La inteligencia artificial (IA) se ha convertido en una aliada para miles de organizaciones. Automatiza tareas, resume documentos, analiza reportes y agiliza procesos que antes tomaban horas. Sin embargo, detrás de esa eficiencia existe un elemento que pocos le prestan atención: los datos. La IA no funciona sola ni por arte de magia; necesita ser alimentada constantemente con información. Y es ahí donde surge una gran paradoja: cuanto más útil se vuelve, más dependiente es de datos que pueden considerarse frágiles y sensibles.
Existe la creencia generalizada de que la IA es una tecnología autónoma que opera de manera independiente. Pero en realidad, el factor humano es quien la nutre, la entrena y define lo que debe llevar a cabo. Son las personas quienes introducen información en los sistemas, quienes formulan las preguntas y quienes cargan documentos para obtener respuestas más rápidas. Por tanto, los posibles riesgos no se encuentran solamente en la tecnología, sino también en el comportamiento de los usuarios.
Imaginemos un escenario común. Un colaborador solicita a un motor de IA que resuma una minuta, analice un reporte financiero o revise un extracto confidencial; con la intención de trabajar de forma más eficiente, comparte datos que pueden ser estratégicos o reservados. En ese momento, quizá sin advertirlo, está entregando información sensible a una plataforma cuyo funcionamiento interno no siempre es completamente visible para él.
La IA tiene la capacidad de correlacionar, unir y procesar grandes volúmenes de información. Cuando un usuario comparte datos, normalmente elimina cualquier barrera de protección como contraseñas o restricciones. Una vez dentro del sistema, esa información comienza a ser procesada para generar resultados y, en muchos casos, para seguir aprendiendo. Así es como se puede perder el control sobre los datos. No se trata de un robo en el sentido tradicional, sino de una entrega voluntaria que puede terminar en una fuga de información.
Ausencia de controles
Este fenómeno se agrava porque, en la mayoría de los casos, la entrega de datos carece de controles de seguridad claros. No siempre existen lineamientos definidos sobre qué tipo de información puede compartirse con herramientas de IA y cuál no. Por ello, resulta fundamental establecer un gobierno alrededor de IA que no sólo regule la tecnología, sino también el comportamiento humano en su uso cotidiano.
Actualmente, a la IA se le describe como una “memoria infinita”. En términos llanos, esto significa que está aprendiendo de manera constante. Cada interacción, cada documento cargado y cada consulta contribuyen a fortalecer su capacidad de respuesta. Pero esa memoria también implica responsabilidad.
Los usuarios están alimentando una estructura que aprende protocolos, lineamientos y flujos de trabajo. Si se introducen datos sensibles sin criterio, esos datos pueden formar parte de un ecosistema más amplio del que ya no se tiene control directo.
Responsabilidad compartida
Además, persisten muchos vacíos en torno al uso de la llamada “Shadow IA”, es decir, el uso informal o no regulado de herramientas de inteligencia artificial dentro de las organizaciones. La IA puede percibirse como una caja negra: parece mágica por su velocidad y precisión, pero su funcionamiento interno y la ubicación exacta del almacenamiento de datos no siempre son claros para los usuarios. Esto genera una falsa sensación de seguridad.
Es cierto que, en muchos casos, nunca se sabrá con exactitud dónde se almacenan físicamente todos los datos procesados por un sistema de IA. Sin embargo, lo que sí debemos entender es que la responsabilidad es compartida. Así como ocurrió con la adopción de la nube, el riesgo y la gestión de la información se distribuyen entre proveedores y usuarios. No se trata de señalar a un solo actor, sino de encontrar un punto de equilibrio.
Los proveedores de soluciones de IA pueden establecer sus propios esquemas de gobierno y medidas de seguridad para reducir riesgos. Pero las organizaciones también deben asumir su parte. Si ocurre una exposición de datos, la responsabilidad no recaerá únicamente en la tecnología; también se evaluará el uso que hicieron los empleados y la existencia, o ausencia, de políticas claras. De ahí la importancia de que áreas como la de seguridad de la información, encabezadas por el CISO, impulsen un gobierno interno de IA que establezca límites y responsabilidades.
Gobierno, un elemento esencial
En el mundo real, algunas empresas han optado por restringir el uso de la IA como medida preventiva. Sin embargo, este enfoque resulta cada vez más obsoleto. La revolución tecnológica actual impulsa inevitablemente la integración de la IA en diversas industrias. Prohibir su uso no detiene su avance; simplemente lo traslada a esquemas informales y menos controlados.
Por ello, el gobierno de IA se vuelve esencial para el cumplimiento regulatorio. Cada sector debe alinearse a normas y marcos específicos, considerando los riesgos derivados del uso de estas tecnologías. Incluso, algunas organizaciones ya han creado áreas internas dedicadas exclusivamente a gestionar la IA, integrando aspectos de ciberseguridad, cumplimiento y gestión de riesgos. Esto demuestra que el tema ha dejado de ser experimental para convertirse en estratégico.
Un nuevo caballo de Troya
No obstante, aún son pocas las empresas que integran de manera formal los motores de IA en su marco de protección de la información. Paradójicamente, mientras se invierte en herramientas de prevención de fuga de datos, se deja una puerta abierta a través de la IA. Así, la inteligencia artificial puede convertirse en un nuevo “caballo de Troya” que comprometa la integridad de los datos sin que nadie lo advierta a tiempo.
En este contexto, el modelo de Zero Trust cobra especial relevancia. La filosofía de “cero confianza” parte de una premisa sencilla: no confiar automáticamente en ningún usuario o sistema, incluso si se encuentra dentro de la red corporativa. Aplicado a la IA, significa validar identidades, verificar permisos y limitar accesos antes de permitir el intercambio de información. Tanto los fabricantes de tecnología como las organizaciones usuarias deben incorporar este enfoque para reducir riesgos.
Otro problema es la falta de una estrategia clara de ciberseguridad orientada específicamente a la IA. Muchas empresas hablan de comités, foros y políticas, pero aún no existe un norte definido. El interés es positivo y representa un primer paso importante. Sin embargo, se requiere avanzar hacia lineamientos concretos que indiquen qué se puede compartir, cómo se clasifica la información y qué controles deben activarse al interactuar con sistemas de inteligencia artificial.
En este proceso de madurez, se identifican tres enfoques principales.
- Primero, ampliar la visión en materia de ciberseguridad para identificar riesgos asociados a colaboradores, proveedores y la tecnología misma.
- Segundo, evolucionar los marcos de protección existentes, como los sistemas de prevención de fuga de datos (DLP), para integrarlos al ecosistema de IA, tanto en la nube como dentro de la organización.
- Y tercero, establecer un gobierno de IA sólido que defina límites, beneficios y riesgos, fomente una cultura de responsabilidad y garantice el cumplimiento regulatorio.
El poder de los datos
La inteligencia artificial representa una oportunidad extraordinaria para transformar la manera en que trabajamos. Pero su verdadero poder reside en los datos que la alimentan, los cuales pueden ser frágiles. Protegerlos no significa frenar la innovación, sino acompañarla con responsabilidad. La clave radica en comprender que la seguridad de la información en la era de la IA es una tarea compartida entre proveedores, organizaciones y usuarios.
Mediante un gobierno claro, una cultura de ciberseguridad y un enfoque de Zero Trust será posible la “memoria infinita” de la IA sin comprometer el activo más valioso de cualquier organización: sus datos.
