La inteligencia artificial está transformando los entornos corporativos, agilizando procesos y automatizando tareas. Sin embargo, su implementación, sin los controles adecuados, representa un riesgo creciente para las empresas.
De acuerdo con el Security Report Iberia 2025 de Check Point Software, entre el 97 % y el 99 % de las empresas ya utilizan herramientas basadas en inteligencia artificial, y un 90 % está priorizando inversiones en IA generativa para reforzar su ciberseguridad. No obstante, los ciberdelincuentes también están aprovechando estas tecnologías para lanzar ataques masivos, altamente personalizados y difíciles de detectar. Correos de phishing automatizados y malware adaptable son solo algunas de las amenazas que la IA ha potenciado en 2025.
No obstante, los riesgos no solo vienen del exterior. El uso inadecuado de estas herramientas dentro de las organizaciones puede derivar en fugas de información confidencial, errores operativos, pérdidas reputacionales y consecuencias legales de gran calado.
Entre los riesgos más comunes detectados destacan:
- Fuga de datos confidenciales: empleados que introducen en herramientas como ChatGPT información sensible como contratos, estrategias de negocio o código fuente, exponiendo así datos a modelos públicos sin las garantías adecuadas.
- Uso de cuentas personales y versiones gratuitas: al no contar con suscripciones corporativas, muchos trabajadores recurren a cuentas propias o versiones abiertas que carecen de políticas de trazabilidad y seguridad, comprometiendo la confidencialidad.
- Automatización sin supervisión: la generación de informes, decisiones o comunicaciones sin revisar los resultados generados por IA puede conllevar errores graves, sesgos o divulgación de datos sensibles.
- Prompts inseguros: usuarios que, bajo una falsa sensación de privacidad, incluyen nombres, claves o rutas internas en sus consultas a modelos públicos, exponiendo información crítica.
El almacenamiento y procesamiento de datos corporativos por parte de plataformas como Copilot o Gemini, sin versiones empresariales adecuadas, podría considerarse una externalización sin control. Además, el crecimiento del fenómeno conocido como Shadow IT —el uso de tecnologías sin aprobación del departamento de seguridad o del DPO (Data Protection Officer)— agrava el problema, al dificultar la supervisión y el cumplimiento normativo.
Otro riesgo importante es el entrenamiento inadecuado de modelos con información sensible sin el aislamiento adecuado, lo que puede provocar que los sistemas de IA revelen datos a través de prompts específicos. Los cibercriminales ya están explotando técnicas como la prompt injection para extraer información confidencial, saltándose restricciones de seguridad en los modelos.
El uso indebido de la IA puede derivar en fugas de propiedad intelectual, reutilización no autorizada por terceros y graves incumplimientos legales y éticos, especialmente si se utilizan datos de clientes sin consentimiento, violando normativas como el RGPD, DORA o NIS2.
Las empresas que no protejan adecuadamente la información pueden enfrentarse a sanciones millonarias. En casos de negligencia o falta de auditoría interna sobre el uso de IA, las compañías pueden ser responsables frente a clientes, accionistas o autoridades regulatorias. Además, si un empleado utiliza la IA con fines maliciosos y no existían controles activos, la empresa incluso podría enfrentar consecuencias penales.
Para minimizar estos riesgos, los expertos recomiendan:
- Establecer políticas claras sobre el uso de IA en el entorno laboral.
- Implementar soluciones de ciberseguridad con capacidades de monitoreo y protección frente al uso indebido de IA.
- Formar a los empleados sobre buenas prácticas y peligros asociados.
- Utilizar únicamente versiones empresariales de herramientas de IA que cumplan con las normativas de privacidad y seguridad.
«La IA debe utilizarse de forma segura y controlada. No basta con implementar estas herramientas; es imprescindible auditar su uso, controlar su entrenamiento y garantizar que no se conviertan en una puerta abierta a amenazas internas o externas», afirma Rafael López, ingeniero de seguridad en Check Point Software.
