Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > Adopción de IA por el Gobierno del Reino Unido: Riesgos ocultos y brechas expuestas

Adopción de IA por el Gobierno del Reino Unido: Riesgos ocultos y brechas expuestas

by Marc ten Eikelder updated marzo 2, 2026 Gestión de Riesgos de Ciberseguridad
Reading Time: 12 minutes

El gobierno del Reino Unido ha establecido una de las agendas de IA más ambiciosas del mundo. Estrategias nacionales de DSIT y la Oficina del Gabinete. Un Centro Digital de Gobierno. Un Playbook de IA. Un recién anunciado Centro de Habilidades en IA que promete formación gratuita a gran escala. Sobre el papel, el Reino Unido está haciendo todo bien.

En la práctica, la realidad es muy diferente.

Aspectos clave

  1. La IA en la sombra crece en el gobierno del Reino Unido — y nadie tiene visibilidad. A nivel global, el 64% de los empleados públicos en entornos con poca habilitación usan accesos personales para IA en el trabajo, y el 70% utiliza IA sin que su responsable lo sepa. Dos de cada cinco funcionarios británicos no tienen claro ni siquiera para qué pueden usar la IA, lo que crea las condiciones para un uso descontrolado de IA en la sombra — poniendo en riesgo los datos de los ciudadanos, sin trazabilidad ni capacidad de respuesta ante incidentes.
  2. El Reino Unido ocupa el sexto lugar de 10 países a pesar de su ambición de IA de primer nivel. El Reino Unido obtuvo 47 de 100 puntos en el Public Sector AI Adoption Index — por delante de EE. UU. (45), Alemania (44) y Japón (43), pero muy por detrás de Singapur (58), India (58) y Arabia Saudita (66). La brecha no es la estrategia ni la intención. Es la ejecución: convertir la ambición nacional en un uso cotidiano y seguro de la IA por parte de los funcionarios de primera línea.
  3. Más de la mitad de los funcionarios británicos no ha recibido ninguna formación en IA. Aunque el Reino Unido obtuvo 51/100 en educación — sexto en el índice — el 54% de los empleados públicos británicos afirma no haber recibido formación en IA. De quienes sí la han recibido, el 75% dice que la IA es fácil de usar, lo que demuestra que la formación funciona. El problema es que la mayoría nunca la recibe.
  4. La adopción está impulsada desde abajo, no por el liderazgo organizacional. En el Reino Unido, la adopción de IA depende de la curiosidad individual y el apoyo entre compañeros, no de una estrategia organizacional. El 46% de los funcionarios señala la falta de una dirección clara desde el liderazgo, y los colegas en el trabajo son la principal fuente de aprendizaje sobre IA — por encima de la formación formal o las directrices oficiales.
  5. La integración es la puntuación más baja del Reino Unido — y la más importante. El Reino Unido obtuvo solo 42/100 en integración, lo que significa que la IA sigue dependiendo de la iniciativa local y no de un apoyo sistémico. En el índice, el 61% de los trabajadores en entornos con alta integración reportan beneficios por el uso avanzado de IA, frente a solo el 17% donde la integración es baja. Hasta que la IA se integre en los flujos de trabajo diarios, las mejoras de productividad quedarán limitadas a los primeros adoptantes.

El Public Sector AI Adoption Index 2026, publicado por Public First para el Center for Data Innovation con el patrocinio de Google, encuestó a 3.335 empleados públicos en 10 países — incluidos 345 en el Reino Unido. El Reino Unido ocupa el sexto lugar de diez, con una puntuación de 47 sobre 100. Esto lo sitúa en la mitad de la tabla, por detrás de Arabia Saudita (66), Singapur (58), India (58), Sudáfrica (55) y Brasil (49).

Para un país con este nivel de ambición estratégica y fortaleza en el ecosistema de IA, no es suficiente. Y los datos sugieren que el problema no es lo que dice Whitehall sobre la IA — es que el mensaje no llega a quienes más lo necesitan.

