Líderes de opinión

Cuando el mal uso de la IA desencadena una crisis corporativa

mm
Publicado el
Actualizado el

La mayoría de las empresas carecen de políticas para prevenir desastres de reputación debido a herramientas de inteligencia artificial

Recientes encuestas revelan que solo alrededor del 30 por ciento de las empresas han establecido políticas de IA. Mientras tanto, el 77 por ciento de los empleados comparten secretos de la empresa en ChatGPT, según el Informe de Seguridad de Datos de IA y SaaS Empresarial de LayerX en 2025. Esta combinación crea condiciones perfectas para crisis de reputación.

La mayoría de las políticas de IA que existen tienden a centrarse en riesgos técnicos y de cumplimiento. Abordan protocolos de seguridad de datos, evaluaciones de proveedores y requisitos regulatorios. Lo que estas políticas a menudo pasan por alto es un desastre de relaciones públicas que puede desarrollarse dentro de horas debido al mal uso de la IA. En Red Banyan, asesoramos a un número creciente de organizaciones a través de crisis relacionadas con la IA, y comenzamos a ver un patrón común. La brecha técnica generalmente se contiene rápidamente, pero el daño a la reputación, las relaciones con los clientes y la confianza de los stakeholders puede persistir durante meses o incluso años.

El problema de la IA en la sombra

La mayor amenaza proviene de lo que los profesionales de la seguridad llaman “IA en la sombra“. Esto se refiere a cuando los empleados utilizan cuentas personales de IA no aprobadas para tareas de trabajo, sorteando los controles de seguridad corporativos. La mayoría de las veces, lo hacen sin darse cuenta completamente de los riesgos.

Según la investigación de Cyberhaven, el 11 por ciento de los datos que los empleados ingresan en ChatGPT son confidenciales. Esa cifra debería alarmar a todos los directores de información y líderes de comunicaciones. Estamos hablando de código fuente, contratos de clientes, hojas de ruta de productos no lanzados, proyecciones financieras y registros de empleados que fluyen hacia sistemas que las organizaciones no controlan.

Cómo ocurre la exposición de datos

Los ingenieros de software pueden recurrir a herramientas de IA como Claude o ChatGPT para depurar o optimizar fragmentos de código. En 2023, ingenieros de software de Samsung hicieron exactamente eso: subieron código fuente interno a ChatGPT mientras intentaban depurar problemas. La filtración de código confidencial obligó a Samsung a implementar restricciones comprehensivas sobre el uso de la IA en todos los departamentos de ingeniería.

Los profesionales de marketing y el personal de RRHH a menudo utilizan la IA para pulir su escritura. Suben borradores de propuestas, documentos de política interna y, a veces, incluso acuerdos de clientes, pidiendo a la IA que mejore la claridad o corrija errores gramaticales. Estos documentos contienen con frecuencia proyecciones financieras, términos legales o planes estratégicos que los competidores encontrarían valiosos.

Los equipos de servicio al cliente que experimentan con herramientas de eficiencia de IA a veces ingresan conversaciones reales de clientes y tickets de soporte. Quieren que la IA resuma las interacciones o sugiera mejores respuestas. Cuando estas entradas incluyen nombres de clientes, información de contacto, detalles de cuenta o historial de compras, la empresa ha violado potencialmente regulaciones de privacidad como GDPR o CCPA.

Los equipos de desarrollo de productos que brainstormean nuevas características pueden describir capacidades no anunciadas a ChatGPT, con la esperanza de que la IA ayude a refinar sus ideas o identifique posibles problemas. Estas descripciones pueden revelar ventajas competitivas, innovaciones tecnológicas o estrategias de mercado que la empresa pretendía mantener confidenciales hasta el lanzamiento.

Toda esta información podría potencialmente ser retenida por grandes modelos de lenguaje y informar respuestas de la IA a otros usuarios en el futuro.

Por ejemplo, después de que el equipo de desarrollo de productos ha descrito su próximo producto a ChatGPT, un competidor o periodista podría preguntar a la herramienta de IA sobre los próximos lanzamientos de esa empresa. ChatGPT podría hacer referencia a la información confidencial que se compartió y revelar un nuevo producto o tecnología que la empresa invirtió considerables recursos en desarrollar.

