Según el informe de finales de 2025 de UpGuard, casi el 90 por ciento de los profesionales de seguridad utilizan herramientas de inteligencia artificial no autorizadas en el lugar de trabajo. Los responsables de hacer cumplir las políticas de seguridad, según admiten ellos mismos, lo ignoran. Más del 80 por ciento de los trabajadores en todos los roles utilizan IA sin licencia, y los ejecutivos son los peores infractores.
Hemos estado aquí antes. Hace una década, la batalla giraba en torno a la TI en la sombra: cuentas personales de Dropbox, aplicaciones SaaS no autorizadas, datos que fluyen a través de herramientas que nunca pasaron una revisión de seguridad. La mayoría de las organizaciones finalmente lograron controlarlo con CASB, herramientas de descubrimiento y alternativas mejor aprobadas.
Pero esos manuales asumían que las herramientas eran tuberías tontas: movían y almacenaban datos, y la solución era la visibilidad de hacia dónde iban. La IA en la sombra no funciona de esa manera, porque las herramientas de IA no solo almacenan sus datos, sino que los procesan y, en algunos casos, los retienen.
El artículo continúa a continuación.
Director de Compromiso con el Cliente en Resilience.
En términos de cumplimiento, esto crea exposiciones que se agravan con el tiempo si no se abordan: no hay acuerdos de procesamiento de datos, no hay políticas de retención documentadas y no hay capacidad para responder a las solicitudes de acceso de los sujetos del RGPD o demostrar a los auditores que los datos confidenciales permanecen dentro de los límites regulatorios.
El coste de la IA en la sombra es mensurable. Una investigación reciente de Netwrix indica que las organizaciones con altos niveles de uso no autorizado de IA experimentan costos de violación de datos que son, en promedio, $670 000 más altos que aquellas con un uso bajo.
Y prohibir la IA no soluciona el problema: Software AG descubrió que el 46 por ciento de los empleados continuaría usando herramientas no autorizadas incluso después de una prohibición clara. Las sanciones sólo impulsan el comportamiento clandestino.
Hay otro coste que no aparece en el informe de incumplimiento. Cuando los empleados dependen de modelos no autorizados para análisis, redacción o generación de código, nadie verifica lo que se devuelve. Los datos alucinados culminan en sesiones informativas ejecutivas.
El código defectuoso se envía a producción porque el modelo que lo escribió nunca fue validado según los estándares de la organización. Los equipos legales redactan el lenguaje utilizando herramientas que nadie ha revisado para cumplir con las normas.
La precisión de los propios resultados de la organización se erosiona con el tiempo y, como las herramientas no están autorizadas, los equipos que las utilizan han creado flujos de trabajo que la empresa no puede ver, auditar ni reemplazar si la herramienta cambia sus términos o se cierra mañana.
De chatbots a agentes autónomos
Todo lo anterior describe a los trabajadores que utilizan la IA como herramienta: escribir un mensaje, obtener una respuesta, pegar en algún lugar. La próxima ola es diferente. Los sistemas de IA agentes no esperan indicaciones. Toman medidas: leen el correo electrónico, ejecutan código, acceden a archivos, encadenan tareas, todo con el permiso del usuario.
OpenClaw, el agente de inteligencia artificial de código abierto que acumuló 145.000 estrellas de GitHub en una semana, muestra hacia dónde se dirige. Como herramienta de productividad, es impresionante. Como superficie de ataque, Cisco la ha calificado de pesadilla de seguridad.
Cuando el equipo de investigación de seguridad de IA de Cisco probó la extensión comunitaria mejor clasificada en el repositorio de habilidades de OpenClaw, descubrieron que en realidad era malware: enviaba datos silenciosamente a un servidor controlado por el atacante a través de comandos de shell integrados mientras usaba inyección rápida para eludir las pautas de seguridad del agente.
Esta habilidad se ha descargado miles de veces. Fue una de al menos 230 extensiones maliciosas cargadas en repositorios en las semanas desde que OpenClaw se volvió viral. Kaspersky encontró 512 vulnerabilidades en una sola auditoría, ocho de las cuales eran críticas. El gobierno chino lo prohibió del sistema.
OpenClaw es una plataforma, pero el patrón (amplio acceso al sistema, complementos de origen comunitario, seguridad predeterminada débil) es la dirección en la que se dirige todo el departamento. Gartner predice que el 40 por ciento de las aplicaciones empresariales tendrán agentes de IA para tareas específicas para finales de este año, frente al cinco por ciento en 2025.
Estos agentes rompen las suposiciones hechas por la mayoría de las herramientas de seguridad. Un agente de envío de correo electrónico parece idéntico al usuario legítimo. EDR ve tráfico normal.
No hay archivos binarios maliciosos que marcar. Y debido a que los agentes procesan contenido externo (correos electrónicos, páginas web, documentos, imágenes), los adversarios pueden incorporar instrucciones en ese contenido y secuestrar el comportamiento de los agentes sin que un humano haga clic.
Los investigadores ya han demostrado un único correo electrónico malicioso que podría provocar que un agente transfiriera claves privadas desde una máquina host.
Lo que realmente funciona
Las prohibiciones generales fracasan. Está muy claro en los datos. Lo que funciona le da a la gente algo mejor que usar. Un sistema de salud que reemplazó su prohibición de la IA con herramientas autorizadas experimentó una reducción del 89 por ciento en el uso no autorizado.
La gente recurre a la IA en la sombra porque resuelve problemas reales más rápido de lo que ha aprobado TI. Si se cierra esa brecha, la mayoría de los comportamientos riesgosos desaparecerán por sí solos.
Más allá de eso, trate las interacciones de la IA como transferencias de datos. Aplique la política DLP cuando se le solicite. Clasificar a qué modelos externos no se debe acceder.
Genere visibilidad sobre las herramientas que los empleados utilizan realmente: la investigación de Blackfog sugiere que el 99 por ciento de las organizaciones actualmente no tienen forma de medir la actividad de la IA en la sombra en sus entornos.
Para la IA agente, el listón debe ser más alto. Las herramientas autónomas requieren espacio aislado, acceso con privilegios mínimos y una verificación adecuada de cada extensión antes de la implementación.
Los equipos de seguridad necesitan un monitoreo integrado para las amenazas nativas de la IA (inyección rápida, compromiso de la cadena de suministro a través de capacidades maliciosas, fugas de credenciales a través de la memoria del agente) porque las herramientas de endpoint heredadas no están diseñadas para detectar ninguna de ellas.
Sin embargo, nada de esto sirve como ejercicio policial. La gobernanza debe sentirse como un servicio para los empleados, no como una restricción que se les impone. Las empresas que lo resuelvan estarán en una posición más fuerte. Aquellos que todavía fingen que no es su problema ya están atrás: sus datos han estado saliendo del edificio durante meses, un mensaje a la vez.
Hemos presentado los mejores cursos de ciberseguridad en línea.
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