Las cifras que deberían preocupar a cualquier CISO gubernamental

El índice mide cómo experimentan la IA los empleados públicos en cinco dimensiones: entusiasmo, educación, habilitación, empoderamiento e integración. En el Reino Unido, los resultados muestran una fuerza laboral consciente del potencial de la IA pero sin las herramientas, formación ni permisos necesarios para aprovecharla:

  • Entusiasmo: 47/100 — octavo de 10. Solo el 43% de los empleados públicos británicos se siente optimista sobre la IA en el sector público, y apenas el 39% describe la IA como empoderadora.
  • Educación: 51/100 — la puntuación más alta del Reino Unido, pero engañosa. El 54% de los funcionarios afirma no haber recibido ninguna formación en IA. De los que sí la han recibido, el 75% considera que la IA es fácil de usar — demostrando que la formación funciona cuando existe.
  • Empoderamiento: 49/100 — alrededor de 2 de cada 5 empleados públicos no tiene claro para qué puede usar la IA, y el 46% afirma que los líderes no dan directrices claras sobre su uso.
  • Habilitación: 47/100 — existen herramientas, pero el acceso es desigual entre departamentos y a menudo no se ajusta a las necesidades cotidianas.
  • Integración: 42/100 — el uso de IA sigue dependiendo de la iniciativa local y no de un apoyo sistémico. Solo el 17% afirma usar IA para tareas avanzadas o técnicas.

El 63% de los funcionarios británicos dice saber «poco» o «nada» sobre IA. Más de 2 de cada 5 no se siente seguro usando herramientas de IA. Solo el 38% cree que la IA se utiliza eficazmente en su equipo.

Estas no son las cifras de una fuerza laboral que rechaza la IA. Son las cifras de una fuerza laboral que ha tenido que arreglárselas sola.

El problema de la IA en la sombra a plena vista

Este es el hallazgo del índice global que los responsables de seguridad del gobierno británico deben afrontar.

En entornos con baja habilitación, el 64% de los trabajadores entusiastas de la IA usa accesos personales en el trabajo, y el 70% utiliza IA para tareas laborales sin que su responsable lo sepa.

La puntuación de habilitación del Reino Unido es de 47/100. Su puntuación en empoderamiento — que mide si los empleados se sienten autorizados y claros sobre lo permitido — es de 49/100. Aproximadamente 2 de cada 5 funcionarios no sabe para qué puede usar la IA. Ese es exactamente el entorno donde prospera la IA en la sombra.

Piénsalo en la práctica para los departamentos gubernamentales británicos. Funcionarios usando cuentas personales de ChatGPT o Gemini para redactar documentos de políticas, resumir expedientes o analizar conjuntos de datos con información ciudadana. Datos sensibles — incluida información protegida por el RGPD británico y la Ley de Protección de Datos de 2018 — que potencialmente se cargan en modelos públicos de lenguaje, sin trazabilidad, sin controles de clasificación de datos y sin posibilidad de determinar qué se expuso después. Decisiones basadas en resultados de IA que no han sido revisados por precisión, sesgo o idoneidad. Y posibles violaciones de obligaciones de protección de datos sin evidencia forense para evaluar el alcance.

La ironía es clara. Los departamentos que intentan ser cautelosos con la IA restringiendo el acceso o guardando silencio sobre los permisos no están evitando su uso. Lo están empujando a la clandestinidad — creando mucho más riesgo que aquellos que proporcionan herramientas aprobadas con directrices claras de uso.

Aquí es donde la conversación debe pasar de «¿debemos permitir la IA?» a «¿cómo habilitamos la IA de forma segura?». Soluciones como Secure MCP Server de Kiteworks representan la infraestructura que puede cerrar esta brecha — permitiendo productividad con IA a través de herramientas como Claude, ChatGPT y Copilot, manteniendo los datos sensibles dentro de la red privada. Los marcos de gobernanza existentes (RBAC/ABAC) se extienden a todas las interacciones con IA, cada operación de IA se registra para cumplimiento y forense, y el contenido confidencial nunca sale del entorno de confianza. Para las organizaciones gubernamentales británicas, el alineamiento con el RGPD británico, la Ley de Protección de Datos de 2018 y marcos como los Principios de Seguridad en la Nube del NCSC significa que estas protecciones se ajustan directamente a las obligaciones de cumplimiento existentes.