Cómo se convierte en una crisis de PR

Cuando estos incidentes salen a la luz, rara vez se contienen como problemas de TI. Esto es lo que generalmente sucede:

Se descubre la brecha, a menudo por accidente o a través de una alerta de terceros. TI comienza a investigar mientras intenta evaluar el alcance. Mientras tanto, si el incidente involucra datos de clientes o información regulada, las obligaciones legales requieren divulgación. Una vez divulgado, la cobertura de los medios comienza. Las redes sociales amplifican la historia. Los clientes comienzan a llamar con preocupaciones. Los empleados se preocupan por la seguridad de sus puestos de trabajo y su propia responsabilidad.

Dentro de 24 a 48 horas, lo que comenzó como un incidente técnico se ha convertido en una crisis de reputación completa. La empresa necesita explicar a múltiples audiencias cómo sucedió esto, por qué fallaron los controles y qué se está haciendo para prevenir la recurrencia. Si la empresa no se ha preparado para este escenario, la respuesta es a menudo lenta, inconsistente o defensiva. Cada paso en falso extiende la crisis y profundiza el daño.

Construyendo un marco de respuesta a crisis para incidentes de IA

Los directores de información necesitan asociarse con equipos de comunicaciones y legales para construir protocolos de respuesta a crisis específicamente para incidentes de IA. Los controles técnicos y las políticas son importantes, pero son insuficientes sin un plan para manejar el desastre mediático cuando algo sale mal.

Aquí hay seis pasos accionables para comenzar este proceso:

  1. Establecer caminos de escalada claros. Cuando se descubre una exposición de datos relacionada con la IA, ¿quién se notifica de inmediato? TI, Legal, Comunicaciones y la alta dirección deben estar involucrados rápidamente. Cree un árbol de decisión que determine cuándo activar los protocolos de crisis en función del tipo y la sensibilidad de los datos expuestos.
  2. Desarrollar plantillas de respuesta. Pre-draftee declaraciones de retención y documentos de preguntas y respuestas para escenarios comunes de errores de IA. Estos deben abordar el mal uso de los empleados, problemas de seguridad de los proveedores y la exposición accidental de datos. Tener plantillas listas permite respuestas más rápidas y consistentes cuando el tiempo es crítico.
  3. Capacitar a los portavoces. Los ejecutivos y el personal de comunicaciones necesitan capacitación en medios específicamente enfocada en cómo discutir incidentes de IA. La tecnología es compleja y llena de jerga, lo que podría ser difícil de navegar cuando se responden preguntas de los stakeholders.
  4. Monitorear señales de alerta temprana. El monitoreo de redes sociales debe incluir palabras clave relacionadas con su organización y herramientas de IA. A veces, la primera indicación de un problema proviene de un empleado que publica en LinkedIn o un cliente que se queja en Twitter sobre una respuesta generada por IA.
  5. Realizar simulacros de crisis. Ejercicios de mesa que recorren un escenario de exposición de datos de IA ayudan a los equipos a entender sus roles e identificar lagunas en el plan de respuesta. Estos simulacros deben involucrar a TI, Legal, Comunicaciones, RRHH y liderazgo ejecutivo.
  6. Construir relaciones antes de necesitarlas. Establezca conexiones con firmas de comunicaciones de crisis, expertos en ciberseguridad que puedan proporcionar validación de terceros y asesoramiento legal experimentado en cuestiones relacionadas con la IA. Cuando se produzca una crisis, querrá tener asesores de confianza que puedan movilizarse de inmediato.

El camino hacia adelante

La brecha entre la adopción de la IA y la gobernanza de la IA continúa creciendo. Los empleados tienen acceso fácil a herramientas poderosas que pueden crear riesgos de reputación significativos. Los directores de información tradicionalmente se han centrado en el lado tecnológico de la gestión de riesgos de la IA. Sin embargo, la dimensión de reputación de los incidentes de IA requiere igual atención y preparación.

La pregunta no es si su organización enfrentará una crisis relacionada con la IA. Dada la tasa actual de adopción y la prevalencia de la IA en la sombra, la pregunta es cuándo. Las empresas que se preparen ahora, con políticas que abordan tanto los riesgos técnicos como los de reputación, soportarán mejor estos incidentes que aquellas que son sorprendidas sin preparación.

mm

Vlad Drazdovich es Vicepresidente de Mejora del Rendimiento y Análisis en Red Banyan, una agencia de comunicaciones estratégicas y gestión de crisis. Como parte de su función, Vlad asesora en estrategia de inteligencia artificial corporativa y supervisa las implementaciones de tecnología basada en inteligencia artificial en la empresa.