Menú
Sábado, 06 de Septiembre de 2025
Diario de Economía de la Región de Murcia
OPINIÓNCómo la IA está destruyendo empresas sin que ellas lo sepan, hasta ahora
  • Buscar
Sábado, 06 de Septiembre de 2025
Diario de Economía de la Región de Murcia

DIARIO DE ECONOMÍA DE LA REGIÓN DE MURCIA

Aquilino García

Cómo la IA está destruyendo empresas sin que ellas lo sepan, hasta ahora


"No debe exigirse que el sistema sea secreto y debe poder caer en manos de un enemigo sin inconvenientes". – Auguste Kerckhoffs

 

La pasada semana, visitando a un cliente, observé cómo gran parte de los empleados usaban ChatGPT, DeepSeek, Gemini y otros modelos de IA Generativa sin control del área de IT de la compañía. Existen guías sobre el uso de redes sociales o aplicaciones como Reddit, Telegram o Whatsapp, pero no sobre el uso de la IA. Hablando con el CTO, me decía que no había tenido tiempo, pero no tenía reportes de la Dirección sobre el uso de esas herramientas. Ante la falta de acción, inacción. Los problemas que se pueen provocar son diversos, desde la fuga de datos valiosos, datos personales, procedimientos o protocolos internos confidenciales, espionaje industrial, ataques dirigidos a través de la IA …

 

[Img #9498]

 

La inteligencia artificial (IA) ofrece enormes ventajas potenciales: automatiza tareas repetitivas, acelera el análisis de datos y potencia la innovación. Sin embargo, su uso descontrolado, usar modelos de terceros en la nube o no tener medidas de uso concretos, puede suponer grandes riesgos de todo tipo para las empresas, principalmente las PYMEs por su gran vulnerabilidad.

 

Este artículo intenta examinar y concienciar con detalle varias de esas preocupaciones, desde riesgos de privacidad y fugas corporativas hasta amenazas geopolíticas y ciberataques, para orientar al profesional con evidencia técnica y ejemplos reales.

 

Riesgos para la privacidad

 

Los sistemas de IA dependen de grandes volúmenes de datos, lo que plantea inquietudes sobre qué información personal recolectan o infieren.

 

Recientemente, reguladores como la italiana y la canadiense han cuestionado a OpenAI por presuntas violaciones de privacidad:

 

  • Italia prohibió ChatGPT por incumplir normas de protección de datos de los usuarios

 

  • En Canadá se abrió una investigación por supuestamente usar información personal sin consentimiento. De hecho, las políticas de OpenAI indican que las conversaciones de los usuarios -incluyendo texto, imágenes y archivos enviados al sistema- pueden utilizarse para entrenar y mejorar los modelos subyacentes.

 

Esto significa que nada de lo compartido con la IA se guarda como secreto. Además, las entradas de chat pueden ser accesibles para empleados o contratistas de la empresa de IA por motivos de seguridad o desarrollo.

 

En la práctica, estos mecanismos a veces resultan en respuestas sorprendentes.

 

  • El periodista Jonathan Fielding preguntó a ChatGPT qué sabía sobre él, y el modelo respondió con una biografía completa, identificándolo como destacado experto en salud pública con múltiples cargos en la Universidad de California. En realidad, Fielding había sido funcionario público y profesor; ChatGPT simplemente rescató información pública de su entrenamiento. Pero para quienes no lo sabían, la respuesta de la IA resultó inquietante: ilustra cómo un modelo de IA puede inferir datos personales (en ese caso, datos profesionales del propio usuario) sin haber sido explícitamente informado. En síntesis, aunque la IA no lee la mente, puede combinar fuentes públicas y conversaciones previas para responder a preguntas sensibles, lo que confirma que debemos ser cautelosos al darle datos propios.

 

Peligros por compartir documentos profesionales

 

La facilidad de uso de las IA generativas ha tentado a muchos profesionales a subir informes, planes o código de sus empresas para ahorrar tiempo. Empero, esto puede suponer una fuga de información confidencial.

 

Imagina que subes un PDF con la estrategia comercial anual de tu empresa, que contiene análisis de la competencia y detalles de productos por lanzar. ChatGPT procesará ese documento y te dará un resumen útil, pero al mismo tiempo habrá recibido información estratégica clave de tu compañía que tu cpmpetencia pagaría por ella. Como explica un caso de Xataka, esa misma información podría caer “en manos equivocadas” si no se toman precauciones  (xataka.com).

