos de IA generativa y LLM conllevan riesgos, sobre todo cuando no se tiene plena consciencia de con qué frecuencia, dónde y por qué se utilizan.

Con estas herramientas que requieren poco más que un navegador web, cada vez es más difícil comprender los tipos de información que se envían y reciben entre personas y aplicaciones. Si el rápido ascenso de DeepSeek puede enseñarnos algo, es la velocidad con la que las aplicaciones potentes pueden llegar al mercado y lograr una adopción generalizada. No obstante, en caso de que los controles no sean lo suficientemente rápidos para seguir el ritmo, los riesgos que operan en la sombra serán cada vez mayores.

¿Qué ocurre en las sombras?

La IA en la sombra se refiere al uso de cualquier herramienta de IA fuera de controles y permisos de una organización, a menudo sin su conocimiento. Mientras que algunos empleados enmascaran intencionadamente el uso de estas aplicaciones, muchos otros las utilizan abiertamente y de buena fe, sin ser conscientes de los riesgos o de si están utilizando IA generativa.

Si se pregunta al empleado medio por las aplicaciones de IA que utiliza a diario, es posible que responda ChatGPT. Aun así, hay muchas más de uso común: desde Copilot de Microsoft y Gemini de Google hasta Claude, Grammarly, Otter y ciertas herramientas de Canva y GitHub.

Estas aplicaciones ofrecen muchas ventajas y ayudan a los empleados a trabajar con mayor rapidez y eficacia, aunque es vital saber lo que los empleados comparten con ellas y que quienes las utilicen conozcan cómo funcionan, cómo manejan los datos y los muchos riesgos potenciales que plantean a la organización.

Lo que no sabes es si pueden hacerte daño

Como cabía esperar, tan pronto como DeepSeek atrajo la atención del mundo, se convirtió en objetivo de los ciberdelincuentes; y es que cualquier aplicación que almacene y analice datos está en el punto de mira de los atacantes. A menos que el usuario controle el uso de este tipo de herramientas, es poco probable que descubra cuántos de sus datos son suyos antes de que sea demasiado tarde.

Estos son algunos de los numerosos riesgos a los que expone la IA en la sombra:

• Vulnerabilidades de seguridad: cuando la información se comparte con un tercero no autorizado, no hay forma de saber cómo se almacena, procesa o analiza. Algo tan inocuo como pedir a un LLM que elabore un correo electrónico para un cliente o resuma la transcripción de una llamada puede dejar al descubierto datos confidenciales sobre una empresa y sus clientes.
• Integridad de los datos: la IA comete errores; y cuando un profesional usa ChatGPT y otras herramientas al pie de la letra, corre el riesgo de dar autenticidad a información incorrecta que puede afectar a su servicio y dañar su reputación.
• Cumplimiento: además de poner los datos en riesgo de exposición, compartir información con aplicaciones de IA en la sombra podría poner en peligro los acuerdos de confidencialidad, el GDPR y otras numerosas normativas de privacidad de datos.
• Amenazas internas: los usuarios que copian y pegan código, texto o imágenes de herramientas no autorizadas pueden introducir vulnerabilidades, malware y otros elementos en sus sistemas y redes.
• Confianza y fiabilidad: el uso de servicios de IA en la sombra puede ser contrario a la política pública sobre este tipo de herramientas, causando problemas de confianza y autenticidad en caso de que clientes, actuales o potenciales, y partners se enteren.

Seguridad en las sombras

No existe una solución milagrosa para proteger el uso de la IA en la sombra. Toda ciberdefensa eficaz debe tener varios niveles y combinar personas, procesos y tecnología. Esto significa aplicar controles de acceso y datos centrados en los usuarios, junto con políticas internas sólidas y consejos de gobernanza de la IA para supervisión y orientación.

Con herramientas DLP especializadas, se puede rastrear el uso de más de 600 sitios de IA generativa por usuario, grupo o departamento; identificar a cualquiera que pueda acceder a datos en la nube, correo electrónico y calendarios; y supervisar el uso de aplicaciones en contexto con el riesgo del usuario.

Una solución integral permite aplicar políticas aceptables para el uso de IA generativa, bloqueando la carga o el pegado de datos sensibles, redactando términos sensibles de las indicaciones de IA y capturando metadatos y capturas de pantalla antes y después del uso de aplicaciones de IA generativa.

Estos controles deben ir acompañados de una formación sólida y continua para concienciar a los empleados. Todos los miembros de una organización deben conocer los riesgos potenciales asociados a la IA en la sombra, así como los procesos aprobados para solicitar y utilizar nuevas tecnologías.

Contar con soluciones para mantenerse al día con herramientas de IA generativa, con un enfoque arquitectónico, permitirá innovar rápidamente y desplegar nuevas capacidades con un impacto mínimo en la productividad de los usuarios.

De esta manera, se podrá dar al personal lo que necesita para hacer su trabajo, sin perder datos confidenciales en la sombra.

Autor: Manuela Muñoz, Senior Named Account Manager en Proofpoint