Imagina que estás atascado con la redacción de un informe para tu empresa, o necesitas un borrador rápido para un email delicado. Abres ChatGPT, pegas unos párrafos del documento interno de tu empresa para que la IA los resuma o los mejore y, en segundos, obtienes la respuesta perfecta. Productividad a tope. Pero, ¿te has preguntado dónde van a parar esos datos corporativos que acabas de copiar y pegar?

Esta es la puerta de entrada a un nuevo desafío de seguridad en el entorno laboral: la fuga descuidada de información sensible a través de las herramientas de Inteligencia Artificial Generativa, como ChatGPT. La IA ha acelerado nuestra capacidad de crear, producir y diseminar información y datos, pero a cambio, ha abierto una brecha silenciosa en la confidencialidad de las empresas.

Productividad a cambio de seguridad

La adopción de la IA generativa en el entorno laboral ha crecido a un ritmo vertiginoso, superando la capacidad de las empresas para establecer marcos de seguridad. Un estudio reciente—elEnterprise AI and SaaS Data Security Report 2025 de LayerX Security— advierte que hasta el 77% de los empleados ha compartido alguna vez información confidencial de la empresa a través de ChatGPT u otras herramientas de IA. Más de la mitad de las veces que un empleado proporciona datos a estas herramientas para llevar a cabo una tarea, incluye información corporativa sensible.

Las herramientas de IA Generativa se han convertido en el canal principal para la filtración de datos no autorizada, siendo responsables del 32% de todo el movimiento de datos de la empresa al ámbito personal. La principal vía de fuga es el simple acto de copiar y pegar(o cargar archivos). Este proceso manual e“invisible” se salta las medidas tradicionales de prevención de pérdida de datos, cortafuegosy controles de acceso. Además, la mayoría de estas interacciones ocurren fuera del radar de seguridad de la empresa—el 71.6% del acceso a GenAI se realiza a través de cuentas personales—, lo que hace que el problema sea mayor.

Estos datos que se comparten sin querer pueden ser críticos. Se ha encontrado que cerca del 40% de los archivos subidos contienen Información de Identificación Personal(PII) o datos de la industria de tarjetas de pago(PCI), y el 22% del texto pegado incluye información sensible regulada. Para las empresas y organizaciones sujetas a normativas como el RGPD(Reglamento General de Protección de Datos) de la Unión Europea o la HIPAA(Health Insurance Portability and Accountability Act) de Estados Unidos, esta exposición de datos no es solo un descuido, sino una posible exposición a multas y acciones legales por inclumplir la normativa.

El riesgo que corren los empleados al compartir datos en herramientas como ChatGPT se agrava porque la información corporativa sensible introducida puede ser utilizada para entrenar los modelos de lenguaje a gran escala(LLM). Esto significa que los secretos de empresa, proyectos en desarrollo, credenciales o flujos de trabajo internos pueden ser absorbidos por la IA y utilizados en respuestas a otros usuarios en el futuro. La exposición a través del uso de cuentas personales hace que este riesgo sea aún mayor.

Innovación con reglas, un equilibrio necesario

El desafío para las empresas es encontrar el equilibrio entre impulsar la innovación y mantener la confidencialidad. Para protegerse de esta amenaza silenciosa, las compañías necesitan adoptar medidas de seguridad en distintos ámbitos, como por ejemplo:

  • Gobernanza de IA y Políticas Claras: Las empresas deberían establecer directrices internas sobre cómo y dónde se permite compartir la información y aplicar una gestión mantener un registro de todos los recursos y herramientas, evaluar riesgos y hacer cumplir las políticas.
  • Controles de Acceso Centralizados: Aplicar controles de acceso centralizados, como el inicio de sesión único(SSO) y el principio de mínimo privilegio, para todas las herramientas de IA, limitando el acceso a usuarios designados y capacitados.
  • Monitorización de Flujos de Datos: Supervisar los navegadores y endpoints para rastrear el flujo de datos y bloquear el uso no autorizado de IA o las fugas de datos.
  • Formación Continua: Educar a los empleados sobre el uso seguro de la IA, destacando los riesgos asociados al compartir datos y la importancia de la manipulación de prompts(instrucciones).

El riesgo de fuga de datos ya no proviene solo de ataques de phishing o de un almacenamiento mal configurado, sino de la propia forma en que trabajamos con la IA. Para una digitalización verdaderamente sostenible, la confianza en la tecnología debe ir de la mano de la disciplina en su uso, asegurando que el entusiasmo por la productividad no comprometa la información de la empresa.