Durante años, los líderes de seguridad han tratado la inteligencia artificial como una tecnología «emergente», algo que hay que vigilar pero que aún no es de misión crítica. ¿Un nuevo Informe de seguridad de datos de SaaS e IA empresarial de la empresa de inteligencia artificial y seguridad de navegadores LayerX demuestra lo anticuada que se ha vuelto esa mentalidad. Lejos de ser una preocupación futura, la IA ya es el principal canal incontrolado para la filtración de datos corporativos, más grande que el SaaS en la sombra o el intercambio de archivos no gestionado.

Los hallazgos, extraídos de la telemetría de navegación empresarial del mundo real, revelan una verdad contradictoria: el problema de la IA en las empresas no son las incógnitas del mañana, sino los flujos de trabajo diarios de hoy. Los datos confidenciales ya llegan a ChatGPT, Claude y Copilot a un ritmo asombroso, principalmente a través de cuentas no administradas y canales invisibles de copiar y pegar. Las herramientas tradicionales de DLP, creadas para entornos autorizados y basados en archivos, ni siquiera van en la dirección correcta.

De lo «emergente» a lo esencial en un tiempo récord

En solo dos años, las herramientas de inteligencia artificial han alcanzado niveles de adopción que tardaron décadas en alcanzar el correo electrónico y las reuniones en línea. Casi uno de cada dos empleados empresariales (el 45%) ya utiliza herramientas de inteligencia artificial generativa, y solo ChatGPT alcanza el 43% de penetración. En comparación con otras herramientas de SaaS, la IA representa el 11% de toda la actividad de las aplicaciones empresariales, lo que compite con las aplicaciones para compartir archivos y aumentar la productividad en la oficina.

¿El giro? Este crecimiento explosivo no ha ido acompañado de una gobernanza. En cambio, la gran mayoría de las sesiones de IA tienen lugar fuera del control empresarial. El 67% del uso de la IA se produce a través de cuentas personales no administradas, lo que hace que los CISO no sepan quién usa qué y qué datos fluyen hacia dónde.

Los datos confidenciales están en todas partes y se mueven en sentido contrario

Quizás el hallazgo más sorprendente y alarmante sea la cantidad de datos confidenciales que ya están fluyendo hacia las plataformas de IA: el 40% de los archivos cargados en las herramientas GenAI contienen datos PII o PCI, y los empleados utilizan cuentas personales para casi cuatro de cada diez de esas subidas.

Aún más revelador: los archivos son solo una parte del problema. El verdadero canal de filtración es copiar y pegar. El 77% de los empleados pegan datos en las herramientas de GenAI, y el 82% de esa actividad proviene de cuentas no administradas. De media, los empleados pegan 14 veces al día a través de cuentas personales, y al menos tres contienen datos confidenciales.

Esto convierte a copiar y pegar en GenAI en el vector #1 para que los datos corporativos dejen el control empresarial. No es solo un punto ciego técnico; es un punto ciego cultural. Los programas de seguridad diseñados para analizar los archivos adjuntos y bloquear las subidas no autorizadas evitan por completo la amenaza que crece con mayor rapidez.

El espejismo de la identidad: corporativo y seguro

Los líderes de seguridad suelen suponer que las cuentas «corporativas» equivalen a un acceso seguro. Los datos demuestran lo contrario. Incluso cuando los empleados utilizan credenciales corporativas para plataformas de alto riesgo, como CRM y ERP, eluden por abrumadora mayoría el SSO: el 71% de los inicios de sesión de CRM y el 83% de los de ERP no están federados.

Esto hace que un inicio de sesión corporativo sea funcionalmente indistinguible de uno personal. Ya sea que un empleado inicie sesión en Salesforce con una dirección de Gmail o con una cuenta corporativa basada en una contraseña, el resultado es el mismo: sin federación, sin visibilidad y sin control.

El punto ciego de la mensajería instantánea

Si bien la IA es el canal de filtración de datos de más rápido crecimiento, la mensajería instantánea es el más silencioso. El 87% del uso del chat empresarial se produce a través de cuentas no administradas, y el 62% de los usuarios pegan PII/PCI en ellas. La convergencia de la inteligencia artificial en las sombras y el chat paralelo crea un doble punto ciego en el que los datos confidenciales se filtran constantemente a entornos no supervisados.

En conjunto, estos hallazgos muestran un panorama sombrío: los equipos de seguridad se centran en los campos de batalla equivocados. La guerra por la seguridad de los datos no se basa en los servidores de archivos ni en el SaaS autorizado. Está en el navegador, donde los empleados combinan cuentas personales y corporativas, cambian entre herramientas autorizadas y ocultas, y transfieren datos confidenciales con fluidez entre ambas.

Repensar la seguridad empresarial para la era de la IA

Las recomendaciones del informe son claras y poco convencionales:

  1. Trate la seguridad de la IA como una categoría empresarial central, no como una categoría emergente . Las estrategias de gobernanza deben equiparar la IA con el correo electrónico y el intercambio de archivos, supervisando los flujos de carga, solicitud y copiado y pegado.
  2. Cambie de una DLP centrada en archivos a una centrada en la acción. Los datos salen de la empresa no solo a través de la carga de archivos, sino también a través de métodos sin archivos, como copiar y pegar, chatear e insertar rápidamente. Las políticas deben reflejar esa realidad.
  3. Restrinja las cuentas no administradas y aplique la federación en todas partes. Las cuentas personales y los inicios de sesión no federados son funcionalmente iguales: invisibles. La única forma de recuperar la visibilidad es restringir su uso, ya sea bloqueándolas por completo o aplicando políticas rigurosas de control de datos que tengan en cuenta el contexto.
  4. Priorice las categorías de alto riesgo : IA, chat y almacenamiento de archivos. No todas las aplicaciones SaaS son iguales. Estas categorías exigen los controles más estrictos porque son tanto de alta adopción como de alta sensibilidad.

El resultado final para los CISO

La sorprendente verdad que revelan los datos es la siguiente: la IA no es solo una revolución de la productividad, es un colapso de la gobernanza. Las herramientas que más gustan a los empleados también son las menos controladas, y la brecha entre la adopción y la supervisión se amplía día a día.

Para los líderes de seguridad, las implicaciones son urgentes. Esperar a tratar a la IA como algo «emergente» ya no es una opción. Ya está integrada en los flujos de trabajo, ya contiene datos confidenciales y ya es el principal vector de pérdida de datos corporativos.

El perímetro empresarial se ha desplazado de nuevo, esta vez hacia el navegador. Si los CISO no se adaptan, la IA no solo moldeará el futuro del trabajo, sino que también dictará el futuro de las filtraciones de datos.

El nuevo informe de investigación de LayerX proporciona el alcance completo de estos hallazgos, ofreciendo a los CISO y a los equipos de seguridad una visibilidad sin precedentes sobre cómo se utilizan realmente la IA y el SaaS en la empresa. Basándose en la telemetría de los navegadores del mundo real, el informe detalla dónde se filtran los datos confidenciales, qué puntos ciegos conllevan el mayor riesgo y qué medidas prácticas pueden tomar los líderes para proteger los flujos de trabajo impulsados por la IA. Para las organizaciones que buscan entender su verdadera exposición y cómo protegerse, el informe ofrece la claridad y la orientación necesarias para actuar con confianza.

¿Te ha parecido interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.