Ir al contenido principal
Volver a Blogs Perspectivas de la industria

Las herramientas de IA han creado una brecha de seguridad que su red no puede detectar. Los controles del navegador la subsanan.

Por Sarang Warudkar - Gestor técnico sénior de marketing de productos

19 de mayo de 2026 4 minutos de lectura

La adopción de la IA generativa ha transformado la seguridad empresarial de formas que muchas organizaciones aún no han abordado. El riesgo no procedía de ataques sofisticados, sino de una pestaña del navegador.

Los empleados pasan gran parte de su jornada en los navegadores, accediendo a registros de CRM, paneles financieros, documentos compartidos y herramientas de inteligencia artificial como ChatGPT, Microsoft 365 Copilot y Gemini. Las mejoras en la productividad son evidentes. Y también lo es el riesgo de exposición.

Las aplicaciones de IA han introducido campos de entrada que permiten que los datos pasen directamente del portapapeles de un empleado a un modelo externo. Las plataformas de mensajería, como Microsoft Teams Web y WhatsApp Web, se basan en conexiones WebSocket persistentes que las herramientas tradicionales de seguridad de red no pueden inspeccionar. Las aplicaciones SaaS modernas también cifran el contenido antes de que llegue al proxy.

El resultado es una categoría cada vez mayor de actividad durante la sesión que los controles de seguridad de red existentes no pueden detectar ni gestionar. Dado que esta actividad tiene lugar dentro del navegador, la protección también debe estar presente allí.

El problema de la visibilidad en el navegador

La inspección de redes tradicional se basa en el tráfico HTTP y HTTPS que pasa por un proxy. Ese modelo funcionó bien durante años, pero dos cambios han añadido nuevas complejidades.

En primer lugar, las aplicaciones SaaS modernas utilizan cada vez más conexiones WebSocket. Aplicaciones como Microsoft Teams, WhatsApp y Microsoft 365 Copilot crean sesiones persistentes en el navegador que eluden la inspección tradicional de los servidores proxy, por lo que los equipos de seguridad pierden visibilidad sobre la actividad de dichas sesiones.

En segundo lugar, las aplicaciones con cifrado de extremo a extremo cifran el contenido antes de que el tráfico llegue al proxy. Las herramientas de seguridad de la red pueden ver la conexión, pero no pueden inspeccionar la carga útil.

Esto genera una actividad en el navegador que queda fuera del alcance de los controles de seguridad existentes.

El riesgo de las acciones cotidianas de los usuarios

La mayoría de los incidentes de filtración de datos no se deben a atacantes sofisticados, sino a acciones rutinarias de los empleados dentro del navegador, como, por ejemplo: copiar y pegar, capturas de pantalla, subidas de archivos y solicitudes a la inteligencia artificial que se producen una vez concedido el acceso.

Los incidentes de exposición de datos más habituales que se producen durante las sesiones siguen un patrón común. Se trata de acciones rutinarias que los empleados realizan durante su trabajo habitual, y que resultan difíciles de detectar o controlar con herramientas que operan en el perímetro de la red.

Algunos ejemplos son:

  • Fuga de información – Un empleado del departamento financiero introduce datos salariales en herramientas de IA como ChatGPT para su resumen. No se produce ninguna descarga de archivos y no se activa ninguna alerta de DLP.
  • Captura de pantalla/Impresión – Un contratista accede a los registros de los clientes a través de una sesión de navegador y realiza una captura de pantalla en un dispositivo personal o intenta imprimir una copia. No existe ningún registro de auditoría.
  • Transferencia mediante el portapapeles – Un empleado copia datos financieros de un panel de control interno a su correo web personal. Los datos nunca pasan por un sistema de archivos.

Estas acciones se producen durante el trabajo habitual y son difíciles de detectar mediante los controles tradicionales.

