Connect with us

El Riesgo de la IA que Nadie Está Vigilando: Exposición de Secretos en Flujos de Trabajo Empresariales

Líderes de opinión

El Riesgo de la IA que Nadie Está Vigilando: Exposición de Secretos en Flujos de Trabajo Empresariales

mm
Published
Updated

La mayoría de las discusiones sobre los riesgos de la IA empresarial comienzan con una preocupación familiar: los empleados que pegan datos de clientes en chatbots. La exposición y la privacidad regulatoria dominan los titulares y las reuniones de la junta, y la investigación de Deloitte muestra que la privacidad y la seguridad de los datos se encuentran entre los principales riesgos de la IA que preocupan a las organizaciones.

Sin embargo, los datos que surgen del uso real de la empresa en el mundo real cuentan una historia diferente. La información sensible más común que fluye hacia las herramientas de IA no es datos personales en absoluto. Son secretos y credenciales.

Las claves de API, los tokens de acceso, los webhooks y los artefactos de autenticación ahora representan la mayor parte de las exposiciones de datos sensibles observadas en las solicitudes de IA. Estas divulgaciones rara vez se deben a la negligencia o a la mala intención y, en cambio, surgen de trabajos de rutina como depurar una integración fallida, solucionar problemas de automatización, probar código o resolver un problema de cliente. A medida que la IA se incorpora a los flujos de trabajo diarios, estos momentos ocurren constantemente y a menudo fuera de la visibilidad de los controles de seguridad tradicionales.

Las consecuencias son claras. A medida que la adopción de la IA se expande, las organizaciones obtienen una imagen más precisa de dónde surgen los riesgos reales, y la gobernanza debe evolucionar para abordarlos.

Un riesgo de exposición de datos de la IA pasado por alto está escondido a la vista

Un análisis reciente de uso de la IA realizado por Nudge Security examinó la telemetría anonimizada en entornos empresariales para comprender cómo se utilizan las herramientas de la IA en el lugar de trabajo. En lugar de confiar en encuestas o informes personales, la investigación analizó la actividad de la IA observada, las integraciones y el comportamiento de las solicitudes en los ecosistemas de SaaS empresariales.

Los hallazgos proporcionan nueva información sobre dónde está surgiendo en realidad el riesgo de la IA en el uso empresarial. Las exposiciones de datos sensibles en las solicitudes de la IA están dominadas por credenciales operativas. Los secretos y las credenciales representan aproximadamente el 48 por ciento de los eventos de datos sensibles detectados, en comparación con el 36 por ciento para los datos financieros y el 16 por ciento para la información relacionada con la salud. Estos patrones sugieren que el desafío de exposición de datos de la IA más significativo no es la fuga de privacidad, sino la dispersión de secretos.

La misma investigación muestra que la adopción de la IA ha ido más allá de la experimentación. Las herramientas de la IA están integradas en los flujos de trabajo, integradas con las plataformas de negocio básicas y cada vez más capaces de tomar acciones autónomas. Los principales proveedores de modelos de lenguaje grande están ahora casi omnipresentes, con OpenAI presente en el 96 por ciento de las organizaciones y Anthropic en el 78 por ciento.

La investigación de McKinsey encuentra que el 88 por ciento de las organizaciones informan un uso regular de la IA en al menos una función empresarial, en comparación con el 78 por ciento del año anterior. Las herramientas de inteligencia de reuniones, las plataformas de codificación asistidas por la IA, los generadores de presentaciones y las tecnologías de voz están ampliamente desplegadas, reflejando cómo la IA se ha expandido desde las interfaces de chat hasta los flujos de trabajo diarios. Esta expansión es importante porque el riesgo sigue al uso. A medida que la IA se incorpora a los entornos de desarrollo, las plataformas de colaboración y los flujos de trabajo de soporte al cliente, se acerca a los sistemas y los datos operativos sensibles.

La adopción también ha sido impulsada desde abajo. Un estudio reciente de KPMG encontró que el 44 por ciento de los empleados utilizan herramientas de la IA de maneras que sus empleadores no han autorizado, reflejando lo rápido que estas herramientas entran en los flujos de trabajo diarios. Los empleados instalan extensiones de navegador, conectan asistentes y experimentan con integraciones para acelerar tareas diarias, a menudo fuera de los procesos de adquisición centralizados. Los analistas de seguridad describen este patrón como shadow AI, en el que las herramientas operan dentro de los navegadores y los flujos de trabajo de SaaS más allá de la visibilidad tradicional de TI. Debido a que estas herramientas se pueden implementar instantáneamente y requieren poco ajuste técnico, los programas de gobernanza construidos alrededor de los procesos de aprobación de proveedores y las políticas de uso aceptable luchan por mantener el ritmo de cómo se introduce y utiliza la IA en toda la empresa.

