El uso no autorizado de herramientas de inteligencia artificial por parte de los trabajadores se ha convertido en una brecha de seguridad crítica, exponiendo datos personales y propiedad intelectual.
El panorama de la ciberseguridad en las empresas ha tomado un giro inesperado. La adopción de la Inteligencia Artificial (IA) ha escalado rápidamente, pero no siempre bajo la supervisión de los departamentos de TI. Una alarmante cifra revela la magnitud del problema: el 78% de los empleados ya está utilizando sus propias herramientas de IA (conocido como BYOAI o Bring Your Own AI) en el entorno laboral sin la debida autorización. Esta tendencia, bautizada como la «IA en la sombra», ha emergido como una de las principales brechas de seguridad y la más peligrosa para las organizaciones, creando nuevas vulnerabilidades que son explotadas por los atacantes.
El dato, identificado por Microsoft, supera con creces las proyecciones que la consultora Forrester había realizado para el 2024, que estimaban que el 60% de la fuerza laboral adoptaría estas herramientas sin la aprobación del área de TI. Esta práctica está incrementando significativamente el riesgo de ciberataques en el sector corporativo.
El alto costo de la autonomía digital
Las consecuencias de esta autonomía digital sin control son tangibles y costosas. Según datos proporcionados por IBM, los ataques relacionados con el uso de la IA en la sombra ya han afectado al 20% de las organizaciones, generando un costo promedio de US$ 670.000 por cada infracción de seguridad.
Lo más preocupante es el tipo de información que queda expuesta. En el 65% de los incidentes, se filtró información de identificación personal (PII), mientras que en el 40% de los casos, la filtración comprometió la propiedad intelectual de las compañías. Las herramientas que se utilizan varían desde modelos de lenguaje amplios como ChatGPT hasta aplicaciones más específicas.
Hay ejemplos notorios que han puesto en alerta a la comunidad global. Ingenieros de la compañía Samsung filtraron código fuente patentado de la empresa al cargarlo sin autorización en ChatGPT, un incidente que obligó a la compañía a prohibir el uso de GenAI en sus redes internas y dispositivos. En otro caso reciente, un empleado de Disney instaló una herramienta de arte generativo no autorizada que, sin que él lo supiera, contenía malware. Esto resultó en una filtración masiva que expuso 44’000.000 de mensajes internos de Slack y permitió a los atacantes acceder a credenciales de seguridad almacenadas en una cuenta no protegida de 1Password. Ambos sucesos han generado serias preocupaciones sobre los riesgos asociados a los grandes modelos de lenguaje (LLMs) y la manera en que se almacena la información enviada por los usuarios.
Por qué la IA en la sombra prospera en las pymes
Esta tendencia de adoptar tecnología sin control es particularmente acentuada en las pequeñas y medianas empresas (pymes), donde la cifra de uso de herramientas de IA sin autorización alcanza un 80%. La razón principal de esta alta adopción es operativa: la IA permite a los equipos más pequeños automatizar procesos y escalar tareas de manera eficiente, lo que incentiva su uso sin supervisión estricta.
No obstante, los especialistas advierten que la combinación de herramientas de TI y de IA no autorizadas presenta riesgos graves. A medida que estas aplicaciones se propagan más rápido de lo que las organizaciones pueden implementar medidas de protección, el potencial de disrupción y daño solo aumenta.
Guido Luciani, Regional Manager de Sendmarc para Latam, subraya la gravedad de la situación: “La adopción acelerada de IA sin control está ampliando la superficie de ataque en todas las industrias. Nuestro compromiso es ayudar a las organizaciones a recuperar visibilidad y control, fortaleciendo la identidad del correo electrónico y reduciendo los puntos ciegos que los atacantes explotan”.
Recomendaciones clave para mitigar el riesgo
Para las organizaciones que buscan mitigar los riesgos de la IA en la sombra, los expertos de Sendmarc señalan la necesidad de un enfoque integral. En la era de la IA generativa (GenAI), la protección de la identidad del correo electrónico es más crucial que nunca.
Entre las recomendaciones principales se encuentra combinar la concientización del usuario con medidas de autenticación sólidas, como DMARC (Domain-based Message Authentication, Reporting, and Conformance), una medida esencial que previene la suplantación de identidad, el spoofing, el phishing y el uso indebido del dominio por correo electrónico.
También es fundamental establecer políticas claras sobre el uso de software y herramientas no autorizadas, y lo más importante, ofrecer alternativas seguras y aprobadas a los empleados. Esto evita que los trabajadores recurran a soluciones externas que pongan en riesgo la seguridad corporativa. La implementación de DMARC es una de las medidas más efectivas, permitiendo a las organizaciones proteger su dominio de manera rápida y segura.
*En la creación de este texto se usaron herramientas de inteligencia artificial.