La alternativa — confiar en que el silencio y la cautela impedirán el uso de IA — es una fantasía que este índice ha desmontado con datos contundentes.

La brecha de traducción: ambición de Whitehall vs. realidad en la primera línea

El gobierno británico no ha estado inactivo respecto a la IA. DSIT y la Oficina del Gabinete han situado la IA en el centro de la modernización del servicio público. El Playbook de IA ofrece directrices centrales. El recién anunciado Centro de Habilidades en IA busca ampliar la formación gratuita en IA. Hay una intención real de ir más allá de los pilotos y equipos especializados hacia un uso cotidiano y generalizado.

Pero el índice revela una desconexión clara entre esa intención nacional y la experiencia de los funcionarios de primera línea.

Mientras el 60% de los empleados públicos británicos afirma que el uso de IA ha aumentado en el último año, la adopción sigue limitada principalmente a tareas básicas como redacción y análisis. Menos de uno de cada tres usa IA para mejorar flujos de trabajo, y solo el 17% reporta utilizarla para tareas avanzadas o técnicas. El Reino Unido tiene una alta conciencia del potencial de la IA — la mayoría dice que es fácil de usar (60%), eficaz (52%) y que puede ahorrar tiempo (66%) — pero muchos menos han experimentado esos beneficios en su trabajo diario.

La diferencia clave entre el Reino Unido y los países más avanzados no es la tecnología. Es la infraestructura de confianza.

En Singapur, el 73% de los empleados públicos tiene claro para qué puede y no puede usar la IA, y el 58% sabe exactamente a quién acudir cuando tiene un problema. Las agencias centrales proporcionan plataformas compartidas, herramientas aprobadas y directrices prácticas. En Arabia Saudita, una estrategia nacional de arriba abajo vinculada a Vision 2030 ha hecho que la IA se perciba como modernización y no como riesgo, con un 65% accediendo a herramientas de IA a nivel empresarial y un 79% usándola para tareas avanzadas. En India, el 83% es optimista respecto a la IA y el 59% quiere que cambie radicalmente su trabajo diario.

En el Reino Unido, en cambio, la adopción está impulsada desde abajo — por la curiosidad individual y el apoyo entre compañeros, no por el impulso organizacional. Los colegas en el trabajo son la principal vía por la que los funcionarios británicos aprenden sobre IA, por encima de la formación formal o las directrices oficiales. Ese entusiasmo orgánico es valioso, pero no sustituye a la habilitación sistémica.

La capa que falta: gobernanza de datos de IA para el gobierno británico

El reto del Reino Unido no es solo la formación o el mensaje del liderazgo. Es la ausencia de una infraestructura de gobernanza de datos que permita un uso seguro de la IA a escala.

La mayoría de los departamentos gubernamentales británicos no tiene visibilidad sobre qué datos se comparten con sistemas de IA. ¿Qué funcionarios usan IA y para qué? ¿Si los resultados generados por IA contienen información confidencial que no debería compartirse externamente? ¿Cómo aplicar políticas de clasificación de datos cuando intervienen herramientas de IA? Para la mayoría, la respuesta honesta es «no lo sabemos».

Aquí es donde los marcos de gobernanza de datos de IA son esenciales — no como barrera para la adopción, sino como la base que permite una adopción segura. Las capacidades de administración de la postura de seguridad de datos (DSPM) pueden descubrir y clasificar datos confidenciales en todos los repositorios, incluidos los que se cargan en sistemas de IA. La aplicación automatizada de políticas puede bloquear datos privilegiados o confidenciales para que no sean ingeridos por IA según las etiquetas de clasificación. Los registros de auditoría integrales pueden rastrear todas las interacciones entre IA y datos. Y al alinearse con el RGPD británico, la Ley de Protección de Datos de 2018 y la guía del NCSC sobre seguridad en la nube e IA, estas capacidades ayudan a los departamentos a gobernar los riesgos de IA durante todo el ciclo de vida de los datos.

