La inteligencia artificial está revolucionando el mundo corporativo. Desde automatizar tareas hasta acelerar la toma de decisiones, su impacto es innegable. Sin embargo, expertos en ciberseguridad advierten que su uso sin controles adecuados puede convertirse en una amenaza importante para las empresas.
Al respecto, Check Point® Software Technologies Ltd. señala en su Security Report Iberia 2025 que prácticamente todas las empresas (entre 97 % y 99 %) utilizan herramientas basadas en IA, y la mayoría está invirtiendo en IA generativa para reforzar la ciberseguridad. Pero, mientras las compañías buscan aprovechar estas tecnologías, los delincuentes informáticos las utilizan para crear ataques más sofisticados, difíciles de detectar y altamente personalizados, como correos de phishing automatizados o malware adaptable.
Los riesgos no provienen solo del exterior. El uso incorrecto de la IA dentro de las organizaciones puede generar pérdidas de información confidencial, errores operativos, daños a la reputación y problemas legales. Entre los más frecuentes, Check Point identifica:
- Filtración de datos sensibles: cuando los empleados ingresan información crítica —como contratos, planes estratégicos o código— en herramientas públicas de IA, los datos quedan expuestos sin garantía de seguridad.
- Uso de cuentas personales o versiones gratuitas: al no utilizar herramientas corporativas, los trabajadores carecen de trazabilidad y seguridad, aumentando la vulnerabilidad.
- Automatización sin supervisión: generar informes o tomar decisiones mediante IA sin revisión humana puede derivar en errores graves o en la exposición de información delicada.
- Prompts inseguros: incluir claves, nombres de clientes o rutas internas en consultas a modelos públicos puede poner en riesgo datos estratégicos.
Además, almacenar información corporativa en plataformas como Copilot o Gemini sin versiones empresariales adecuadas equivale a una externalización sin control. El fenómeno de Shadow IT, donde empleados usan tecnologías sin autorización, complica la supervisión y el cumplimiento de normas.
Otro punto crítico es el entrenamiento inadecuado de modelos con datos sensibles. Sin un aislamiento correcto, la IA puede filtrar información a través de ciertas consultas, una técnica que los ciberdelincuentes ya explotan con el llamado prompt injection.
El mal manejo de estas tecnologías puede ocasionar fugas de propiedad intelectual, uso indebido de datos por terceros y violaciones legales, especialmente si se procesan datos de clientes sin consentimiento, en contra de normativas como RGPD, DORA o NIS2. Las empresas que no implementen medidas de protección corren riesgo de sanciones millonarias e incluso de responsabilidad penal si un empleado actúa con fines maliciosos sin controles vigentes.
Para prevenir estos problemas, Check Point recomienda:
- Definir políticas claras sobre el uso de IA en el trabajo.
- Implementar sistemas de seguridad que detecten y bloqueen el uso indebido de IA.
- Capacitar a los empleados sobre riesgos y buenas prácticas.
- Utilizar únicamente versiones corporativas de las herramientas, que cumplan con normas de seguridad y privacidad.
«La inteligencia artificial ofrece enormes oportunidades, pero también puede ser una vía de riesgo si no se controla. Es crucial auditar su uso, supervisar cómo se entrena y asegurar que no abra puertas a amenazas internas o externas», advierte Rafael López, ingeniero de seguridad en Check Point Software.