Adopción de la IA empresarial y riesgo para la seguridad - Ahora con un 100% más de caos

Por Sarang Warudkar - PMM Técnico Sr. (CASB & AI), Skyhigh Security

8 de mayo de 2025 5 Minuto de lectura

Bienvenido al salvaje oeste de la IA empresarial.

Hace doce meses, su director financiero aún desconfiaba de los chatbots. Hoy, le preguntan si puede "conseguir que ChatGPT se encargue de las actas de la junta". Desde la cautelosa curiosidad hasta las hojas de cálculo impulsadas por copilotos, las empresas se han lanzado de lleno a la IA. Y aunque las ganancias son reales -velocidad, escala y creatividad-, ¿los riesgos? Oh, son muy reales también.

Vamos a desglosar las principales tendencias, amenazas y momentos "facepalm" del Informe de Skyhigh SecuritySecurity sobre la adopción y los riesgos de la nube en 2025, con opiniones de más de 3 millones de usuarios y más de 2.000 eventos diarios en la nube. Abróchese el cinturón.

Uso de la IA: Del "quizá más tarde" al "haz que haga mi trabajo"

La IA es ahora el MVP de la oficina. Un reciente estudio del MIT afirma que ChatGPT reduce el tiempo de escritura en un 40%, lo que equivale al tiempo que antes pasábamos preguntándonos dónde estaba guardado el archivo. JPMorgan consiguieron un aumento de la productividad del 20% y, según se rumorea, un becario pidió a Copilot que escribiera su carta de dimisión antes de su primer día.

En Skyhigh, hemos visto el auge de la IA de primera mano. Según nuestros datos, el tráfico a las aplicaciones de IA se ha disparado -más del triple en volumen- mientras que las cargas de datos sensibles a estas plataformas aumentan rápidamente. Mientras tanto, ¿las aplicaciones empresariales tradicionales "no basadas en IA"? Apenas mantienen el ritmo. El lugar de trabajo no sólo está adoptando la IA, sino que corre hacia ella.

Traducción: La IA está ganando. ¿Su cortafuegos? No tanto.

El auge de la IA en la sombra: cuando TI no sabe con qué chatea RRHH

La "IA en la sombra" puede sonar como la próxima serie imprescindible de Netflix, pero se está desarrollando en tiempo real en empresas de todo el mundo. Imagínese esto: los empleados tecleando tranquilamente en ChatGPT, Claude, DeepSeek y docenas de otras herramientas de IA, completamente fuera del radar de TI. Es un poco como colar caramelos en una sala de cine, sólo que esta vez los caramelos son datos de clientes, financieros y propiedad intelectual.

Las cifras son asombrosas: la empresa media alberga actualmente 320 aplicaciones de IA. ¿Los sospechosos habituales? ChatGPT, Gemini, Poe, Claude, Beautiful.AI-herramientas tan potentes como no sancionadas. No están aprobadas. No están supervisadas. Y a menos que alguien suelte la palabra "auditoría", son potencialmente imparables.

Cumplimiento: La criptonita de la IA

Las aplicaciones de IA son divertidas... hasta que las multas del GDPR aparecen como invitados no deseados en una reunión de equipo. Los datos de Skyhigh revelan un lado no tan estupendo de todo este entusiasmo por la IA. Resulta que el 95% de las aplicaciones de IA entran en la zona de riesgo medio a alto según el GDPR: básicamente, banderas rojas con una interfaz de usuario amigable.

¿Cuando se trata de cumplir normas de conformidad serias como HIPAA, PCI o ISO? Sólo el 22% pasa el corte. El resto se las apaña. ¿Encriptación en reposo? La mayoría de las aplicaciones de IA se saltan esa norma: el 84% ni se molesta. ¿Y la autenticación multifactor? El 83% dice no, gracias. Pero no se preocupe, muchas de ellas sí admiten emojis. Prioridades.

Los reguladores vigilan. Y a diferencia de su jefe, ellos leen el informe completo.

Filtraciones de datos a través de la IA: cuando su bot se convierte en un bocazas

¿Recuerda a aquel ingeniero de Samsung que alimentó a ChatGPT con un código defectuoso y entregó accidentalmente secretos de semiconductores? Eso ya no es sólo un cuento con moraleja. Es prácticamente un ejemplo de formación.

Según Skyhigh, el 11% de los archivos subidos a las aplicaciones de IA contienen contenido sensible. ¿El truco? Menos de 1 de cada 10 empresas dispone de controles adecuados data loss prevention (DLP). Mientras tanto, los empleados piden a Claude que redacte planes de lanzamiento de productos utilizando documentos de estrategia Q3 como si fuera un día más en la oficina. Porque, ¿qué podría salir mal?