El enfoque de Kiteworks ante este reto es ilustrativo. Al integrar DSPM con aplicación automatizada de políticas y registros de auditoría inmutables, las organizaciones pueden etiquetar los datos según su nivel de sensibilidad — público, oficial, oficial-sensible, secreto — y aplicar esas clasificaciones automáticamente cuando intervienen herramientas de IA. Cada interacción entre IA y datos se registra con ID de usuario, marca de tiempo, datos accedidos y el sistema de IA utilizado. Esto no es solo una cuestión de cumplimiento; es la infraestructura que permite una adopción segura de la IA a gran escala.

Sin esta capa, los departamentos gubernamentales británicos están a ciegas ante el riesgo de IA. Con ella, pueden decir «sí» al uso de IA con la confianza de que los datos ciudadanos están protegidos — que es precisamente lo que piden los funcionarios.

¿Qué piden los funcionarios británicos?

La ficha informativa del Reino Unido muestra una fuerza laboral lista pero a la espera. Los funcionarios no necesitan que les convenzan del potencial de la IA — la mayoría ya cree que puede ahorrar tiempo (66%) y el 60% dice que es fácil de usar. Lo que necesitan es claridad e infraestructura para actuar en consecuencia.

Los datos del índice de EE. UU. — donde se preguntó directamente a los empleados públicos qué les animaría a usar más la IA — ofrecen una señal clara que también aplica al Reino Unido. Directrices claras y prácticas (38%), herramientas más fáciles de usar (36%) y garantías de privacidad de datos (34%) encabezan la lista. El presupuesto dedicado quedó en último lugar con un 12%.

En el Reino Unido, los datos cuentan una historia coherente. El 46% señala la falta de dirección clara desde el liderazgo. El 54% no ha recibido formación. Aproximadamente 2 de cada 5 no tiene claro qué puede hacer con la IA. Y el 44% dice que la formación parece una ocurrencia tardía en su organización.

Los funcionarios no piden grandes programas nuevos. Piden claridad, facilidad de uso y confianza — cosas que pueden lograrse mediante políticas, comunicación y compras inteligentes.

Por qué la integración importa más que nada

El Reino Unido obtuvo 42/100 en integración — lo que refleja una integración temprana o desigual, con el uso de IA dependiendo de la iniciativa local y no de un apoyo sistémico. Es un problema, porque los datos del índice muestran que la integración es la dimensión que desbloquea más valor.

En todos los países, el 61% de los trabajadores en entornos con alta integración reportan beneficios al usar IA para tareas avanzadas o técnicas, frente a solo el 17% donde la integración es baja. La integración también iguala las oportunidades entre generaciones: en entornos con alta integración, el 58% de los empleados públicos de 55 años o más ahorra más de una hora usando IA, frente a solo el 16% en entornos con baja integración.

Actualmente, el Reino Unido está en el extremo equivocado de este espectro. Solo el 17% de los funcionarios afirma usar IA para tareas avanzadas o técnicas. Hasta que la IA se integre en los sistemas y flujos de trabajo que ya usan los funcionarios, la promesa de productividad de la agenda de IA del gobierno seguirá siendo teórica.

Tres prioridades que pueden cambiar la trayectoria

El índice señala tres acciones que podrían acelerar la adopción de IA en los servicios públicos británicos si se aplican conjuntamente.

Primero, hacer que los permisos sean explícitos y operativos — respaldados por una infraestructura segura. El Playbook de IA y las estrategias nacionales deben reforzarse con señales visibles y coherentes desde el liderazgo departamental. Pero el permiso sin protección genera riesgo. Los departamentos deben implementar soluciones de IA empresariales con controles de protección de datos, marcos de gobernanza y registros completos — asegurando que los datos confidenciales nunca salgan del entorno de confianza. Plataformas como Secure MCP Server de Kiteworks demuestran cómo funciona esto en la práctica: permiten productividad con IA en herramientas como Claude, ChatGPT y Copilot, manteniendo los controles de gobernanza de datos que requieren las organizaciones gubernamentales británicas. Cuando los funcionarios saben que las herramientas que usan están aprobadas, cumplen la normativa y son monitorizadas, la duda se convierte en confianza.

