Connect with us

Líderes de opinión

¿Cómo deben abordar las empresas la sobrecarga de aplicaciones de IA?

mm
Published
Updated

Informática no tan personal

Durante años, el desarrollo tecnológico ha estado impulsado por el deseo de hacer que la informática sea más accesible. Desde teléfonos inteligentes hasta tabletas, portátiles y tecnología wearable, hay una tendencia general de hacer que los ordenadores y sus capacidades sean cada vez más personales. Solo considere la nomenclatura de los pilares de la industria: el “Ordenador Personal”, o PC; el “i” Pod, Pad, Teléfono, y más allá. Cada uno de estos dispositivos está diseñado para actuar como un compañero personal, ayudando a simplificar la experiencia digital del usuario, y por extensión, su vida.

El desarrollo de la inteligencia artificial (IA) —particularmente los grandes modelos de lenguaje (LLM) y las soluciones agenticas— está dirigido en gran medida en la misma dirección. Al igual que la PC y el iPhone, las herramientas de IA como ChatGPT han hecho que las actividades de informática como la búsqueda, edición y lluvia de ideas sean más accesibles para el público en general. Pero a medida que esta accesibilidad ha impulsado un mayor uso, también ha aumentado el riesgo.

Ya sea a través de conectores envenenados o indexación de motores de búsqueda no intencional, las amenazas para el uso privado de IA están volviéndose cada vez más difíciles de proteger. Agregue incertidumbres sobre quién está utilizando qué herramientas, y las empresas se enfrentan a una tormenta perfecta de amenazas en crecimiento y protección inadecuada. Dado el potencial de las herramientas de IA y la incertidumbre sobre cómo protegerlas, ¿qué puede hacer una empresa con orientación tecnológica?

El crecimiento de aplicaciones de IA no autorizadas

Con más de 700 millones de usuarios diarios en 2025, el uso de ChatGPT ha crecido más de 4 veces año tras año. Incluso así, solo cinco millones de estos usuarios son clientes comerciales que pagan. Esto hace que los otros 695 millones o así de miembros de su base de usuarios sean usuarios personales o comerciales no autorizados. Este número parece grande hasta que recuerda que ChatGPT no es la única solución de IA en el mercado. De hecho, está lejos de serlo — la explosión contemporánea de IA y avance de aprendizaje automático ha generado cientos de miles de nuevos modelos y soluciones, tanto públicos como privados.

Para las empresas, el crecimiento exponencial de soluciones de IA ha dado lugar a una nueva dimensión del paisaje de amenazas cibernéticas conocida como “IA en la sombra”. Al igual que el fenómeno de “TI en la sombra”, este concepto se basa en el uso de soluciones de IA por parte de los empleados sin la verificación previa y la aprobación expresa de su organización. Esto bypassa completamente toda la supervisión de TI y seguridad, lo que lleva a escenarios en los que los empleados podrían estar utilizando soluciones potencialmente peligrosas o inseguras para trabajo sensible.

El uso de IA en la sombra es tanto generalizado como en expansión. Un informe encontró que más de 320 aplicaciones de IA no autorizadas se están utilizando en promedio por empresa. Cada una de estas aplicaciones no autorizadas, y su uso por parte de los empleados, expande aún más el paisaje de amenazas.

Los riesgos inherentes a la sobrecarga de IA

Las amenazas asociadas con la sobrecarga de IA son multifacéticas y, desafortunadamente, en constante expansión. Algunas, como el envenenamiento de datos, la inyección de comandos, la manipulación de modelos y el raspado de datos, son de conocimiento común. Estos intentos directos de manipulación y explotación de IA pueden permitir que actores maliciosos accedan a datos y sistemas internos sensibles de la empresa. Dado este riesgo, las empresas están comenzando a protegerse activamente contra estos ataques.

Pero las empresas solo pueden protegerse contra las amenazas que conocen. Piense en asegurar un castillo medieval. Las murallas, las torres de vigilancia, las puertas, los fosos y más ayudan a asegurar el castillo contra enemigos y invasores externos. Pero ¿qué pasa si el personal de la cocina tiene un pasaje secreto que bypassa las murallas externas? ¿O un guardia con la boca grande es escuchado discutiendo cambios de turno en la taberna local? Cualquiera de estas amenazas desconocidas podría ayudar a los ladrones a bypassar la seguridad y penetrar en las murallas internas.

IA en la sombra tiene el mismo efecto en la seguridad de los datos de la empresa. Incluso el uso bienintencionado de LLM no autorizados y copilotos puede significar un desastre para la protección de datos sensibles, ya que cualquier solución insegura puede servir como puerta de entrada para actores maliciosos. Cualquier uso de LLM inherente aumenta el riesgo de problemas como la retención de datos, la inyección de comandos o el sesgo de modelos, cada uno de los cuales requiere sus propias medidas de seguridad relevantes. Esto aumenta los riesgos de violaciones de datos, infracciones de cumplimiento y fallos operativos, todos los cuales a menudo solo se identifican después de que ya se ha producido el daño.

