La inteligencia artificial se ha convertido en el mayor canal no controlado para la filtración de datos corporativos, superando tanto al SaaS en la sombra como al intercambio de archivos no administrado, según un nuevo informe de la empresa de seguridad de navegadores y inteligencia artificial LayerX. La investigación, basada en telemetría de navegación empresarial del mundo real, indica que el principal riesgo de la IA en la empresa no es una amenaza futura, sino una realidad actual que se desarrolla en los flujos de trabajo cotidianos. Los datos corporativos confidenciales ya están fluyendo hacia herramientas generativas de inteligencia artificial como ChatGPT, Claude y Copilot a un ritmo elevado, principalmente a través de cuentas personales no administradas y la función de copiar y pegar.
La rápida y descontrolada adopción de la IA
Las herramientas de IA han alcanzado un nivel de adopción en solo dos años que otras tecnologías tardaron décadas en alcanzar. Casi la mitad de todos los empleados empresariales (45%) ya utilizan IA generativa, y solo ChatGPT alcanza una penetración del 43%. La IA ahora representa el 11% de toda la actividad de aplicaciones empresariales, rivalizando con las aplicaciones de intercambio de archivos y productividad de oficina. Este crecimiento se ha producido en gran medida sin una gobernanza correspondiente. El informe encontró que el 67% del uso de IA ocurre a través de cuentas personales no administradas, lo que deja a los equipos de seguridad sin visibilidad sobre qué empleados están usando qué herramientas o qué datos se comparten.
Se filtran datos confidenciales a través de archivos y copiar y pegar
La investigación descubrió tendencias alarmantes en cómo se manejan los datos confidenciales con las plataformas de inteligencia artificial.
- Cargas de archivos: El 40% de los archivos cargados en herramientas de IA generativa contienen información de identificación personal (PII) o datos de la industria de tarjetas de pago (PCI). Casi cuatro de cada diez de estas cargas se realizan mediante cuentas personales.
- Copiar y pegar: El canal principal para la fuga de datos es la función copiar y pegar. El 77 % de los empleados pegan datos en herramientas de inteligencia artificial generativa y el 82 % de esa actividad proviene de cuentas personales no administradas. En promedio, los empleados pegan datos confidenciales en estas herramientas a través de cuentas personales al menos tres veces al día.
El informe identifica copiar y pegar en la IA generativa como el vector número uno para que los datos corporativos abandonen el control empresarial. Los programas de seguridad tradicionales centrados en escanear archivos adjuntos y bloquear cargas no autorizadas ignoran por completo esta amenaza.
Otros puntos ciegos de seguridad importantes
El informe destaca otras dos áreas críticas donde los datos corporativos están en riesgo.
- Inicios de sesión no federados: Incluso cuando los empleados utilizan credenciales corporativas para plataformas de alto riesgo como sistemas CRM y ERP, omiten abrumadoramente el inicio de sesión único (SSO). El 71% de los inicios de sesión de CRM y el 83% de los inicios de sesión de ERP no están federados, lo que hace que un inicio de sesión corporativo sea funcionalmente igual que uno personal desde el punto de vista de la visibilidad de la seguridad.
- Mensajería instantánea: El 87% del uso del chat empresarial se produce a través de cuentas personales no administradas y el 62% de los usuarios pegan datos PII o PCI en ellas.
Recomendaciones para la seguridad empresarial en la era de la IA
El informe ofrece varias recomendaciones claras para los líderes de seguridad.
- Trate la seguridad de la IA como una categoría empresarial central, no como una emergente, con monitoreo de cargas, indicaciones y flujos de copiar y pegar.
- Cambie de un modelo de seguridad centrado en archivos a uno centrado en acciones que tenga en cuenta métodos sin archivos como copiar y pegar y chatear.
- Restrinja el uso de cuentas personales no administradas y aplique inicios de sesión federados para todas las aplicaciones corporativas.
- Priorice las categorías de aplicaciones de mayor riesgo para los controles más estrictos: IA, chat y almacenamiento de archivos.
Los hallazgos muestran una imagen clara: el perímetro de seguridad empresarial se ha trasladado al navegador, donde los empleados mueven con fluidez datos confidenciales entre herramientas autorizadas y no autorizadas. El informe concluye que si los equipos de seguridad no se adaptan a esta nueva realidad, la IA no sólo dará forma al futuro del trabajo, sino también al futuro de las filtraciones de datos.