Segundo, generar confianza a través de la evidencia y la preparación ante incidentes. Los funcionarios británicos reconocen el potencial de la IA, pero menos de dos de cada cinco la describen como empoderadora. Compartir casos concretos — donde la IA ha reducido la carga administrativa, mejorado la gestión de servicios o apoyado un mejor análisis de políticas — ayudaría a hacer tangible la IA. Pero la confianza también requiere saber qué ocurre cuando algo sale mal. Imagina el escenario: un funcionario pega por error miles de números de la Seguridad Social en una herramienta pública de IA para análisis de datos. Los datos quedan en los sistemas del proveedor — potencialmente almacenados indefinidamente o expuestos a otros usuarios. ¿Puede el departamento responder qué se expuso, cuándo, por quién y qué otros datos sensibles se han compartido? Sin registros de auditoría inmutables, integración con SIEM para monitorización en tiempo real y documentación de cadena de custodia, la respuesta es no. Las capacidades de respuesta a incidentes para escenarios específicos de IA no son opcionales — son el requisito mínimo para una adopción responsable.

Tercero, pasar de la concienciación a la confianza con formación específica por rol. El nuevo Centro de Habilidades en IA del Reino Unido es un paso en la dirección correcta, pero los datos del índice muestran que la formación introductoria y genérica no basta. El 44% de los funcionarios dice que la formación parece una ocurrencia tardía. Formación breve y práctica adaptada a funciones concretas — mostrando cómo la IA apoya tareas que ya realizan, con plantillas, prompts compartidos y ejemplos prácticos — es lo que cierra la brecha entre la concienciación y el uso seguro. Colaborar con proveedores tecnológicos de confianza puede ayudar a ofrecer formación a escala y aportar garantías sobre seguridad y protección de datos que los funcionarios necesitan.

Lo que está en juego es más que una posición en el ranking

Que el Reino Unido ocupe el sexto puesto en este índice es decepcionante dada su ambición nacional, pero el verdadero coste no es reputacional. Es operativo. Cada día que los funcionarios carecen de herramientas de IA seguras y aprobadas es un día más de datos gubernamentales circulando por cuentas personales sin supervisión. Cada semana sin directrices claras a nivel departamental es una semana más de productividad desaprovechada. Cada mes sin gobernanza de IA integrada es un mes más en el que la brecha entre la ambición de IA del Reino Unido y la realidad de su sector público se amplía.

La IA en la sombra ya está aquí. El setenta por ciento de los empleados públicos en todo el mundo usa IA; muchos lo hacen fuera de los canales aprobados. La combinación británica de alta concienciación, baja habilitación y permisos poco claros crea el entorno perfecto para que el uso no autorizado de IA se multiplique — poniendo en riesgo los datos ciudadanos bajo el RGPD británico y la Ley de Protección de Datos de 2018.

Los 345 funcionarios británicos encuestados en este índice envían un mensaje claro: danos las directrices, danos las herramientas seguras y déjanos trabajar. La cuestión es si los líderes gubernamentales están escuchando — y si están dispuestos a resolver el problema de la IA en la sombra antes de que se convierta en una crisis de protección de datos.

Preguntas frecuentes

El Public Sector AI Adoption Index 2026 es un estudio global realizado por Public First para el Center for Data Innovation, patrocinado por Google. Encuestó a 3.335 empleados públicos en 10 países — incluidos 345 en el Reino Unido — para medir cómo se experimenta la IA en los entornos gubernamentales. El índice puntúa a los países en cinco dimensiones: entusiasmo, educación, empoderamiento, habilitación e integración, cada una en una escala de 0 a 100. Va más allá de medir si los gobiernos tienen estrategias de IA y examina si los empleados públicos cuentan con las herramientas, formación, permisos e infraestructura para usar la IA de forma eficaz en su trabajo diario.