Por qué los secretos filtrados pueden crear un riesgo operativo inmediato

Los datos personales siguen siendo sensibles y regulados, pero los secretos llevan un impacto operativo inmediato. Una clave de API filtrada puede proporcionar acceso a sistemas de producción. Un token comprometido puede exponer repositorios. Una URL de webhook puede habilitar la automatización no autorizada. Las credenciales frecuentemente aparecen en las solicitudes de la IA durante los flujos de trabajo de rutina. Los desarrolladores pegan tokens en interfaces de chat mientras solucionan problemas de autenticación, los ingenieros pueden compartir fragmentos de configuración para diagnosticar problemas de integración. Estas acciones no son inusuales. Los secretos están incrustados en los flujos de trabajo técnicos y aparecen en registros, scripts, archivos de configuración y resultados de automatización. Cuando los equipos están bajo presión para resolver problemas rápidamente, pueden compartir estos artefactos sin detenerse a considerar qué datos sensibles contienen.

Las interfaces de la IA amplifican este comportamiento. Las solicitudes fomentan el intercambio de contexto. Las cargas de archivos admiten una solución de problemas más rica. Los flujos de trabajo integrados facilitan el movimiento de datos entre sistemas. La investigación de Nudge Security encontró que el 17 por ciento de las solicitudes incluyen actividad de copiar y pegar o cargas de archivos. En este entorno, las credenciales sensibles pueden exponerse en cuestión de segundos.

La gobernanza tradicional pierde el riesgo conductual

Los programas de gobernanza de la IA a menudo se centran en controles formales como políticas y herramientas aprobadas. Este enfoque asume que el riesgo proviene del mal uso o del comportamiento del modelo. En la práctica, las exposiciones más significativas ocurren durante los flujos de trabajo de rutina realizados por empleados bienintencionados.

El panorama de la IA está evolucionando rápidamente, con nuevas tecnologías lanzadas diariamente. A medida que sus empleados buscan la última herramienta, pueden sortear el enfoque tradicional de controles de red porque simplemente no pueden seguir el ritmo. El navegador permite la observación directa del comportamiento contextual, lo que proporciona la flexibilidad necesaria para mantenerse al día con el paisaje en constante evolución del trabajo moderno.

Esta desconexión explica por qué las organizaciones pueden implementar políticas sólidas y aún así experimentar exposiciones de datos sensibles. Las políticas establecen expectativas. El comportamiento determina los resultados. Una gobernanza eficaz requiere visibilidad sobre cómo se utilizan en realidad las herramientas de la IA y barreras que guían decisiones más seguras en el momento en que se comparte los datos.

Las integraciones y los agentes amplían el alcance de la exposición

El perfil de riesgo de una herramienta de la IA está determinado por lo que puede acceder. Las integraciones crean vías de confianza entre sistemas. Los grants de OAuth, los tokens de API y las cuentas de servicio permiten que las herramientas de la IA recuperen documentos, actualicen tickets o interactúen con repositorios de código. La investigación sobre la adopción de la IA empresarial destaca que las integraciones definen efectivamente el alcance de la exposición. Un permiso mal configurado o un token comprometido pueden exponer repositorios de documentos o entornos de desarrollo completos porque las conexiones de confianza permiten el movimiento de datos a velocidad de máquina.

La IA agente introduce una complejidad adicional. Los despliegues iniciales a menudo priorizan la funcionalidad sobre el privilegio mínimo. Los permisos otorgados durante la experimentación pueden persistir mucho después de que los casos de uso iniciales evolucionen. Con el tiempo, estos permisos acumulados crean un riesgo silencioso. Los equipos de seguridad deben tratar las integraciones y los permisos de los agentes como decisiones de acceso duraderas en lugar de comodidades temporales.

