Shadow AI: el uso no supervisado de inteligencia artificial supera la visibilidad corporativa
• El uso de herramientas de inteligencia artificial dentro de las organizaciones avanzó más rápido que la capacidad de control de las áreas de tecnología y ciberseguridad
• 67% de los usuarios de inteligencia artificial generativa en empresas recurre a cuentas personales o herramientas no autorizadas para realizar tareas laborales
• La IA se extendió hacia agentes, automatizaciones y sistemas más complejos integrados a los flujos de trabajo, lo que incrementa los retos de control y obliga a replantear esquemas de seguridad
El uso de herramientas de IA dentro de las empresas avanzó a un ritmo que superó la capacidad de control de muchas áreas de tecnología y ciberseguridad, lo que abrió un nuevo frente de riesgo conocido como Shadow AI. El fenómeno se refiere a la utilización de plataformas de inteligencia artificial por parte de empleados sin supervisión, lineamientos o autorización formal de las empresas.
De acuerdo con estimaciones presentadas por iQSEC, cerca del 67% de los usuarios de IA generativa en entornos corporativos recurre a cuentas personales o herramientas no autorizadas para consultar cuestiones laborales, lo que limita la visibilidad de las organizaciones sobre el manejo real de la información.
La charla entre Alejandro Vergara, AI Orchestration Manager en iQSEC y Adrián Galindo, Cibersecurity Senior Director en Hitachi Vantara, debatió sobre cómo la IA se extendió a un espacio más amplio de herramientas, agentes y automatizaciones que ya operan dentro de los flujos de trabajo corporativos.
Vergara, declaró que la principal preocupación se encuentra en la falta de conocimiento que tienen las organizaciones sobre el uso cotidiano de estas tecnologías. En su experiencia, los empleados adoptan herramientas de IA para mejorar su productividad, sin que exista un inventario claro o mecanismos de control que permitan identificar qué información se comparte con estas plataformas. Lo anterior, se ha intensificado debido a la facilidad de acceso a servicios de IA disponibles en el mercado, lo que ha permitido que incluso usuarios sin perfil técnico integren estas herramientas en tareas diarias como la elaboración de presentaciones, reportes o análisis.
Por su parte, Adrián Galindo, Senior Director Cyber Security de Hitachi Vantara, explicó que el Shadow AI representa un cambio respecto a fenómenos previos como el Shadow IT, ya que su adopción surge desde los propios usuarios. El vocero detalló que este comportamiento responde a una dinámica, donde las herramientas se incorporan primero en niveles operativos y posteriormente escalan hacia la dirección, lo que dificulta su control: “Empieza desde abajo, se implementa, se diversifica en diferentes ámbitos y va hacia arriba. Entonces, por eso no hay un control”, enfatizó el ejecutivo.
Para atender la situación, propusieron un enfoque basado en gobernanza, que permita habilitar el uso de la tecnología bajo esquemas controlados y se enfatizó que la gobernanza de la inteligencia artificial debe construirse sobre visibilidad, políticas y control. Galindo opinó que se requiere establecer estándares internos de uso de inteligencia artificial, así como clasificaciones que permitan distinguir entre casos de uso permitidos y aquellos que implican tratamiento de información sensible.
“ Necesitamos visibilidad para saber qué herramientas se están utilizando hoy por parte de los miembros de una organización, qué está sucediendo, en qué herramientas escogen y cómo las usan”: Alejandro Vergara, AI Orchestration Manager en iQSEC.
Seguido a esto, los especialistas señalaron que el uso de las tecnologías ya no se limita a modelos de lenguaje o asistentes conversacionales; cuando se habla de IA se incluye agentes autónomos, sistemas de recuperación de información y automatizaciones que interactúan directamente con aplicaciones corporativas. Los controles de seguridad requerirán extenderse a estos nuevos entornos, incorporando mecanismos como gestión de accesos, cifrado de datos y autenticación segura.
Para aquellas organizaciones que se encuentren en la fase de madurez, se invitó a que las organizaciones adopten un enfoque progresivo que inicie con la identificación del estado actual, continúe con la clasificación de herramientas y casos de uso, y avance hacia la implementación de un marco de gobernanza estructurado. La táctica, a su vez, requerirá evolucionar hacia esquemas proactivos de monitoreo y prevención, que permitan anticipar riesgos antes de que se materialicen. “Tienes que pasar de un modelo reactivo a un modelo proactivo, con procedimientos para monitorear y detectar antes de que ocurran las situaciones”, señaló Galindo.
“ Empieza desde abajo, se implementa, se diversifica en diferentes ámbitos y va hacia arriba, y en ese momento es cuando la organización se da cuenta de que ya existe el uso de estas herramientas, pero ya no tiene control sobre ello; No es un blanco y negro, va a haber una serie de grises en el cambio, y el reto para las organizaciones es cómo vamos a enfrentarlos sin detener la productividad ni frenar la adopción de la inteligencia artificial”: Adrián Galindo, Senior Director Cyber Security de Hitachi Vantara.
En el cierre, los participantes coincidieron en que la inteligencia artificial es un componente operativo que requiere reglas claras de uso y supervisión constante. Aunado a ello, se concluyó que el reto será garantizar que su adopción ocurra de manera segura y controlada dentro de las empresas.