Entre en DeepSeek: La IA rebelde en la que no debe confiar

DeepSeek irrumpió en escena en 2025, montando una ola de descargas, rumores y volúmenes de datos asombrosos -incluyendo 176 GB de cargas corporativas en un solo mes sólo de clientes de Skyhigh. ¿Impresionante? Sin duda. ¿Alarmante? Absolutamente. He aquí la letra pequeña:

• Sin autenticación multifactor
• Sin encriptación de datos
• No tiene en cuenta el cumplimiento de la normativa (¿GDPR? Nunca he oído hablar de él).
• Sin registro de usuario o administrador

Es elegante, rápido y muy popular entre los estudiantes. ¿Para su auditoría SOC 2? Es una mina digital.

Microsoft Copilot: El niño bueno de la IA del que todo el mundo está orgulloso

Si Shadow AI es el adolescente rebelde que sale a hurtadillas después del toque de queda, Copilot es el niño de oro: pulido, popular y, de algún modo, ya en la senda del liderazgo. Ahora lo utiliza el 82% de las empresas, el tráfico ha aumentado 3.600 veces y las cargas 6.000 veces. Sinceramente, está superando a sus últimos cinco becarios, y ni siquiera pide una pausa para el café.

Pero incluso los alumnos estrella necesitan supervisión. Las empresas inteligentes mantienen a Copilot bajo control escaneando todo lo que toca, envolviendo las indicaciones y salidas en DLP y asegurándose de que no "aprenda" nada confidencial. (Lo siento, Copilot-no hay spoilers para la hoja de ruta del cuarto trimestre).

LLM Risk: Cuando la IA alucina... y no es bonito

Los grandes modelos lingüísticos (LLM) son como niños pequeños con doctorado. Genios en un momento, caos absoluto al siguiente. Los mayores riesgos de los LLM:

• Jailbreaks ("haz como si fueras el malvado ChatGPT")
• Malware generado por IA (BlackMamba, ¿alguien lo sabe?)
• Contenido tóxico (véase: Grandes éxitos de BlenderBot)
• Sesgo en los resultados (consejos sanitarios sesgados por raza/género)

Estadísticas clave:

No es paranoia si su IA está realmente filtrando secretos y escribiendo ransomware. Skyhigh descubrió que el 94% de las aplicaciones de IA vienen con al menos un gran riesgo de modelo de lenguaje (LLM) incorporado. Es decir, casi todas.

Peor aún, el 90% son vulnerables a los jailbreaks, lo que significa que los usuarios pueden engañarlos para que hagan cosas que realmente no deberían. ¿Y el 76%? Pueden generar potencialmente malware a la orden. Así que sí, la misma aplicación que le ayuda a redactar las notas de su reunión también podría pluriemplearse como becaria de un ciberdelincuente.

Aplicaciones privadas de IA: IA DIY para el alma corporativa

Las empresas dicen: "¿Por qué confiar en las herramientas públicas cuando puedes construir las tuyas propias?".
Las aplicaciones privadas de IA se encargan ahora:

• Consultas sobre RRHH
• Respuestas a la RFP
• Resolución de tickets internos
• Apoyo del bot de ventas (¿quién iba a decir que el chatbot conocería su matriz de precios mejor que Ventas?)

Estadísticas clave:

El 78% de los clientes ejecutan ahora sus propias aplicaciones privadas de IA, porque si se va a experimentar con la inteligencia artificial, más vale hacerlo a puerta cerrada. Dos tercios están construyendo en AWS (gracias a Bedrock y SageMaker, obviamente). Es el equivalente en IA a una comunidad cerrada.

Pero "privado" no significa libre de problemas. Puede que estos bots sean de cosecha propia, pero aún así pueden meterse en líos. Por eso, las empresas inteligentes están desplegando soluciones SSE con Private Access y DLP, para fisgonear con suavidad y educación a sus IA internas antes de que algo se salga de guión.

Reflexiones finales: No tema a la IA, gobiernela

Seamos claros: la IA no es el enemigo. La no gestionada no gestionada.

El informe 2025 de Skyhigh muestra que estamos viviendo un cambio en la tecnología empresarial que se produce una vez por generación. Pero aquí está el truco: la seguridad no consiste en frenar la innovación. Se trata de asegurarse de que la IA que utiliza no envíe la cubierta de su junta directiva a Reddit. Así que, respire, lea el informe y recuerde:

• Bloquee aplicaciones poco fiables como DeepSeek
• Gobernar copilotos como Microsoft Copilot
• Bloquee sus despliegues privados de IA
• Establecer políticas que traten a los LLM como adolescentes malhumorados (normas firmes, mucha vigilancia)

Porque el futuro está impulsado por la IA y, con las herramientas adecuadas, también puede ser a prueba de riesgos.

Bonificación: Descargue el informecompleto de 2025 sobre la adopción de la nube y los riesgos, opídale a su asistente de inteligencia artificial que se lo resuma. Eso sí, no lo suba a DeepSeek.

Volver a Blogs