Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > 2026: Crisis de Datos IA. Protege tu información confidencial ahora

2026: Crisis de Datos IA. Protege tu información confidencial ahora

by Patrick Spencer updated enero 9, 2026 Gestión de Riesgos de Ciberseguridad
Reading Time: 11 minutes

Las cifras son impactantes. En solo un año, la cantidad de empleados que usan aplicaciones de IA generativa se ha triplicado. El volumen de datos que envían a estas herramientas ha aumentado seis veces. ¿Y la tasa de violaciones de políticas sobre datos sensibles? Se ha duplicado.

Bienvenido a 2026, donde la adopción rápida y, a menudo, sin control de la IA ha generado un riesgo de IA que la mayoría de las organizaciones apenas empieza a comprender.

Conclusiones clave

  1. La adopción de IA generativa ha superado los controles de seguridad. El número de empleados que utilizan aplicaciones de IA generativa se ha triplicado, mientras que las violaciones de políticas de datos se han duplicado. La organización promedio experimenta 223 incidentes mensuales de seguridad de datos relacionados con IA. La mitad de las organizaciones aún carece de políticas de protección de datos aplicables para aplicaciones de IA, dejando datos sensibles expuestos sin detección.
  2. La Shadow AI sigue siendo un riesgo crítico de exposición de datos. Casi la mitad de los usuarios de IA generativa sigue confiando en aplicaciones personales de IA que operan completamente fuera de la visibilidad y el control de la organización. Código fuente, datos regulados y propiedad intelectual fluyen con frecuencia hacia estos servicios no gestionados, generando violaciones de cumplimiento y riesgos competitivos que los equipos de seguridad no pueden monitorear.
  3. La IA agentica amplifica las amenazas internas a velocidad de máquina. Los sistemas de IA autónoma que ejecutan acciones complejas en recursos empresariales pueden provocar exposiciones de datos mucho más rápido que cualquier usuario interno. Un agente de IA mal configurado o que produzca alucinaciones puede filtrar miles de registros sensibles en minutos, exigiendo nuevos marcos de seguridad diseñados específicamente para operaciones a velocidad de máquina.
  4. Las aplicaciones personales en la nube siguen impulsando la mayoría de los incidentes internos. El 60% de los incidentes de amenazas internas involucran instancias de aplicaciones personales en la nube, y el 31% de los usuarios suben datos de la empresa a apps personales cada mes. Los datos regulados representan más de la mitad de estas violaciones de políticas, por lo que la gobernanza de apps personales es tan crítica como las iniciativas de seguridad de IA.
  5. Estrategias de IA centradas en la gobernanza permiten innovar sin comprometer la seguridad. Las organizaciones exitosas proporcionarán herramientas de IA aprobadas que cubran las necesidades de los empleados, mientras aplican acceso a datos de confianza cero y registro integral de auditoría. Bloquear la IA por completo ha resultado inútil; la seguridad sostenible requiere habilitar la innovación mediante visibilidad, control y aplicación de políticas, no la prohibición.

El Informe de Nube y Amenazas de Netskope para 2026 muestra un panorama preocupante de la situación actual. La IA generativa no ha reemplazado los desafíos de seguridad existentes: ha sumado riesgos completamente nuevos sobre ellos. Los equipos de seguridad ahora enfrentan un modelo de amenazas compuesto, donde la shadow AI, las apps personales en la nube, campañas persistentes de phishing y la distribución de malware a través de canales confiables se combinan para crear una exposición sin precedentes.

Para las organizaciones que manejan datos regulados, propiedad intelectual o cualquier información que competidores o actores maliciosos desearían obtener, este informe debe ser tanto una llamada de atención como una hoja de ruta para lo que debe cambiar.

Shadow AI: El riesgo de seguridad oculto a simple vista

¿Recuerdas cuando los empleados empezaron a usar Dropbox y Google Drive antes de que TI los aprobara? La Shadow AI sigue el mismo patrón, pero con consecuencias mucho mayores para la privacidad de los datos y el cumplimiento.

