Casi todas las empresas europeas utilizan la IA generativa, pero la gobernanza no avanza al mismo ritmo que su adopción. Esto se pone de manifiesto en el último Informe de Netskope Threat Labs Europa 2026, que analiza las tendencias en la adopción, las filtraciones de datos y la propagación de malware a través de aplicaciones en la nube durante el último año.
La penetración de la IA es casi total, pero la gobernanza todavía está en construcción
El 99 % de las empresas europeas utiliza actualmente aplicaciones de IA generativa. El uso activo por parte de los empleados casi se duplicó el año pasado, pasando del 35 % al 65 %. Se observa un claro giro hacia las soluciones controladas por las empresas: la proporción de cuentas personales de IA generativa cayó del 79 % al 43 %, mientras que las soluciones empresariales gestionadas aumentaron del 28 % al 72 %. No obstante, la IA en la sombra sigue siendo un problema grave: la proporción de usuarios que alternan entre cuentas personales y corporativas aumentó del 7 % al 15 %, lo que indica que la usabilidad y la accesibilidad aún no se han abordado adecuadamente en muchos casos.
ChatGPT sigue siendo la aplicación de IA generativa más utilizada en Europa, con una tasa de uso del 88 %. Anthropic Claude se ha consolidado en segundo lugar, con un 79 % —muy por delante de Google Gemini, con un 69 %—, y ha experimentado un rápido aumento en su adopción desde septiembre de 2023, con un 29 % en el último año. Esto indica que el panorama de la IA en las empresas europeas es cada vez más diverso.
Los datos sujetos a regulación siguen representando el mayor riesgo
Un análisis de las filtraciones de datos revela una tendencia clara: los datos sometidos a regulación representan el 59 % de todas las infracciones de políticas relacionadas con la IA generativa. Les siguen el código fuente, con un 15 %, la propiedad intelectual, con un 13 %, y las contraseñas y las claves API, con un 12 %. Algo similar ocurre con las aplicaciones en la nube personales: en este caso, el 63 % de las infracciones afecta a datos regulados, seguidos de la propiedad intelectual (17 %), las contraseñas y las claves API (11 %) y el código fuente (9 %). Las aplicaciones personales para las que la mayoría de las empresas aplican controles en tiempo real son Google Drive (32 %), ChatGPT (27 %) y Gmail de Google (22 %).
«Europa está pasando de la fase inicial, en la que reinaba el entusiasmo por la IA generativa, a una realidad más operativa, en la que su uso está muy extendido, pero el control no está a la altura», afirma Gianpietro Cutolo, analista de amenazas en la nube de Netskope Threat Labs.
«Las empresas se están alejando cada vez más de las herramientas de IA personales para pasar a entornos gestionados. No obstante, los datos sujetos a regulación siguen protagonizando las infracciones de las políticas, lo que deja claro dónde radica el verdadero desafío. Aunque la IA se está integrando en los flujos de trabajo diarios en lugar de utilizarse como una herramienta independiente, el reto ya no es su adopción, sino mantener la visibilidad y el control sobre los datos confidenciales que circulan por sistemas cada vez más complejos e interconectados».
La IA está más integrada de lo que parece
Esto es muy relevante para los equipos de seguridad, ya que el 64 % de los usuarios interactúa directamente con aplicaciones de IA generativa. Sin embargo, un número mucho mayor, concretamente el 95 %, utiliza aplicaciones que incorporan capacidades de IA de forma indirecta. El 89 % utiliza aplicaciones cuyo entrenamiento se basa en datos de los usuarios. La IA lleva mucho tiempo funcionando en segundo plano, incluso en situaciones en las que los empleados no la utilizan de forma consciente.
Los atacantes se aprovechan de la confianza depositada en los servicios en la nube
Además de los riesgos de gobernanza que plantea la adopción de la IA, el informe destaca un preocupante cambio en las tácticas de ataque: GitHub y Microsoft OneDrive son las plataformas más utilizadas para distribuir malware en Europa. El 10 % de las empresas se ve afectado, en mayor o menor medida, por cada una de ellas. Los atacantes abusan de la confianza que los usuarios depositan en servicios conocidos para introducir contenido malicioso y dificultar su detección por parte de los sistemas de seguridad.
Realidad operativa frente a lagunas normativas
Las conclusiones del informe ponen de manifiesto una tensión estructural que ejerce una presión cada vez mayor sobre los responsables de la ciberseguridad en Europa: la IA ya está profundamente integrada en las operaciones, pero los mecanismos de control aún tienen que ponerse al día. Los datos regulados fluyen hacia sistemas que no están totalmente supervisados y los ataques se camuflan como tráfico legítimo en la nube. Para las empresas que operan en el marco del RGPD, la Directiva NIS2 o requisitos de cumplimiento específicos del sector, esto hace que sea aún más urgente contar con una gobernanza sólida de la IA.
