La Inteligencia Artificial está multiplicando los incidentes de ciberseguridad, y no exclusivamente por la acción de atacantes externos. Cada día, miles de colaboradores exponen información sensible y confidencial de sus organizaciones a través de aplicaciones de uso personal, sin ningún control corporativo.
El 60% de los incidentes de amenazas internas involucran aplicaciones personales en la nube, donde datos regulados, propiedad intelectual, código fuente y credenciales son transferidos con frecuencia en violación de las políticas organizacionales, de acuerdo con el Cloud and Threat Report: 2026.
De acuerdo con el informe referido de Netskope Threat Labs, que analiza telemetría anonimizada de millones de usuarios en todo el mundo, el 47% de los usuarios de IA generativa en el trabajo accede a herramientas de GenAI desde cuentas personales no autorizadas, y solo el 50% de las organizaciones ha implementado soluciones de prevención de pérdida de datos (DLP), orientadas específicamente a mitigar los riesgos de la IA generativa.
Productividad frente a la filtración de datos
“ El problema no es que los colaboradores quieran poner en riesgo a la organización; el problema es que buscan ser más productivos y muchas empresas todavía no tienen controles claros sobre el uso de IA ”, explicó Alejandro Vergara, Integrador de Inteligencia Artificial de IQSEC.
El mismo informe revela que el volumen de prompts enviados a herramientas de IA creció seis veces en 12 meses: de 3,000 a más de 18,000 mensuales por organización. Como resultado directo, las organizaciones registran hoy un promedio de 223 violaciones de política de datos vinculadas a GenAI cada mes, cifra que se duplicó en el último año.
Este fenómeno, conocido como Shadow AI, se ha convertido en una de las preocupaciones emergentes más importantes para las áreas de ciberseguridad y cumplimiento regulatorio. La presión por la productividad lleva a los trabajadores a incorporar herramientas de IA en sus flujos de trabajo, sin pasar por los controles de tecnología de la organización, creando rutas invisibles de exposición de datos que los equipos de seguridad aún no logran gestionar a escala.
Mecanismos de exposición y entorno regulatorio
“ El mayor riesgo es que muchas organizaciones todavía no saben cuánta información sensible ya salió de su perímetro, a través de herramientas que los propios colaboradores utilizan todos los días ”, señaló el especialista en Ciberseguridad e Inteligencia Artificial de IQSEC.
¿Cómo se produce una filtración silenciosa? El fenómeno Shadow AI ocurre cuando: Se solicita a un chatbot que redacte documentos utilizando información interna de la empresa. Se cargan reportes financieros o bases de datos de clientes para obtener resúmenes o análisis rápidos. Se utiliza IA para revisar o corregir contratos, propuestas comerciales o estrategias de negocio. Se comparten datos poersonales, información empresarial estratégica, datos de clientes, información técnica y operativa, código fuente o credenciales de acceso con asistentes de programación basados en IA.
“ Cuando esto sucede en plataformas públicas sin controles corporativos, la información puede quedar almacenada en registros externos, exponiendo a las empresas a riesgos legales, regulatorios y reputacionales ”, advirtió Alejandro Vergara.
Impacto legal y estrategias de protección
Un riesgo legal y regulatorio de alto impacto. En México, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) impone a las organizaciones la obligación de garantizar el tratamiento adecuado de datos personales y sensibles. El uso no controlado de inteligencia artificial podría derivar en: Incumplimientos regulatorios y sanciones económicas significativas. Afectaciones reputacionales de largo plazo ante clientes, socios y reguladores. Responsabilidades legales derivadas de la exposición no autorizada de información de terceros.
Para las empresas con operaciones internacionales, el riesgo se amplifica por marcos normativos como el GDPR en Europa o la HIPAA en Estados Unidos, que establecen sanciones severas ante cualquier fuga de datos personales o información médica protegida.
“La conversación ya no es si las empresas usarán Inteligencia Artificial. La verdadera discusión es cómo proteger la información crítica mientras la utilizan”, destacó el especialista de IQSEC.