 

OpenAI advierte en su política de uso que no debemos compartir contenidos privados, pero también reconoce explícitamente que puede utilizar todo lo ingresado (indicaciones, respuestas, imágenes, archivos) para mejorar el modelo. Y peor aún: una vez que los datos confidenciales están en los servidores de la IA, ingenieros autorizados o proveedores del servicio pueden revisarlos y usarlos, incluso con terceros. Estas creando puestos de trabajo en EEUU o China y destruyéndo (pronto) en tu pais.

 

Empresas tecnológicas líderes han comprobado estos riesgos en carne propia.

 

En 2023, Samsung Electronics prohibió el uso de ChatGPT entre su personal después de que un ingeniero subiera por error código fuente interno a la plataforma. La compañía temía que esa información sensible, alojada en servidores externos (de OpenAI, Microsoft, etc.), no pudiera borrarse fácilmente y acabara filtrándose a terceros.

 

Amazon urgió a sus desarrolladores a no compartir fragmentos de código interno con ChatGPT, tras detectar que las respuestas del chatbot incluían partes muy parecidas a datos propios de la empresa.

 

Recuerda: subir sin control documentos estratégicos a herramientas externas puede equiparar a entrenar, sin querer, a competidores, destruyendo ventajas competitivas. Para evitarlo, algunas firmas han optado por versiones corporativas de IA que prometen no usar los datos de sus conversaciones para entrenamiento, y por limitar qué información se ingresa a estos sistemas.

 

También en la consultoría se documentan casos de fuga de datos al usar IA.

 

Un informe de Palo Alto Networks halló que el 14 % de los incidentes de seguridad recientes en empresas están vinculados al uso de IA generativa, atribuible en gran parte a la ausencia de controles.

 

En promedio, cada organización detectó 66 aplicaciones de IA en su red, muchas de ellas operando fuera del radar de TI. Este fenómeno de la “Shadow AI”, donde empleados utilizan ChatGPT u otras IA sin permiso formal, facilita que información crítica termine expuesta (directivosyempresas.com). El resultado es la multiplicación de fugas inadvertidas, incumplimientos normativos y posibles robos de propiedad intelectual se estan multiplicando.

 

Riesgos geopolíticos y laborales

 

La irrupción de la IA es también un tema de geopolítica y mercado laboral.

 

En el plano global, la carrera tecnológica entre potencias implica que países dependientes puedan quedar rezagados o forzados a alinearse. Analistas señalan que la rivalidad entre Estados Unidos y China podría obligar a naciones atrapadas entre ambas potencias a elegir un ecosistema de IA u otro, convirtiendo la tecnología en un arma política. Empresas que entrenan sus sistemas con infraestructuras o datos locales en China podrían exponer conocimientos clave si la legislación o la cadena de suministro impiden revertir esa dependencia.

 

En definitiva, depender de la IA extranjera puede exportar know-how y destruir empleo interno en industrias vulnerables. En Hispanoamérica, por ejemplo, se advierte que la región corre el riesgo de convertirse mayormente en proveedora de recursos naturales y mano de obra para la cadena global de IA, en lugar de desarrollar soluciones propias. Esta “dependencia tecnológica” perpetuaría desigualdades y profundizaría la pérdida de empleos locales ante el avance de la automatización dictada por potencias con grandes inversiones en IA.

 

IA como herramienta de ataque

 

Las propias capacidades de la IA se han vuelto herramientas en manos de delincuentes informáticos.

 

Positive Technologies describe en un informe interno, cómo los atacantes utilizan IA generativa para recopilar en segundos datos de sus víctimas, crear campañas de phishing hiperrealistas (correos electrónicos, llamadas de audio o deepfakes de vídeo), generar código malicioso e identificar rápidamente vulnerabilidades en sistemas específicos.

 

En la práctica, ya se han visto abusos concretos: cibercriminales usan IA para automatizar la escritura de scripts de malware y para escanear software en busca de fallos de seguridad.

 

Dada la facilidad de acceso a estas herramientas, organismos como Europol advierten que los atacantes están perfeccionando estas técnicas para facilitar intrusiones a gran escala. En resumen, la IA potencia la ofensiva cibercriminal aumentando la velocidad y la sofisticación de los ataques.

 

Este escenario exige que los equipos de seguridad se adapten urgentemente. Además de reforzar los controles básicos (segmentar redes, aplicar parches y monitorear actividad inusual), se recomienda usar IA defensiva para analizar la propia infraestructura: por ejemplo, entrenar sistemas en ataques simulados o aplicar análisis de comportamiento anómalo en tiempo real. También es clave educar al personal para que reconozca intentos de phishing basados en IA. En definitiva, la IA es un arma de doble filo: sirve para mejorar la ciberdefensa, pero sólo si nos anticipamos a su uso malicioso y reforzamos nuestras barreras.