El Reino Unido ocupa el sexto lugar de 10 países con una puntuación global de 47 sobre 100. Su mejor puntuación es en educación (51/100), reflejando la creciente disponibilidad de formación en IA, pero la más baja es en integración (42/100), lo que significa que la IA rara vez se integra en los flujos de trabajo diarios y sigue dependiendo de la iniciativa local. El Reino Unido queda por detrás de los adoptantes avanzados como Arabia Saudita (66), Singapur (58) e India (58), así como de Sudáfrica (55) y Brasil (49), pero por delante de EE. UU. (45), Alemania (44), Japón (43) y Francia (42). El índice caracteriza al Reino Unido como un «adoptante desigual» — un país con gran ambición central pero fricción persistente para traducir esa ambición en un uso cotidiano y seguro por parte de los funcionarios de primera línea.

La IA en la sombra se refiere a empleados públicos que usan herramientas de IA no aprobadas — a menudo cuentas personales en servicios como ChatGPT — para tareas laborales sin conocimiento ni supervisión de la organización. El Public Sector AI Adoption Index detectó que en entornos con baja habilitación, el 64% de los usuarios entusiastas de IA recurre a accesos personales en el trabajo y el 70% usa IA sin que su responsable lo sepa. Esto crea graves riesgos de seguridad para los departamentos gubernamentales británicos: datos sensibles de ciudadanos pueden ser cargados en modelos públicos de lenguaje sin trazabilidad, sin controles de protección de datos y sin posibilidad de determinar qué se expuso en caso de incidente. La IA en la sombra también puede dar lugar a posibles violaciones del RGPD británico y la Ley de Protección de Datos de 2018, sin evidencia forense para evaluar el alcance de la exposición de datos.

Los datos del índice señalan una brecha de ejecución, no de ambición. El Reino Unido tiene estrategias nacionales sólidas, liderazgo central desde DSIT y la Oficina del Gabinete, y organismos de entrega como el Centro Digital de Gobierno. Sin embargo, esa intención no se ha traducido de forma consistente en la práctica diaria. El 54% de los funcionarios no ha recibido formación en IA. Aproximadamente 2 de cada 5 no tiene claro para qué puede usar la IA. El 46% afirma que los líderes no dan directrices claras. Y la adopción está impulsada desde abajo por la curiosidad individual, no por el impulso organizacional. El resultado es un uso fragmentado de la IA, limitado en gran parte a tareas básicas como redacción y análisis, con solo el 17% reportando uso para tareas avanzadas o técnicas.

Los datos del índice — y la experiencia de los países adoptantes avanzados — sugieren que los departamentos deben pasar de restringir el acceso a la IA a habilitarlo de forma segura. Esto implica implementar herramientas de IA empresariales aprobadas con controles integrados de gobernanza de datos de IA, como plataformas que mantienen los datos confidenciales dentro de la red privada y permiten la productividad con asistentes de IA como Claude, ChatGPT y Copilot. Los departamentos deben aplicar administración de la postura de seguridad de datos (DSPM) para clasificar datos sensibles y aplicar políticas automáticamente, mantener registros de auditoría inmutables de todas las interacciones entre IA y datos, y establecer capacidades de respuesta a incidentes específicas para escenarios de exposición de datos por IA. Soluciones como Secure MCP Server de Kiteworks, alineadas con el RGPD británico, la Ley de Protección de Datos de 2018 y los Principios de Seguridad en la Nube del NCSC, demuestran cómo los departamentos pueden habilitar la productividad con IA sin sacrificar la seguridad de los datos ni el cumplimiento.

Arabia Saudita (66/100), Singapur (58/100) e India (58/100) son los países mejor posicionados en el índice. Cada uno siguió un camino diferente pero compartieron elementos clave: reglas claras sobre para qué pueden y no pueden usar la IA los empleados públicos, herramientas aprobadas y seguras proporcionadas por la organización, y un liderazgo visible que presentó la IA como modernización y no como riesgo. Singapur construyó plataformas centralizadas con directrices estandarizadas a través de su iniciativa Smart Nation. Arabia Saudita ejecutó una estrategia nacional de arriba abajo vinculada a Vision 2030 con un despliegue de IA a nivel empresarial. India impulsó la adopción mediante el impulso cultural con cursos gratuitos de IA organizados por el gobierno y mensajes positivos constantes. El Reino Unido tiene una ambición estratégica comparable pero aún no la ha acompañado de una ejecución consistente a nivel departamental, permisos claros y provisión sistémica de herramientas como han logrado estos países.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks