El año pasado los datos enviados a aplicaciones de IA generativa (genAI) por parte de los usuarios empresariales se multiplicaron por treinta, así lo da a conocer un nuevo estudio de Netskope. Esto incluye datos confidenciales como código fuente, datos sometidos a regulación, contraseñas y claves, y propiedad intelectual, lo que eleva significativamente el nivel de riesgo de que se produzcan vulneraciones costosas, infracciones de cumplimiento normativo y robos de propiedad intelectual.

El informe también destaca cómo la IA y la TI en la sombra son ahora el principal desafío para la TI en la sombra que obstaculiza a las organizaciones, ya que el 72% de los usuarios empresariales se conectan a las aplicaciones de genAI que utilizan para trabajar con sus cuentas personales.

El Informe sobre amenazas y la nube de IA generativa para 2025 de Netskope ThreatLabs detalla la utilización generalizada de la genAI en las empresas. En el momento de redactar este informe, Netskope tenía visibilidad de 317 aplicaciones de genAI como ChatGPT, Google Gemini y GitHub Copilot. Un exhaustivo análisis global de la empresa reveló que el 75% de los usuarios corporativos acceden a aplicaciones con funciones de genAI, lo que plantea un problema que los equipos de seguridad deben abordar: la amenaza interna involuntaria.

“A pesar de los grandes esfuerzos de las organizaciones por implementar herramientas de IA generativa gestionadas por la empresa, nuestro estudio pone de manifiesto que la “shadow IT” se ha convertido en “shadow IA”, y casi tres cuartas partes de los usuarios siguen accediendo a aplicaciones de genAI a través de cuentas personales”, explicó James Robinson, CISO de Netskope. Cuando se combina con los datos compartidos, esta tendencia pone de manifiesto la necesidad de contar con capacidades avanzadas de seguridad de datos para que los equipos de seguridad y gestión de riesgos puedan recuperar el control, la visibilidad y una utilización aceptable de la IA general en sus organizaciones.

Disminución del peligro de la genAI

Muchas empresas carecen de visibilidad total o parcial sobre el procesamiento, almacenamiento y aprovechamiento de los datos en el uso indirecto de la gen AI. A menudo, optan por aplicar una política de “bloquear primero y preguntar después”, permitiendo explícitamente ciertas aplicaciones y bloqueando todas las demás. Sin embargo, los responsables de seguridad deben buscar una estrategia de seguridad personalizada para que los empleados obtengan beneficios de eficiencia y productividad con estas herramientas.

“Nuestros últimos datos muestran que la inteligencia artificial ya no es una tecnología de nicho, sino que está presente en todas partes”, afirmó Ray Canzanese, director de Netskope ThreatLabs. “Cada vez hay más aplicaciones dedicadas e integraciones de backend que la integran. Esta generalización plantea un problema de ciberseguridad cada vez mayor, que exige a las organizaciones adoptar un enfoque integral de la gestión de riesgos o arriesgarse a que sus datos confidenciales queden expuestos a terceros que podrían utilizarlos para entrenar nuevos modelos de inteligencia artificial, lo que crearía oportunidades para una exposición de datos aún más generalizada”.

Durante el último año, Netskope ThreatLabs también ha observado que el número de entidades que utilizan infraestructura genAI local ha aumentado considerablemente, pasando de menos del 1% al 54%, y se espera que esta tendencia continúe. Aunque este cambio reduce los riesgos de exposición no deseada de los datos a aplicaciones de terceros en la nube, introduce nuevos tipos de amenazas para la seguridad de los datos, como las relacionadas con las cadenas de suministro, las fugas de datos, el manejo inadecuado de la salida de datos, la inyección de comandos, los jailbreaks y la extracción de metaprompt. Como resultado, muchas organizaciones están añadiendo infraestructura genAI alojada localmente, además de las aplicaciones genAI basadas en la nube que ya están en uso.

Medidas tácticas para hacer frente al riesgo de la IA

A medida que los responsables de la seguridad humana combaten las amenazas impulsadas por la IA, muchos están recurriendo a herramientas de seguridad que ya forman parte de sus stacks tecnológicos. Casi el 100% de las organizaciones están trabajando para reducir sus riesgos de IA mediante políticas que les permitan bloquear el acceso a las herramientas de IA y/o controlar qué usuarios pueden acceder a herramientas específicas de IA y qué datos se pueden compartir con ellas.

Netskope recomienda a las empresas que revisen, adapten y personalicen sus marcos de riesgo específicamente para la IA o la IA general, con el fin de garantizar una protección adecuada de los datos, los usuarios y las redes. Entre las medidas tácticas específicas para hacer frente al riesgo de la IA general se incluyen:

• Evalúe su escenario genAI: comprenda qué aplicaciones genAI e infraestructura genAI alojada localmente está utilizando, quién las está utilizando y cómo se están utilizando.
• Refuerce los controles de su aplicación genAI: revise y compare regularmente sus controles con las mejores prácticas, como permitir solo aplicaciones aprobadas, bloquear las no aprobadas, utilizar DLP para evitar que se compartan datos confidenciales con aplicaciones no autorizadas y aprovechar el asesoramiento en tiempo real a los usuarios.
• Realice un análisis de sus controles locales: si está ejecutando alguna infraestructura genAI a nivel local, revise los marcos pertinentes, como el Top 10 de OWASP para aplicaciones de LLM (grandes modelos de lenguaje), el marco de gestión de riesgos de IA del Instituto Nacional de Estándares y Tecnología (NIST) y MITRE Atlas, para garantizar una protección adecuada de los datos, los usuarios y las redes.