Por Sarang Warudkar - Gestor técnico sénior de marketing de productos
19 de mayo de 2026 4 minutos de lectura
La adopción de la IA generativa ha transformado la seguridad empresarial de formas que muchas organizaciones aún no han abordado. El riesgo no procedía de ataques sofisticados, sino de una pestaña del navegador.
Los empleados pasan gran parte de su jornada en los navegadores, accediendo a registros de CRM, paneles financieros, documentos compartidos y herramientas de inteligencia artificial como ChatGPT, Microsoft 365 Copilot y Gemini. Las mejoras en la productividad son evidentes. Y también lo es el riesgo de exposición.
Las aplicaciones de IA han introducido campos de entrada que permiten que los datos pasen directamente del portapapeles de un empleado a un modelo externo. Las plataformas de mensajería, como Microsoft Teams Web y WhatsApp Web, se basan en conexiones WebSocket persistentes que las herramientas tradicionales de seguridad de red no pueden inspeccionar. Las aplicaciones SaaS modernas también cifran el contenido antes de que llegue al proxy.
El resultado es una categoría cada vez mayor de actividad durante la sesión que los controles de seguridad de red existentes no pueden detectar ni gestionar. Dado que esta actividad tiene lugar dentro del navegador, la protección también debe estar presente allí.
La inspección de redes tradicional se basa en el tráfico HTTP y HTTPS que pasa por un proxy. Ese modelo funcionó bien durante años, pero dos cambios han añadido nuevas complejidades.
En primer lugar, las aplicaciones SaaS modernas utilizan cada vez más conexiones WebSocket. Aplicaciones como Microsoft Teams, WhatsApp y Microsoft 365 Copilot crean sesiones persistentes en el navegador que eluden la inspección tradicional de los servidores proxy, por lo que los equipos de seguridad pierden visibilidad sobre la actividad de dichas sesiones.
En segundo lugar, las aplicaciones con cifrado de extremo a extremo cifran el contenido antes de que el tráfico llegue al proxy. Las herramientas de seguridad de la red pueden ver la conexión, pero no pueden inspeccionar la carga útil.
Esto genera una actividad en el navegador que queda fuera del alcance de los controles de seguridad existentes.
La mayoría de los incidentes de filtración de datos no se deben a atacantes sofisticados, sino a acciones rutinarias de los empleados dentro del navegador, como, por ejemplo: copiar y pegar, capturas de pantalla, subidas de archivos y solicitudes a la inteligencia artificial que se producen una vez concedido el acceso.
Los incidentes de exposición de datos más habituales que se producen durante las sesiones siguen un patrón común. Se trata de acciones rutinarias que los empleados realizan durante su trabajo habitual, y que resultan difíciles de detectar o controlar con herramientas que operan en el perímetro de la red.
Algunos ejemplos son:
Estas acciones se producen durante el trabajo habitual y son difíciles de detectar mediante los controles tradicionales.
La IA generativa ha agravado este problema al crear campos de entrada en el navegador que aceptan cualquier contenido pegado. Los empleados pueden enviar código fuente, información de carácter personal de los clientes, datos financieros, documentos legales o planes de fusiones y adquisiciones a sistemas de IA externos en cuestión de segundos. Un estudio reciente del sector ha revelado que el 41 % de los empleados interactúa habitualmente con herramientas web de IA que carecen de controles de gobernanza que regulen lo que pegan o suben. En la mayoría de las organizaciones, no existe ningún control técnico entre el portapapeles de un empleado y un modelo de IA externo.
En muchas organizaciones, no existe ningún control técnico entre el portapapeles del empleado y un campo de entrada de IA externo.
La normativa ya exige medidas de seguridad técnicas para los datos sensibles.
El artículo 32 del Reglamento General de Protección de Datos (RGPD) exige la protección del tratamiento de los datos personales. La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) establece medidas de seguridad para los datos sanitarios. La Ley de Protección de Datos Personales Digitales de la India exige medidas de protección técnicas para los datos personales. La Norma de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) exige controles para los datos de los titulares de tarjetas.
Los auditores se preguntan cada vez con mayor frecuencia qué impide a los empleados copiar datos confidenciales en herramientas de IA externas. Muchas organizaciones carecen de una respuesta técnica clara.
El mercado ha desarrollado varios enfoques para la seguridad del navegador durante la sesión. Los navegadores empresariales seguros ofrecen controles exhaustivos durante la sesión al sustituir el navegador que utilizan los empleados por una alternativa corporativa gestionada. Este modelo funciona en entornos estrictamente controlados, pero plantea importantes dificultades de adopción, plazos de implementación de entre tres y seis meses y lagunas estructurales en la cobertura para los dispositivos BYOD y los de los contratistas.
Los controles de seguridad para navegadores sin agentes adoptan un enfoque diferente. Aplican las políticas de protección de datos en las sesiones activas del navegador a través de la infraestructura SSE existente, sin sustituir el navegador, sin instalar agentes en los terminales y sin que los empleados tengan que cambiar su forma de trabajar. La cobertura se extiende por igual a Chrome, Edge, Firefox y Safari en dispositivos gestionados, terminales BYOD y dispositivos de contratistas. La activación se realiza en cuestión de minutos, no de meses.
El resultado son las ventajas de seguridad para el navegador empresarial sin tener que renunciar a la adopción ni asumir los costes que conlleva la sustitución del navegador. El navegador se mantiene. Se introduce la gestión de seguridad.
Si la actividad durante la sesión descrita anteriormente le resulta familiar en su entorno, el siguiente paso más rápido es conocer cómo la gestión de navegadores seguros sin agentes aborda esta cuestión.
Visite el página del producto «Skyhigh Secure Browser Controls» para ver cómo funciona esta funcionalidad, cómo se implementa a través de su plataforma SSE actual y cuál es el alcance de la cobertura en los dispositivos gestionados, los dispositivos BYOD y los terminales de los contratistas.
También puede solicitar una demostración personalizada de los controles de navegación segura de Skyhigh.
Sobre el autor

Sarang Warudkar es un experimentado director de marketing de productos con más de 10 años de experiencia en ciberseguridad, experto en alinear la innovación técnica con las necesidades del mercado. Aporta una profunda experiencia en soluciones como CASB, DLP y detección de amenazas basada en IA, impulsando estrategias de salida al mercado impactantes y el compromiso de los clientes. Sarang posee un MBA por el IIM de Bangalore y una licenciatura en ingeniería por la Universidad de Pune, combinando una visión técnica y estratégica.
Sarang Warudkar July 15, 2026
Stuart Bayliss y Sarang Warudkar 25 de junio de 2026
Sarang Warudkar 17 de junio de 2026
Sarang Warudkar y Stuart Bayliss 21 de mayo de 2026
Sarang Warudkar 19 de mayo de 2026