En este momento estás viendo Más allá de ChatGPT: Los riesgos de la IA en la sombra acechan en las herramientas SaaS

Más allá de ChatGPT: Los riesgos de la IA en la sombra acechan en las herramientas SaaS

  • Autor de la entrada:
  • Categoría de la entrada:Análisis
  • Última modificación de la entrada:julio 14, 2025

El uso no autorizado de ChatGPT y otras herramientas de IA generativa está creando un creciente punto ciego de ciberseguridad para las empresas. A medida que los empleados adoptan estas tecnologías sin la supervisión adecuada, pueden exponer inadvertidamente datos confidenciales. Sin embargo, muchos gerentes aún subestiman el riesgo y retrasan la implementación de defensas de terceros.

Este tipo de uso no autorizado de tecnología, conocido como TI en la sombra, ha planteado desde hace tiempo desafíos de seguridad. Ahora, su contraparte impulsada por IA —la IA en la sombra— está generando nuevas preocupaciones entre los expertos en ciberseguridad.

Melissa Ruzzi, directora de IA en la empresa de seguridad SaaS AppOmni , dice que la IA puede analizar y extraer mucha más información de los datos, lo que la hace más peligrosa que la TI en la sombra tradicional.

En la mayoría de los casos, se otorga a la IA un acceso más amplio a los datos que a la TI en la sombra para que pueda realizar sus tareas. Esto aumenta la exposición potencial en caso de una filtración de datos, declaró.

La IA aumenta los riesgos de las TI en la sombra.

El uso indebido de herramientas de IA por parte de los empleados presenta riesgos de seguridad únicos. Si los modelos de IA acceden a datos confidenciales de una organización para su entrenamiento o investigación interna, dicha información puede hacerse pública involuntariamente. Los actores maliciosos también pueden obtener información privada a través de vulnerabilidades de los modelos.

Ruzzi señaló que los empleados se encuentran con varias formas de IA en la sombra, incluidas herramientas GenAI, transcripciones de reuniones impulsadas por IA, asistentes de codificación, bots de atención al cliente, motores de visualización de datos y funciones de IA dentro de los sistemas CRM.

Ruzzi enfatizó que la falta de verificación de seguridad hace que la IA en la sombra sea particularmente riesgosa, ya que algunos modelos pueden usar datos de la empresa sin las garantías adecuadas, no cumplir con las regulaciones y almacenar información con niveles de seguridad insuficientes.

¿Qué supone un mayor riesgo: la IA genómica o la IA integrada?.

Ruzzi añadió que la IA en la sombra, que surge de herramientas GenAI no aprobadas, representa la amenaza de seguridad más inmediata y significativa. A menudo carece de supervisión, protocolos de seguridad y gobernanza.

Sin embargo, identificar y gestionar eficazmente esta IA oculta, en cualquier forma, tiene posibles implicaciones de seguridad. Las organizaciones deberían invertir en una herramienta de seguridad potente, como ChatGPT, que pueda ir más allá de la detección del uso directo de chatbots de IA.

La IA puede mantenerse al día con el lanzamiento constante de nuevas herramientas de IA y las noticias sobre brechas de seguridad. Para potenciar las detecciones, la seguridad no debe basarse únicamente en reglas estáticas que pueden quedar obsoletas rápidamente, recomendó.

Riesgos de GenAI ocultos en las aplicaciones SaaS.

Ruzzi destacó los riesgos que representan las herramientas de IA integradas en aplicaciones SaaS aprobadas. Estas herramientas de IA ocultas son desconocidas o no están aprobadas por la empresa, a pesar de que la propia aplicación SaaS sí lo está.

“Las características de IA integradas en aplicaciones SaaS aprobadas imponen un desafío especial que solo puede detectarse mediante potentes herramientas de seguridad SaaS que profundizan en las configuraciones SaaS para descubrir la IA oculta”, afirmó.

Las herramientas de seguridad tradicionales, como los agentes de seguridad de acceso a la nube (CASB), solo pueden detectar el uso de aplicaciones SaaS y el uso directo de la IA, incluyendo herramientas como ChatGPT. Estos son puntos de aplicación de políticas de seguridad entre los usuarios empresariales y los proveedores de servicios en la nube.

Riesgos de cumplimiento vinculados a la IA en la sombra.

Como se mencionó anteriormente, la IA en la sombra puede provocar infracciones de cumplimiento normativo relacionadas con la información personal. Algunos marcos regulatorios que afectan a las organizaciones incluyen el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, que rige el procesamiento de datos personales. En EE.UU., la Ley de Privacidad del Consumidor de California/Ley de Derechos de Privacidad de California (CCPA/CPRA) es similar al RGPD, pero para los residentes de California.

La IA en la sombra puede violar los principios del RGPD, entre ellos:

  • Minimización de datos : recopilar más datos de los necesarios.
  • Limitación de la finalidad : uso de datos para fines no previstos.
  • Seguridad de los datos : no proteger los datos adecuadamente.

Las organizaciones son responsables de todas las actividades de procesamiento de datos, incluidas aquellas de IA no autorizada.

Para las empresas que manejan datos de atención médica o brindan servicios relacionados con la salud en los EE.UU., la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) es la más importante para proteger la información confidencial de salud de los pacientes.

La IA en la sombra puede provocar la violación del derecho de los consumidores a conocer, acceder y eliminar sus datos, así como a no vender su información personal. Si la IA en la sombra utiliza datos personales sin la debida divulgación o consentimiento, infringe las normas de la CCPA/CPRA, declaró Ruzzi.

Si los sistemas de inteligencia artificial en la sombra acceden, procesan o comparten información médica protegida (PHI) sin las debidas garantías, autorizaciones o acuerdos con socios comerciales, se trata de una violación de la HIPAA, que puede dar lugar a demandas costosas.

Muchas otras jurisdicciones cuentan con leyes de privacidad de datos, como la LGPD (Brasil) y la PIPEDA (Canadá), así como diversas leyes estatales de EE.UU. Las organizaciones deben garantizar que la IA en la sombra cumpla con todas las normativas de protección de datos aplicables, considerando tanto sus propias ubicaciones como las de sus clientes.

Desafíos de seguridad futuros con la IA en la sombra.

Evitar conflictos legales es fundamental. Ruzzi instó a las organizaciones a evaluar y mitigar los riesgos de las herramientas de IA no verificadas, analizando sus vulnerabilidades y estableciendo directrices claras sobre qué herramientas están autorizadas.

También recomendó educar a los empleados sobre las amenazas de la IA en la sombra y garantizar que tengan acceso a soluciones aprobadas y de nivel empresarial.

A medida que la IA evoluciona y se integra más en las aplicaciones, la IA en la sombra introducirá riesgos de seguridad más complejos. Para mantenerse a la vanguardia, las organizaciones necesitan estrategias a largo plazo respaldadas por herramientas de seguridad SaaS que puedan detectar la actividad de la IA en las aplicaciones, evaluar con precisión los riesgos y contener las amenazas de forma temprana.

La realidad de la IA en la sombra será más presente que nunca. La mejor estrategia en este caso es la capacitación de los empleados y la monitorización del uso de la IA, concluyó.

Etiquetas: , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,