En pleno auge de la inteligencia artificial generativa, una nueva amenaza viene creciendo a la sombra de la innovación: mientras las empresas apuestan por herramientas como ChatGPT para mejorar la productividad, ocho de cada diez empleados están exponiendo secretos empresariales y datos confidenciales utilizando estas plataformas, convirtiéndolas en el principal canal de exfiltración de información sensible.
Un reciente estudio de LayerX Security revela que el 77% de los trabajadores ha compartido datos corporativos a través de herramientas GenAI y más de la mitad de estas acciones implican información crítica, desde datos personales regulados hasta secretos industriales.
Este fenómeno coloca al factor humano, especialmente a quienes usan cuentas personales para acceder a aplicaciones corporativas o para gestionar información sensible, en el epicentro del mayor agujero de seguridad actual.
Aunque los sistemas tradicionales de prevención de pérdida de datos (DLP) están diseñados para archivos y conexiones dentro del perímetro corporativo, los empleados cada vez más utilizan cuentas y navegadores no administrados, replicando acceso a datos críticos fuera del control de la empresa.
De acuerdo con el informe, el 67% del uso corporativo de IA generativa se realiza con cuentas personales, y el 71,6% de los accesos a esas herramientas surge desde navegadores no gestionados, lo que significa que una gran cantidad de información sensible abandona la empresa sin ninguna supervisión real.
El modus operandi principal es simple y efectivo: copiar y pegar información confidencial en los chatbots. En promedio, cada empleado realiza casi 7 pegados diarios, y más de la mitad contienen datos corporativos. Este método silencioso no genera alertas en las soluciones estándar y facilita la exfiltración del 32% del total de fugas de información.
Riesgos severos para la seguridad y cumplimiento normativo
El impacto de esta fuga masiva afecta a múltiples frentes:
- Pérdida de confidencialidad de datos de identificación personal (PII) y financieros (PCI), potencialmente quebrantando normativas de privacidad como GDPR.
- Uso indebido de información propietaria y secretos industriales para capacitación de modelos o competencia desleal.
- Riesgos geopolíticos y regulatorios derivados de la falta de control sobre la diseminación de información crítica a nivel global.
- Vulneración del cumplimiento normativo y multas millonarias para las compañías afectadas, que deberán además hacer frente a crisis reputacionales.
Or Eshed, CEO de LayerX, advierte que la “filtración mediante IA es una amenaza insidiosa que puede socavar la seguridad, confianza y viabilidad empresarial si no se toman medidas urgentes”.
El fenómeno Shadow IT: cuentas personales versus entornos corporativos
Pese a inversiones millonarias en mecanismos como Single Sign-On (SSO) y gestión de identidades federadas, más del 70% de los inicios de sesión en aplicaciones cruciales como CRM y ERP ocurren en cuentas no federadas, muchas veces personales.
Esto crea un “shadow IT” concreto, donde empleados eluden controles, mezclan entornos laborales con personales y exponen datos sensibles en plataformas sin protección adecuada. En la práctica, una cuenta “corporativa” no es más segura que cualquier cuenta personal con contraseña básica.
Esta situación no solo dificulta rastrear la fuga, sino que también complica medir el impacto real y gestionar los riesgos de forma proactiva.
Vulnerabilidades de los modelos avanzados: los riesgos en ChatGPT-5 y similares
Además de la gestión de cuentas y la supervisión, los propios modelos de IA presentan fallos aún sin resolver. Investigaciones recientes muestran que incluso ChatGPT-5, la última generación, es vulnerable a ataques “jailbreak” y “zero-click”, que permiten a atacantes manipular comandos internos y extraer datos sin interacción directa del usuario.
Algunos escenarios detectados demuestran que basta con enviar mensajes especialmente diseñados para engañar al modelo y obtener respuestas con datos confidenciales o instrucciones para actividades ilícitas, exponiendo un nuevo vector de amenaza para las infraestructuras conectadas.
Recomendaciones urgentes para proteger la empresa y mitigar riesgos
Frente a este panorama, las organizaciones deben actuar con rapidez y adoptar un marco integral que incluya:
- Políticas estrictas de acceso a IA generativa: limitar el uso a cuentas corporativas reguladas y auditables.
- Formación y sensibilización: entrenar a los empleados para entender riesgos y prohibir compartir datos sensibles en estos sistemas sin autorización.
- Implementar soluciones avanzadas DLP y monitorización de navegadores que detecten actividades de copiar/pegar sospechosas y bloqueen transferencias no autorizadas.
- Integrar inteligencia artificial en seguridad para analizar patrones de uso y anticiparse a posibles fugas.
- Auditorías periódicas y revisiones de cumplimiento con normativas para evitar sanciones.
- Protección reforzada en CRM, ERP y almacenamiento cloud con multi-factor y gestión de identidad federada con mayor rigor.
- Colaboración con proveedores y legisladores para crear estándares que contemplen el riesgo real de IA en entornos corporativos.
La inteligencia artificial es una herramienta que puede traer infinitos beneficios a las organizaciones, pero su adopción sin controles adecuados abre una brecha de seguridad de consecuencias catastróficas. El principal riesgo no es la tecnología, sino la interacción humana imprudente y la falta de gobernanza efectiva.
Los líderes empresariales deben entender que la ciberseguridad en la era de la IA generativa exige mucho más que antivirus o firewalls: implica una cultura de seguridad, controles de identidad, formación constante y tecnología avanzada.
En este momento crítico, ignorar estos riesgos puede transformar a ChatGPT y otros modelos en el principal cómplice involuntario de cualquier fuga de secretos empresariales. La pregunta es si las organizaciones están preparadas para ver, entender y actuar frente a esta amenaza invisible.