 

Falta de estrategia en las empresas

 

Muchas organizaciones aún no han establecido una gobernanza clara para el uso de la IA. La consecuencia es que los empleados experimentan libremente con herramientas generativas, generando riesgos ocultos.

 

Palo Alto Networks cita que las empresas gestionan en promedio unas 6,6 aplicaciones de IA generativa de alto riesgo sin supervisión, comprometiendo la confidencialidad y dificultando la trazabilidad de los datos. Estos usuarios no autorizados de IA (el llamado “Shadow AI”) suelen ser desarrolladores o analistas que buscan eficiencia, pero acaban exponiendo datos sensibles.

 

El resultado: se multiplican las fugas inadvertidas, los incumplimientos regulatorios (p.ej. GDPR) y la exposición a contenido malicioso. Además, los equipos de desarrollo, seducidos por asistentes de código basados en IA, pueden introducir nuevas inseguridades: estudios de seguridad destacan que herramientas como GitHub Copilot a veces devuelven fragmentos de código con vulnerabilidades conocidas, e incluso pueden filtrar secretos (por ejemplo, claves de API) con los que fueron entrenadas. En esta carrera caótica sin límites ni supervisión, los departamentos de TI quedan desbordados, incapaces de controlar cada chat o código generado, y el resultado puede ser más daño que beneficio si no se establecen reglas claras.

 

Recomendaciones y reflexiones finales

 

Para equilibrar los beneficios de la IA con la seguridad, las empresas deben adoptar un enfoque proactivo, crear procedimientos de uso claros y ofrecer soluciones internas, que eviten exponer datos confidenciales. Actualmente estamos trabajando con nuestros clientes en ofrecer ese tipo de soluciones explotando internamente modelos open source, con entrenamientos a medida de las empresas, soslayando los riesgos de los modelos en la nube.

 

Algunas de las medidas son:

 

  • Definir políticas internas de IA: especificar qué datos e informaciones se pueden compartir con herramientas externas y capacitar al personal. Por ejemplo, instruir a los empleados a no incluir información confidencial en chats de IA.

 

  • Controles técnicos y supervisión: implementar soluciones de prevención de pérdida de datos (DLP) y monitoreo de tráfico para detectar el uso no autorizado de IA. Herramientas de seguridad especializada pueden alertar cuando aplicaciones no corporativas acceden a información sensible.

 

  • Usar versiones empresariales de IA: según el propio OpenAI, las ediciones ChatGPT Enterprise y Team no utilizan las conversaciones para entrenar sus modelos y cifran los datos en tránsito y reposo. Desactivar la opción “Mejorar el modelo” en las versiones estándar impide que las conversaciones alimenten el entrenamiento de la IA.

 

  • Formación de desarrolladores: enseñar a los equipos de ingeniería a revisar la seguridad del código generado por IA, aplicar análisis estático/dinámico y evitar incluir secretos en los prompts. Auditar periódicamente el código ayuda a detectar y corregir vulnerabilidades generadas inadvertidamente.

 

  • Promover talento e innovación local: reducir la dependencia tecnológica invirtiendo en investigación y desarrollo propios. Desarrollar capacidades locales (p. ej. formación en IA, ensamblaje de chips) es la mejor defensa contra la pérdida de autonomía y empleo.

 

  • Seguir regulaciones y guías externas: estar al día con las recomendaciones de organismos (UE, OEA, etc.) para garantizar que la adopción de IA cumpla estándares éticos y de seguridad. La armonización regulatoria ayuda a mantener un terreno de juego seguro.

 

La IA es tan aliada como los controles que le apliquemos. Con una estrategia robusta de gobernanza y formación, las organizaciones pueden aprovechar su potencial para aumentar productividad, mientras minimizan la exposición a fugas de información, dependencia externa y nuevas formas de ataque.

 

La clave está en la concienciación y la preparación: la IA no es intrínsecamente enemiga, pero sin límites ni supervisión puede volverse un peligro real.

 

Linkedin: Aquilino García

Artículos de opinión relacionados

Aquilino García
Aquilino García
Portmaster: firewall y privacidad en Windows 11. Vete de veraneo con seguridad
Aquilino García
Aquilino García
Riesgos de privacidad con Amazon Alexa: El Espía en casa
Con tu cuenta registrada

Escribe tu correo y te enviaremos un enlace para que escribas una nueva contraseña.

Volver a acceder