La IA aporta un sentido de urgencia

La IA generativa ha agravado este problema al crear campos de entrada en el navegador que aceptan cualquier contenido pegado. Los empleados pueden enviar código fuente, información de carácter personal de los clientes, datos financieros, documentos legales o planes de fusiones y adquisiciones a sistemas de IA externos en cuestión de segundos. Un estudio reciente del sector ha revelado que el 41 % de los empleados interactúa habitualmente con herramientas web de IA que carecen de controles de gobernanza que regulen lo que pegan o suben. En la mayoría de las organizaciones, no existe ningún control técnico entre el portapapeles de un empleado y un modelo de IA externo. 

En muchas organizaciones, no existe ningún control técnico entre el portapapeles del empleado y un campo de entrada de IA externo.

La presión para cumplir con la normativa va en aumento

La normativa ya exige medidas de seguridad técnicas para los datos sensibles.

El artículo 32 del Reglamento General de Protección de Datos (RGPD) exige la protección del tratamiento de los datos personales. La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) establece medidas de seguridad para los datos sanitarios. La Ley de Protección de Datos Personales Digitales de la India exige medidas de protección técnicas para los datos personales. La Norma de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) exige controles para los datos de los titulares de tarjetas.

Los auditores se preguntan cada vez con mayor frecuencia qué impide a los empleados copiar datos confidenciales en herramientas de IA externas. Muchas organizaciones carecen de una respuesta técnica clara.

Controles de navegador sin agente: un nuevo enfoque para subsanar esta carencia

El mercado ha desarrollado varios enfoques para la seguridad del navegador durante la sesión. Los navegadores empresariales seguros ofrecen controles exhaustivos durante la sesión al sustituir el navegador que utilizan los empleados por una alternativa corporativa gestionada. Este modelo funciona en entornos estrictamente controlados, pero plantea importantes dificultades de adopción, plazos de implementación de entre tres y seis meses y lagunas estructurales en la cobertura para los dispositivos BYOD y los de los contratistas.

Los controles de seguridad para navegadores sin agentes adoptan un enfoque diferente. Aplican las políticas de protección de datos en las sesiones activas del navegador a través de la infraestructura SSE existente, sin sustituir el navegador, sin instalar agentes en los terminales y sin que los empleados tengan que cambiar su forma de trabajar. La cobertura se extiende por igual a Chrome, Edge, Firefox y Safari en dispositivos gestionados, terminales BYOD y dispositivos de contratistas. La activación se realiza en cuestión de minutos, no de meses.

El resultado son las ventajas de seguridad para el navegador empresarial sin tener que renunciar a la adopción ni asumir los costes que conlleva la sustitución del navegador. El navegador se mantiene. Se introduce la gestión de seguridad.

Qué leer a continuación

Si la actividad durante la sesión descrita anteriormente le resulta familiar en su entorno, el siguiente paso más rápido es conocer cómo la gestión de navegadores seguros sin agentes aborda esta cuestión.

Visite el página del producto «Skyhigh Secure Browser Controls» para ver cómo funciona esta funcionalidad, cómo se implementa a través de su plataforma SSE actual y cuál es el alcance de la cobertura en los dispositivos gestionados, los dispositivos BYOD y los terminales de los contratistas.

También puede solicitar una demostración personalizada de los controles de navegación segura de Skyhigh.

Sobre el autor

Sarang Warudkar

Sarang Warudkar

Gerente técnico sénior de marketing de productos

Sarang Warudkar es un experimentado director de marketing de productos con más de 10 años de experiencia en ciberseguridad, experto en alinear la innovación técnica con las necesidades del mercado. Aporta una profunda experiencia en soluciones como CASB, DLP y detección de amenazas basada en IA, impulsando estrategias de salida al mercado impactantes y el compromiso de los clientes. Sarang posee un MBA por el IIM de Bangalore y una licenciatura en ingeniería por la Universidad de Pune, combinando una visión técnica y estratégica.

Volver a Blogs

Blogs de moda

Perspectivas de la industria

Modernizing Your Symantec Edge Secure Web Gateway With Skyhigh Hybrid SSE Mesh

Sarang Warudkar July 15, 2026

Perspectivas de la industria

Skyhigh Security su evaluación IRAP con el nivel «PROTECTED» para 2026

Sarang Warudkar y Stuart Bayliss 21 de mayo de 2026