Casi la mitad de los usuarios de IA generativa—el 47%—sigue utilizando aplicaciones personales de IA en lugar de herramientas gestionadas por la organización. Aunque esto representa una mejora respecto al 78% del año anterior, todavía significa que una parte significativa de tu plantilla está enviando datos de la empresa a servicios sobre los que tu equipo de seguridad no tiene ninguna visibilidad.

La buena noticia es que las organizaciones están avanzando. El porcentaje de empleados que usan cuentas de IA gestionadas por la organización ha subido del 25% al 62%. Pero aquí está el detalle: un número creciente de usuarios—ahora el 9%, frente al 4%—cambia entre cuentas personales y empresariales. Este comportamiento sugiere que las herramientas aprobadas por la empresa no satisfacen las necesidades de los empleados en cuanto a comodidad o funcionalidad, lo que los lleva a buscar alternativas.

Esta brecha entre lo que los empleados desean y lo que TI ofrece crea un terreno fértil para la fuga de datos. Cuando alguien pega código fuente en ChatGPT usando su cuenta personal para recibir una sugerencia rápida de depuración, ese código ahora está fuera del control de tu organización. Cuando un comercial sube un contrato a una herramienta de IA para resumirlo, esa propiedad intelectual ya no está bajo resguardo.

Violaciones: La magnitud del problema

La organización promedio experimenta ahora 223 violaciones de políticas de datos relacionadas con aplicaciones de IA generativa cada mes. Para las organizaciones en el cuartil superior, esa cifra sube a 2,100 incidentes mensuales.

¿Qué tipo de datos se están exponiendo? El desglose revela exactamente lo que quita el sueño a los CISOs:

Código fuente representa el 42% de las violaciones de políticas de datos relacionadas con IA. Los desarrolladores son los principales usuarios de IA en la mayoría de las organizaciones y suben código propietario para ayuda en depuración, sugerencias de refactorización y generación automatizada. Cada vez que lo hacen con una herramienta no gestionada, pueden estar exponiendo secretos comerciales.

Datos regulados constituyen el 32% de las violaciones. Esto incluye información personal, registros financieros y datos de salud: exactamente las categorías que activan sanciones de cumplimiento bajo GDPR, HIPAA y marcos similares.

Propiedad intelectual representa el 16% de las violaciones. Contratos, estrategias internas, hallazgos de investigación y otros materiales confidenciales se suben para análisis y resumen.

Contraseñas y claves API completan el resto. A menudo se filtran dentro de muestras de código o archivos de configuración, creando vías directas para atacantes.

Quizá lo más preocupante: la mitad de las organizaciones aún carece de políticas de gobernanza de datos de IA aplicables para aplicaciones de IA generativa. En estos entornos, los empleados envían datos sensibles a modelos de IA sin ninguna detección. Los 223 incidentes mensuales representan solo lo que las organizaciones están detectando; la exposición real probablemente es mucho mayor.

Tabla 1: Violaciones de políticas de datos de IA por tipo de dato

Tipo de dato Porcentaje de violaciones
Código fuente 42%
Datos regulados (información personal identificable, financieros, salud) 32%
Propiedad intelectual 16%
Contraseñas y claves API 10%

Efecto de amplificación de la IA agentica

Justo cuando las organizaciones empiezan a controlar la gobernanza de la IA generativa, surge una nueva categoría de riesgo: los sistemas de IA agentica.

A diferencia de las herramientas de IA tradicionales que responden a indicaciones individuales, los sistemas de IA agentica ejecutan acciones complejas y autónomas en recursos internos y externos. Pueden acceder a bases de datos de controles, llamar a APIs, interactuar con otros programas y tomar decisiones con mínima supervisión humana.

La curva de adopción es pronunciada. Actualmente, el 33% de las organizaciones usa servicios de OpenAI a través de Azure, el 27% aprovecha Amazon Bedrock y el 10% utiliza Google Vertex AI. El tráfico a estas plataformas ha crecido entre tres y diez veces en el último año.

