Shadow AI: cómo los empleados sin saberlo ponen en riesgo a su empresa
Shadow AI es un reto global: uso no autorizado de IA expone datos sensibles en empresas y exige gobernanza y educación.
Uno de los grandes retos que enfrentan las empresas alrededor del mundo es el Shadow AI, también conocido como inteligencia artificial en las sombras, por lo que es necesario que se adopten estrategias de gobernanza y educación.
Alejandro Vergara, gerente de Orquestación de Inteligencia Artificial de IQSEC, recordó que el Shadow AI ocurre cuando los trabajadores, sin querer, exponen información sensible y/o confidencial de las empresas donde trabajan al usar plataformas de inteligencia artificial generativa no autorizadas.
Las organizaciones hoy en día quieren integrar inteligencia artificial, pero ¿realmente saben qué herramientas están usando, hay alguien que las vigile o hay un inventario? No hay manera de saberlo y justamente ese es el gran reto al que nos estamos enfrentando”, afirmó durante el primer webinar Punto de Entrada de IQSEC.
Añadió que, según datos del Data Breach Investigation Report, cerca del 67% de los trabajadores alrededor del mundo utilizan aplicaciones de inteligencia artificial públicas y personales, que no están aprobadas por sus centros de trabajo.
Adrián Galindo, director senior de Ciberseguridad en Hitachi Vantara, consideró que si los empleados no manejan estas herramientas de manera adecuada pueden ser “peligrosas”.
Estarían metiendo datos sensibles o confidenciales (en esas plataformas de inteligencia artificial generativa) con la idea de poder sacar el trabajo más rápido”, resaltó.
Para Vergara, el Shadow AI es un fenómeno que afecta a México y genera preocupación porque las empresas no cuentan con las protecciones necesarias. Esto se refleja en los resultados del estudio Cybersecurity Readiness Index, realizado por Cisco, ya que el país está en una etapa de madurez formativa.
Esto significa que 64% de las empresas tienen una preparación baja y sólo 3% cuenta con infraestructura verdaderamente madura de ciberseguridad.
Eso significa que el Shadow AI prolifera en un entorno donde ni siquiera las defensas básicas están consolidadas”, advirtió.
El directivo de IQSEC añadió que si se compara a México con Brasil y Chile se encuentra en una desventaja adicional, ya que no existe una regulación específica sobre la inteligencia artificial en vigor. Mientras que Brasil está avanzando con su marco legal y Chile tiene un proyecto de ley en proceso legislativo.
Ambos expertos coincidieron en que el riesgo se debe a que las plataformas de inteligencia artificial públicas que usan los trabajadores sin permiso no pasan por los controles de tecnología de la organización, creando rutas invisibles de exposición de datos que los equipos de seguridad aún no logran gestionar a escala.
A lo que se añade que, si la información sensible llega a filtrarse, la empresa podría estar incumpliendo regulaciones, recibir sanciones significativas y un impacto a su reputación.