En un entorno global donde la inteligencia artificial (IA) generativa se ha convertido en un catalizador de productividad, también se ha posicionado como una de las principales fuentes de riesgo en materia de ciberseguridad.
Un reciente informe de la unidad de investigación de SILIKN, advierte que la IA ya es el principal canal de exfiltración de datos en las empresas, superando a las aplicaciones SaaS no controladas y a los sistemas de intercambio de archivos no gestionados.
Este hallazgo, basado en el análisis de telemetría de navegación organizacional, expone cómo la innovación tecnológica puede desencadenar un colapso en la gobernanza de datos, dejando a las organizaciones vulnerables ante filtraciones masivas.
El análisis revela que el 54% de los empleados utiliza herramientas de IA generativa, siendo ChatGPT la más popular con un 66% de uso, lo que demuestra una adopción tan acelerada que supera la evolución histórica de tecnologías como el correo electrónico.
Sin embargo, el 87% de esta actividad ocurre mediante cuentas personales no gestionadas, fuera del alcance de las políticas corporativas. El 89% de los empleados copia y pega información en estas plataformas, y el 93% lo hace en cuentas sin supervisión, exponiendo datos personales y financieros. Incluso, el 65% de los archivos subidos a herramientas de IA contiene información sensible. Esta dinámica convierte al “copiado y pegado” en el vector más común de fuga de datos, muchas veces invisible para las soluciones tradicionales de prevención de pérdida de información (DLP).
La advertencia no solo aplica al sector privado. En México, la administración pública ha adoptado la IA a un ritmo creciente. Según un análisis de la unidad de investigación de SILIKN del panorama tecnológico gubernamental, al menos 28 dependencias federales han integrado esta tecnología en sus operaciones, sumando más de 122 aplicaciones basadas en IA.
Desde chatbots conversacionales hasta sistemas de gestión documental y análisis de datos, el gobierno busca modernizar sus servicios. Sin embargo, la expansión de estos sistemas también podría exponer a las instituciones a los mismos riesgos de filtración que hoy afectan a las empresas privadas, especialmente si se descuidan los controles de seguridad y la supervisión de los modelos utilizados.
El Archivo General de la Nación, por ejemplo, utiliza IA para organizar y preservar documentos históricos, mientras que el Banco de México y la Comisión Nacional Bancaria y de Valores aplican algoritmos para análisis financieros y regulatorios. La Suprema Corte de Justicia de la Nación ha implementado el chatbot “Sor Juana” para facilitar el acceso a proyectos de sentencia, y el Instituto Politécnico Nacional desarrolló la plataforma PICIS, destinada a clasificar datos sensibles y apoyar a otras dependencias en la protección de información crítica. En el ámbito local, estados como Puebla y Chihuahua emplean chatbots para trámites administrativos, intentando mostrar que la automatización pública avanza rápidamente.
El proyecto más ambicioso es liderado por la Secretaría de Economía, que en colaboración con Nvidia trabaja en el desarrollo de un modelo de IA generativa “a la mexicana”, diseñado para adaptarse a la cultura y las necesidades del país. Este modelo, previsto para presentarse en noviembre de 2025, busca reducir la dependencia tecnológica de soluciones extranjeras y fomentar la innovación nacional. No obstante, su éxito dependerá de la capacidad del Estado para implementar mecanismos de protección robustos ante el creciente riesgo de filtraciones.
Aunque el gobierno ha mostrado cautela al priorizar soluciones propias y controladas, la unidad de investigación de SILIKN advierte que ninguna institución está exenta del riesgo. La falta de una regulación integral sobre el uso de IA, la ausencia de políticas claras de manejo de datos y la limitada capacitación del personal podrían abrir brechas de seguridad que comprometan información sensible de los ciudadanos. Si los sistemas gubernamentales conectados a internet llegaran a utilizar cuentas no federadas o modelos no supervisados, el riesgo de exfiltración aumentaría significativamente, replicando los errores del sector privado.
El informe de la unidad de investigación de SILIKN es contundente: la IA debe tratarse como una categoría crítica dentro de las estrategias de protección de datos. Las organizaciones —públicas y privadas— deben pasar de un enfoque de seguridad centrado en archivos a uno enfocado en acciones, monitoreando cargas, prompts y flujos de información para prevenir fugas invisibles. Esto implica imponer federación universal, restringir cuentas personales y aplicar controles contextuales sobre datos sensibles.
A medida que México avanza hacia una administración pública impulsada por la inteligencia artificial, el reto será equilibrar la innovación con la seguridad. Las dependencias gubernamentales que ya utilizan IA deben reconocer que, al igual que en las empresas privadas, el riesgo de filtración es real y creciente. En un entorno donde la IA se consolida como motor del progreso, la falta de gobernanza podría convertirla, paradójicamente, en la fuente de la próxima gran crisis de datos en el país.
* Víctor Ruiz. Fundador de SILIKN | Emprendedor Tecnológico | NIST Cybersecurity Framework 2.0 Certified Expert (CSFE) | (ISC)² Certified in Cybersecurity℠ (CC) | Cyber Security Certified Trainer (CSCT™) | EC-Council Ethical Hacking Essentials (EHE) | EC-Council Certified Cybersecurity Technician (CCT) | Cisco Ethical Hacker & Cybersecurity Analyst | Líder del Capítulo Querétaro de OWASP.
X: https://x.com/victor_ruiz
Instagram:https://www.instagram.com/silikn
YouTube:https://www.youtube.com/@silikn7599
