Las empresas llevan años combatiendo la amenaza del sombra de TI o el uso de tecnología por parte de los empleados sin que hayan recibido el consentimiento pertinente del departamento de TI.
La popularización de la inteligencia artificial (IA o AI por sus siglas en inglés) pone de aliviar una nueva problemática. La facilidad de acceso a ciertas herramientas desde dispositivos informáticos personales y entornos de teletrabajo permite su adopción sin contar con la autorización de la empresa.
Esto da lugar al fenómeno de IA en la sombraque presenta sus credenciales para terminar convirtiéndose en uno de los principales puntos ciegos en el futuro.
“Aunque la IA lleva años utilizándose en ciertas áreas concretas de algunos entornos corporativos, el punto de inflexión llegó en 2023 con el éxito masivo de herramientas de IA generativa como ChatGPT, que alcanzó los 100 millones de usuarios en apenas dos meses”, recuerda Josep Albors, director de investigación y concienciación de ESET España.
“Mientras los empleados adoptan estas tecnologías para mejorar su productividad, muchas organizaciones no contaban todavía con estrategias claras para su uso”, señala.
“Por eso”, pensando en lo que se avecina “en 2026, es fundamental que las empresas establezcan marcos de control y gobernanza que permita aprovechar el potencial de la IA sin comprometer la seguridad ni el cumplimiento normativo”.
IA de las sombras va más allá de las aplicaciones independientestal y como advierten desde ESET. Puede extenderse a través de extensiones de navegador y ciertas funciones en software corporativo que es legítimo. También hay que tener en cuenta a los nuevos agentes autónomos.
Sin unos controles específicos, el uso de la IA puede terminar en la exposición de información sensible, como código, propiedad intelectual y actas de reuniones, y su almacenamiento en servidores externos.
Además, los expertos detallan que las herramientas instaladas por los empleados pueden contener vulnerabilidades y que los modelos entrenados con datos sesgados pueden derivar en decisiones incorrectas.
Los riesgos son múltiples. La generación de contenido falso, la introducción errores críticos en los procesos o la ejecución de acciones no autorizadas están entre ellos.
Todo esto conlleva peligros como el incumplimiento normativo, sanciones, pérdidas monetarias y daños a la reputación.
Para evitar males mayores, ESET aconseja a las empresas tomar acción y analizar las herramientas que están utilizando sus equipos y con qué finalidad. Y, en consecuencia, trazar políticas de uso que sean realistas y ofrecer alternativas si deciden prohibir algunas soluciones.
También conviene establecer procesos para que los profesionales tengan la opción de solicitar nuevas soluciones, así como formar sobre protección de datos y seguridad de la información y fortalecer la monitorización de la red.