Establecer el control sobre las soluciones de IA

A medida que el uso de IA continúa creciendo tanto a nivel personal como empresarial, es crucial que las organizaciones establezcan el control sobre estas soluciones antes de que la adopción crezca más allá de su control. Seguir IA empresarial y protegerse contra los riesgos de IA no autorizados implica:

  1. Obtener visibilidad integral. Como se mencionó, no se puede asegurar los datos contra amenazas que no se conocen. La seguridad comienza con la supervisión en todas las soluciones de IA que los empleados están utilizando —tanto autorizadas como no autorizadas. Esto es más fácil de decir que de hacer, pero una solución de broker de seguridad de acceso a la nube (CASB) puede ayudar a establecer visibilidad continua en el uso de aplicaciones de los empleados.
  2. Realizar evaluaciones de riesgos exhaustivas. Los equipos deben realizar esfuerzos de gestión de riesgos de terceros para asegurarse de que todas las soluciones de IA se evalúen para su seguridad y riesgos potenciales. Estos esfuerzos también deben extenderse al nivel de cuarto partido, ya que incluso las aplicaciones autorizadas como las plataformas de CRM o productividad están comenzando a integrar capacidades de LLM externas en sus plataformas. Estas soluciones de cuarto partido deben cumplir con los mismos estándares de seguridad que cualquier aplicación interna aprobada.
  3. Establecer marcos de gobernanza. Con esta supervisión y comprensión de sus soluciones, las organizaciones pueden desarrollar y desplegar marcos de políticas de gobernanza de IA consistentes en todo su ecosistema de aplicaciones. Al igual que con el acceso a datos, estas políticas de gobernanza pueden ayudar a controlar los tipos de soluciones de IA a las que los empleados pueden acceder, la información que pueden compartir con ellos y la transparencia de su uso diario.
  4. Automatizar la detección de riesgos. El crecimiento exponencial de la adopción de IA hace que la detección y respuesta de riesgos manuales sean casi imposibles. Automatizar estos procesos en función de las políticas de gobernanza y el comportamiento de los usuarios esperados puede ayudar a identificar proactivamente anomalías y limitar su impacto de seguridad más amplio.
  5. Explicar las expectativas de los empleados. La parte más importante de la adopción y uso seguro de IA son los empleados. Proporcionar capacitación adecuada y establecer expectativas claras ayudará a prevenir simultáneamente el uso riesgoso de IA y hacer cumplir el uso seguro y impulsado por el negocio de soluciones autorizadas y protegidas.

Mantener la adopción segura de IA

Al establecer estas medidas de seguridad proactivas, las empresas obtienen una visión más holística de las formas en que están utilizando soluciones de IA —tanto autorizadas como en la “sombra”. Esto tiene un impacto inmediato en la seguridad, ayudando a los equipos a identificar riesgos y vectores de amenazas existentes y a tomar medidas para remediarlos.

Pero lo más importante, sin embargo, es que establece a estas empresas para el éxito a largo plazo de IA. Al crear la base técnica para la adopción segura de IA y una cultura de seguridad entre los usuarios de IA, este enfoque de múltiples facetas ayuda a crear un modelo sostenible para futuras herramientas de IA. Con el apoyo técnico y la capacitación adecuada, los empleados pueden aprovechar los beneficios de IA sin ser obstaculizados por sus riesgos inherentes.

Las organizaciones que realicen estos cambios antes que tarde estarán mejor preparadas para enfrentar el futuro de las soluciones de IA, sea lo que sea que traigan. Al realizar el trabajo de frente para crear una base sólida —en lugar de simplemente marcar la casilla de la adopción de IA—, los equipos estarán en la mejor posición posible para el éxito sostenido impulsado por IA.

Related Topics:
mm

Thyaga Vasudevan es un profesional de software de alta energía que actualmente se desempeña como Vicepresidente Ejecutivo de Producto en Skyhigh Security, donde lidera la Gestión de Producto, Diseño, Marketing de Producto y Estrategias de GTM. Con una gran experiencia, ha contribuido con éxito a la creación de productos en software de empresa basado en SAAS (Oracle, Hightail - anteriormente YouSendIt, WebEx, Vitalect) y en Internet de consumo (Yahoo! Messenger - Voz y Video).

Está dedicado al proceso de identificar los problemas y casos de uso subyacentes de los usuarios finales y se enorgullece de liderar la especificación y el desarrollo de productos y servicios de alta tecnología para abordar estos desafíos, incluyendo ayudar a las organizaciones a navegar el delicado equilibrio entre riesgos y oportunidades. Thyaga ama educar y mentorear y ha tenido el privilegio de hablar en eventos prestigiosos como RSA, Trellix Xpand, MPOWER, AWS Re:invent, Microsoft Ignite, BoxWorks y Blackhat. Prospera en la intersección de la tecnología y la resolución de problemas, con el objetivo de impulsar la innovación que no solo aborda los desafíos actuales, sino que también anticipa las necesidades futuras.