Durante años, los líderes de seguridad han tratado la inteligencia artificial como una tecnología «emergente», algo a lo que hay que prestar atención pero que aún no es de misión crítica. Un nuevo informe de seguridad de datos SaaS y IA empresarial elaborado por la empresa de seguridad de navegadores y IA LayerX demuestra cuán obsoleta se ha vuelto esa mentalidad. Lejos de ser una preocupación futura, la IA ya es el mayor canal no controlado para la filtración de datos corporativos, más grande que el SaaS en la sombra o el intercambio de archivos no administrado.
Los hallazgos, extraídos de la telemetría de navegación empresarial del mundo real, revelan una verdad contradictoria: el problema con la IA en las empresas no son las incógnitas del mañana, sino los flujos de trabajo cotidianos de hoy. Los datos confidenciales ya están fluyendo hacia ChatGPT, Claude y Copilot a un ritmo asombroso, principalmente a través de cuentas no administradas y canales invisibles de copiar y pegar. Las herramientas DLP tradicionales, creadas para entornos autorizados basados en archivos, ni siquiera apuntan en la dirección correcta.
De «emergente» a esencial en un tiempo récord
En solo dos años, las herramientas de inteligencia artificial han alcanzado niveles de adopción que tardaron décadas en lograrse por correo electrónico y reuniones en línea. Casi uno de cada dos empleados empresariales (45%) ya utiliza herramientas de IA generativa, y solo ChatGPT alcanza una penetración del 43%. En comparación con otras herramientas SaaS, la IA representa el 11% de toda la actividad de aplicaciones empresariales, rivalizando con las aplicaciones de intercambio de archivos y productividad de oficina.
¿El giro? Este crecimiento explosivo no ha estado acompañado de gobernabilidad. En cambio, la gran mayoría de las sesiones de IA ocurren fuera del control empresarial. El 67% del uso de la IA se produce a través de cuentas personales no administradas, lo que deja a los CISO ciegos sobre quién usa qué y qué datos fluyen hacia dónde.
Los datos confidenciales están en todas partes y se están moviendo en el sentido equivocado
Quizás el hallazgo más sorprendente y alarmante es la cantidad de datos confidenciales que ya fluyen hacia las plataformas de IA: el 40% de los archivos cargados en las herramientas GenAI contienen datos PII o PCI, y los empleados utilizan cuentas personales para casi cuatro de cada diez de esas cargas.
Aún más revelador: los archivos son sólo una parte del problema. El verdadero canal de fuga es copiar y pegar. El 77% de los empleados pegan datos en herramientas GenAI y el 82% de esa actividad proviene de cuentas no administradas. En promedio, los empleados realizan 14 pegados por día a través de cuentas personales, y al menos tres contienen datos confidenciales.
Eso hace que copiar y pegar en GenAI sea el vector número uno para que los datos corporativos abandonen el control empresarial. No es sólo un punto ciego técnico; es cultural. Los programas de seguridad diseñados para escanear archivos adjuntos y bloquear cargas no autorizadas pasan por alto por completo la amenaza de más rápido crecimiento.
El espejismo de la identidad: corporativo ≠ seguro
Los líderes de seguridad a menudo asumen que las cuentas «corporativas» equivalen a un acceso seguro. Los datos demuestran lo contrario. Incluso cuando los empleados utilizan credenciales corporativas para plataformas de alto riesgo como CRM y ERP, evitan abrumadoramente el SSO: el 71 % de los inicios de sesión de CRM y el 83 % de los de ERP no están federados.
Esto hace que un inicio de sesión corporativo sea funcionalmente indistinguible de uno personal. Ya sea que un empleado inicie sesión en Salesforce con una dirección de Gmail o con una cuenta corporativa basada en contraseña, el resultado es el mismo: sin federación, sin visibilidad, sin control.
El punto ciego de la mensajería instantánea
Si bien la IA es el canal de fuga de datos de más rápido crecimiento, la mensajería instantánea es el más silencioso. El 87% del uso del chat empresarial se produce a través de cuentas no administradas y el 62% de los usuarios pegan PII/PCI en ellas. La convergencia de la IA en la sombra y el chat en la sombra crea un doble punto ciego donde los datos confidenciales se filtran constantemente a entornos no monitoreados.
En conjunto, estos hallazgos pintan un panorama sombrío: los equipos de seguridad están centrados en los campos de batalla equivocados. La guerra por la seguridad de los datos no está en los servidores de archivos ni en el SaaS autorizado. Es en el navegador, donde los empleados combinan cuentas personales y corporativas, cambian entre herramientas autorizadas y ocultas y mueven datos confidenciales con fluidez entre ambas.
Repensar la seguridad empresarial para la era de la IA
Las recomendaciones del informe son claras y poco convencionales:
- Trate la seguridad de la IA como una categoría empresarial central, no como una categoría emergente. Las estrategias de gobernanza deben poner la IA a la par del correo electrónico y el intercambio de archivos, con monitoreo de cargas, indicaciones y flujos de copiar y pegar.
- Cambie de DLP centrado en archivos a DLP centrado en acciones. Los datos salen de la empresa no solo a través de la carga de archivos, sino también a través de métodos sin archivos, como copiar/pegar, chatear e inyección rápida. Las políticas deben reflejar esa realidad.
- Restrinja las cuentas no administradas y aplique la federación en todas partes. Las cuentas personales y los inicios de sesión no federados son funcionalmente iguales: invisibles. Restringir su uso, ya sea bloqueándolos por completo o aplicando políticas rigurosas de control de datos contextuales, es la única forma de restaurar la visibilidad.
- Priorizar categorías de alto riesgo: IA, chat y almacenamiento de archivos. No todas las aplicaciones SaaS son iguales. Estas categorías exigen los controles más estrictos porque son a la vez de alta adopción y alta sensibilidad.
El resultado final para los CISO
La sorprendente verdad que revelan los datos es la siguiente: la IA no es sólo una revolución de la productividad, es un colapso de la gobernanza. Las herramientas que más aman los empleados son también las menos controladas, y la brecha entre la adopción y la supervisión se amplía cada día.
Para los líderes de seguridad, las implicaciones son urgentes. Esperar a tratar la IA como «emergente» ya no es una opción. Ya está integrado en los flujos de trabajo, transporta datos confidenciales y sirve como principal vector de pérdida de datos corporativos.
El perímetro empresarial se ha desplazado nuevamente, esta vez hacia el navegador. Si los CISO no se adaptan, la IA no solo dará forma al futuro del trabajo, sino que dictará el futuro de las filtraciones de datos.
El nuevo informe de investigación de LayerX proporciona el alcance completo de estos hallazgos, ofreciendo a los CISO y a los equipos de seguridad una visibilidad sin precedentes sobre cómo se utilizan realmente la IA y SaaS dentro de la empresa. Basándose en la telemetría del navegador del mundo real, el informe detalla dónde se filtran datos confidenciales, qué puntos ciegos conllevan el mayor riesgo y qué medidas prácticas pueden tomar los líderes para proteger los flujos de trabajo impulsados por la IA. Para las organizaciones que buscan comprender su verdadera exposición y cómo protegerse, el informe ofrece la claridad y la orientación necesarias para actuar con confianza.
