El nuevo riesgo silencioso en las empresas: empleados usando IA sin autorización

Dentro de las empresas ha surgido una nueva preocupación en ciberseguridad: el uso no autorizado de herramientas de inteligencia artificial generativa por parte de los empleados.

Si bien el malware y el phishing siguen siendo las principales amenazas, con un 51% y un 35% respectivamente, una encuesta realizada por Microsoft en empresas que operan en Colombia revela que el 18% de las organizaciones considera que el uso no autorizado de IA generativa por parte de sus trabajadores representa una amenaza real.

Marcelo Felman, director de ciberseguridad en Microsoft para Latinoamérica, explica que esta dinámica se denomina shadow AI en inglés.

Los empleados emplean estas herramientas para aumentar la productividad en actividades como redacción de textos o análisis de datos. Sin embargo, su uso sin supervisión implica riesgos de seguridad, entre ellos la posible filtración de datos confidenciales.

Cómo las empresas están adoptando el shadow AI

Ante el fenómeno del shadow AI dentro de las empresas, Marcelo Felman, director de ciberseguridad en Microsoft para Latinoamérica, afirma que las organizaciones están adoptando dos enfoques.

Por un lado, hay empresas que saben que sus empleados usan herramientas de inteligencia artificial no autorizadas. Por otro, están aquellas que ni siquiera se dan cuenta de que esto ocurre, lo que genera aún más preocupación por la falta de control dentro de la organización.

“Las personas han comprobado el aumento en productividad que logran con estas tecnologías, por lo que su uso seguirá en expansión”, advierte Felman.

Para afrontar este reto, las empresas pueden optar por dos caminos: bloquear y sancionar el uso no autorizado, o facilitar a los empleados el acceso a herramientas seguras y validadas.

Felman sostiene que la mejor estrategia es esta última, al integrar soluciones de IA dentro del entorno laboral de forma natural y accesible, de modo que el colaborador pueda utilizar la tecnología en condiciones de seguridad y sin riesgos para la organización.

Por ejemplo, en lugar de recurrir a una aplicación externa para transcribir una videoconferencia, recomienda aprovechar las funciones incorporadas en servicios como Teams. De esta forma, se facilita el acceso a la inteligencia artificial de manera segura y bajo el control de la organización.

Cómo es la concientización de los riesgos del uso no regulado de la IA

Un aspecto crítico es la concientización de los empleados sobre los riesgos del uso no regulado de la IA. En países como Colombia, esta carencia es especialmente marcada.

Solo el 45% de las organizaciones afirma invertir en iniciativas para capacitar a su personal en temas de ciberseguridad relacionados con IA, a pesar de reconocer la vulnerabilidad que implica esta falta de preparación.

El desafío radica en que las principales amenazas informáticas, como malware, ransomware, phishing, ingeniería social y deepfakes, suelen iniciar a partir de una acción del usuario.

Según Felman, esto demuestra que la combinación de baja inversión, escasa capacitación y altas amenazas crea un escenario de alto riesgo para las empresas.

La brecha entre innovación y seguridad también preocupa al sector empresarial. Aunque el 91% de las compañías ya adoptó o está en proceso de adoptar soluciones de inteligencia artificial, solo el 57% dispone de políticas de gobernanza claras para su uso.

Esto implica que un tercio de las empresas innova sin establecer los controles necesarios, lo que puede derivar en consecuencias graves, como se aprendió durante la digitalización acelerada de la pandemia.

Además, apenas el 32% de las organizaciones ha integrado la seguridad relacionada con inteligencia artificial en su estrategia corporativa.

Para el ejecutivo de Microsoft, la urgencia es evidente: “El impacto de estas tecnologías es alto y la inversión aún es insuficiente. Debemos atender esta situación ahora, no dentro de un par de años”.