En casi todas las empresas, la inteligencia artificial ya está adentro. No necesariamente por una decisión estratégica, sino por iniciativa de los propios equipos: áreas de marketing que utilizan herramientas generativas, desarrolladores que integran APIs en entornos locales o analistas que entrenan modelos para agilizar reportes. Algunos funcionan en servidores internos, otros directamente en la nube o incluso desde entornos personales, sin control centralizado, sin trazabilidad y sin una política clara de gobierno.

El riesgo es claro: ¿qué auditoría se está haciendo sobre el estado actual de esas IAs? ¿Qué datos procesan? ¿Cómo fueron entrenadas y con qué información? ¿Qué decisiones automatizan? Sin visibilidad, las empresas enfrentan una nueva superficie de ataque -no solo técnica, sino también ética, legal y reputacional-, donde una mala configuración, un sesgo no detectado o una fuga de datos pueden tener consecuencias significativas.

En este sentido, la escena recuerda a los años en que los empleados instalaban herramientas o servicios sin aprobación del área de sistemas. Solo que ahora el impacto potencial es mucho mayor. La IA no solo administra información: puede interpretarla, aprender de ella y, en algunos casos, tomar decisiones. Eso exige nuevos criterios de gobernanza y seguridad.

Ya existen ejemplos concretos. Varias compañías globales debieron restringir el uso de herramientas de IA generativa luego de detectar que empleados habían cargado información sensible en sistemas externos. En otros casos, algoritmos de recomendación o evaluación produjeron resultados sesgados que afectaron la reputación de la organización o la confianza interna.

La solución no pasa por frenar la adopción, sino por entenderla. La democratización de la IA habilita innovación descentralizada, velocidad en el prototipado y autonomía de los equipos. Si se canaliza correctamente, esa energía creativa puede transformarse en una ventaja competitiva.

Para lograrlo, es necesario impulsar una estrategia bottom-up: conocer lo que ya existe, auditarlo, clasificarlo y aplicar controles proporcionales al nivel de riesgo de cada solución. El marco de gestión no debería ser un obstáculo, sino una guía que combine tres capas: tecnología, procesos y cultura. No se trata de imponer límites, sino de construir un marco que acompañe la velocidad del cambio con responsabilidad y visión de largo plazo.

Hoy las organizaciones enfrentan múltiples desafíos:

• Falta de visibilidad sobre qué modelos o agentes de IA se utilizan y sobre qué datos operan, así como ausencia de auditorías continuas y mecanismos de trazabilidad.
• Escasa concientización de empleados y desarrolladores respecto de los riesgos de compartir información sensible.
• Dificultad para establecer marcos de gobernanza que evolucionen al mismo ritmo que la tecnología.
Todos estos factores combinados amplían la superficie de exposición y reducen la capacidad de respuesta ante incidentes.

La verdadera madurez digital no se alcanza limitando el uso de la inteligencia artificial, sino entendiéndola desde adentro. Solo las organizaciones que logren integrar tecnología, procesos y cultura en una estrategia coherente podrán aprovechar todo su potencial sin comprometer su seguridad, su reputación ni la confianza de sus clientes.

Por Matiás Szmulewiez, Cybersecurity Practice Head de Baufest