Qué deben hacer ahora los equipos de seguridad

Reducir la exposición de secretos en los flujos de trabajo de la IA requiere un cambio de controles reactivo a una gobernanza que refleje cómo sucede el trabajo en realidad. Los líderes de seguridad pueden comenzar con pasos prácticos que mejoran la visibilidad, guían un comportamiento más seguro y reducen la exposición sin frenar la productividad:

  • Mapa dónde ocurren las interacciones de la IA.
    Identifique los entornos donde los datos entran en las herramientas de la IA, incluidas las extensiones del navegador, los entornos de desarrollo, las plataformas de automatización y las interfaces de chat. La visibilidad continua en estos puntos de contacto proporciona la base para una gobernanza eficaz.
  • Intervenga en el momento en que se toman las decisiones.
    Implemente el escaneo de secretos, las solicitudes de redacción y las advertencias en tiempo real que alertan a los usuarios cuando las credenciales o los artefactos sensibles están a punto de compartirse. La orientación oportuna reduce la exposición accidental mientras preserva la velocidad del flujo de trabajo.
  • Aplique la gobernanza de integración con el mismo rigor que las aplicaciones de OAuth.
    Revise las herramientas de la IA conectadas al correo electrónico, los documentos, los sistemas de tickets y los repositorios. Haga cumplir los ámbitos de privilegios mínimos y realice revisiones periódicas de permisos para reducir el riesgo de exposición a largo plazo.
  • Cree flujos de trabajo más seguros para la solución de problemas y el soporte.
    Proporciona plantillas con redacción, conectores seguros y herramientas internas para analizar registros o archivos de configuración para que los equipos puedan utilizar la IA para la resolución de problemas sin exponer credenciales en vivo.
  • Establezca barreras para la automatización basada en agentes.
    Requiera aprobación humana para acciones de alto impacto, registre la actividad del agente de forma centralizada y utilice tokens de acceso con ámbito para prevenir la dispersión de permisos y la automatización no intencional.
  • Base la capacitación en flujos de trabajo reales.
    La educación es más efectiva cuando refleja tareas comunes como depurar integraciones, revisar registros o cargar archivos. Los ejemplos prácticos ayudan a los empleados a reconocer el riesgo en el momento en que surge.

Estas medidas alinean la gobernanza con el trabajo diario, lo que permite a las organizaciones reducir la exposición de secretos mientras apoyan las ganancias de productividad que impulsan la adopción de la IA.

De la política de la IA a la gobernanza del comportamiento de la IA

La IA está evolucionando de una herramienta de productividad a una capa operativa tejida en el trabajo diario, con investigación que muestra los agentes de la IA están ahora incrustados en los flujos de trabajo empresariales y las previsiones proyectan agentes específicos de tareas dentro de una gran parte de las aplicaciones empresariales. A medida que la adopción se profundiza, los riesgos dominantes se extienden más allá de las violaciones de la privacidad o el mal uso del modelo. Surgen de cómo las personas, los permisos y las plataformas se intersectan en flujos de trabajo reales.

La exposición de secretos en las solicitudes de la IA es una señal visible de esta transformación más amplia. Destaca las limitaciones de los controles basados en el perímetro y la gobernanza solo de política y refuerza la necesidad de barreras que operen donde se toman las decisiones. Las organizaciones que se adapten irán más allá de los controles reactivo y hacia modelos de gobernanza basados en el comportamiento real. Tratarán las integraciones y los permisos como relaciones de acceso duraderas. Guiarán a los empleados en el momento de la acción en lugar de confiar únicamente en la aplicación de la política.

La IA está pasando de herramienta a colaborador en el trabajo moderno. Seguir esta colaboración requiere una gobernanza que mantenga el ritmo, protegiendo los datos críticos mientras guía decisiones más seguras y sosteniendo la velocidad y la eficiencia que la IA hace posible.

mm

Russell Spitler es el co-fundador y CEO de Nudge Security, el líder en gobernanza de seguridad de SaaS y AI. Russell tiene más de 20 años de experiencia en la creación de productos y empresas emergentes que protegen a organizaciones en todo el mundo. Antes de Nudge, Russell ocupó puestos de liderazgo en productos, ingeniería y estrategia en AT&T Cybersecurity, AlienVault (adquirida por AT&T Cybersecurity) y Fortify Software. En AlienVault, co-fundó el Open Threat Exchange, la comunidad de inteligencia de amenazas abierta más grande del mundo con más de 370,000 participantes globales hoy en día.