La popularización de asistente IA como ChatGPT, Gemini y Copilot ha revolucionado la productividad en empresas de todo el mundo. Sin embargo, su implantación descontrolada está generando alarmas de seguridad. La facilidad de uso y la confianza que transmiten estas interfaces incrementan el volumen de datos internos y confidenciales que acaban en servidores de plataformas externas.
Al mismo tiempo, la falta de supervisión por parte de los equipos de TI dificulta evaluar el riesgo real de filtración o mal uso de la información. Ciberdelincuentes explotan la confianza del usuario para obtener información sensible mediante chats aparentemente inocuos, especialmente en plataformas abiertas como ChatGPT, Gemini, Copilot o DeepSeek.
El principal riesgo: empleados introducen datos internos o personales sin una comprensión acabada del destino de esa información. Estas plataformas pueden almacenar y reutilizar el input para futuros modelos, dejando un rastro difícil de eliminar.
Adicionalmente, el uso de herramientas IA no aprobadas por la empresa facilita que información estratégica salga del perímetro corporativo sin control. Las incidencias más frecuentes: fuga de datos sensibles, contactos, estrategias o credenciales, que se quedan en redes de terceros o pueden ser incorporadas a modelos generativos sin control.
El impacto puede ser desde daño reputacional y sanciones regulatorias por incumplimiento (GDPR u otras leyes de privacidad), hasta la pérdida de propiedad intelectual. La imposibilidad de asegurarse de que los datos introducidos son eliminados definitivamente amplifica este problema.
Promover la formación y concienciación sobre riesgos de compartir información sensible en IA. Implementar soluciones de filtrado que limiten la comunicación de datos críticos a servicios no autorizados. Segmentar aplicaciones e imponer configuraciones restrictivas, como deshabilitar enlaces públicos o funciones avanzadas en plataformas IA.
Monitorizar a nivel de red y endpoint el uso de servicios IA y auditar accesos y actividades inusuales. Finalmente, mantener software de seguridad y detección de amenazas actualizado y ajustar la política de seguridad a la realidad del uso de IA en la organización.
Frente al auge de la IA generativa, la política de “zero trust” y la educación continua se imponen como defensa principal contra las fugas de datos. Antes de integrar o permitir el uso de estas herramientas, debe reforzarse el marco de seguridad y las reglas de minimización de datos, e instaurar una cultura digital responsable y consciente del riesgo.