Las implicaciones de seguridad son profundas. Un sistema agentico con acceso a datos sensibles puede causar daños a una velocidad que ningún usuario interno podría igualar. Un agente mal configurado podría exponer miles de registros en minutos. Una IA que produzca alucinaciones—y las alucinaciones siguen siendo una limitación inherente de los grandes modelos de lenguaje—podría multiplicar errores hasta provocar exposiciones catastróficas de datos.

Tecnologías nuevas como el Model Context Protocol (MCP), que permite a agentes de IA conectarse directamente a recursos empresariales, amplían aún más la superficie de ataque. Estas conexiones pueden exponer información sensible de forma accidental o crear rutas para que actores maliciosos comprometan sistemas y flujos de trabajo.

El reto fundamental es este: los sistemas de IA agentica heredan todo el acceso a datos de sus operadores humanos, pero pueden actuar a velocidad de máquina sin el juicio que haría a una persona detenerse antes de tomar una decisión arriesgada.

Aplicaciones personales en la nube: La amenaza interna ignorada

Aunque la IA domina la conversación, las aplicaciones personales en la nube siguen siendo una de las fuentes más importantes de exposición interna de datos. El 60% de los incidentes de amenazas internas involucran instancias de apps personales en la nube—y el problema va en aumento.

Durante el último año, el porcentaje de usuarios que suben datos a apps personales en la nube ha crecido un 21%. Hoy, el 31% de los usuarios en la organización promedio sube datos a apps personales cada mes—más del doble que quienes interactúan con aplicaciones de IA.

Los tipos de datos involucrados reflejan las violaciones de riesgo de IA, pero con diferente énfasis. Los datos regulados representan el 54% de las violaciones de políticas en apps personales, lo que refleja el riesgo persistente de que información personal salga de entornos aprobados. La propiedad intelectual representa el 22%, el código fuente el 15% y contraseñas y claves el 8%.

Google Drive encabeza la lista de apps personales más controladas con un 43%, seguido de Gmail con 31% y OneDrive con 28%. Curiosamente, ChatGPT personal ocupa el cuarto lugar con 28%, lo que sugiere que muchas organizaciones aún están poniéndose al día en la gobernanza de IA en comparación con las plataformas tradicionales en la nube.

El 77% de las organizaciones ahora aplica controles en tiempo real a los datos enviados a apps personales, lo que representa un avance significativo frente al 70% del año anterior. Pero casi una cuarta parte de las organizaciones sigue operando sin estas protecciones, quedando expuestas tanto a fugas accidentales como maliciosas de datos.

Tabla 2: Violaciones de políticas en apps personales en la nube por tipo de dato

Tipo de dato Porcentaje de violaciones
Datos regulados (información personal identificable, financieros, salud) 54%
Propiedad intelectual 22%
Código fuente 15%
Contraseñas y claves API 8%

Phishing y malware: Las amenazas tradicionales no han desaparecido

Los riesgos nuevos no eliminan los antiguos. El phishing sigue siendo un desafío persistente, con 87 de cada 10,000 usuarios haciendo clic en enlaces de phishing cada mes. Aunque esto representa una disminución del 27% respecto al año anterior, sigue siendo una exposición significativa para cualquier organización grande.

La naturaleza del phishing ha evolucionado. Los atacantes cada vez más emplean phishing de consentimiento OAuth, engañando a los usuarios para que otorguen acceso a aplicaciones maliciosas a sus cuentas en la nube—saltándose por completo contraseñas y autenticación multifactor. Combinado con kits de phishing reverse-proxy que roban cookies de sesión en tiempo real, el phishing ha pasado de simples engaños por correo electrónico a sofisticados ataques a la capa de identidad.

Microsoft es ahora la marca más suplantada con el 52% de los clics de phishing en la nube, seguida de Hotmail y DocuSign. Pero los objetivos han cambiado notablemente: los portales bancarios representan ahora el 23% de los cebos de phishing y los servicios gubernamentales han subido al 21%, reflejando el enfoque de los atacantes en el fraude financiero y el robo de identidad.

La distribución de malware a través de canales confiables añade otra capa de riesgo. GitHub sigue siendo la plataforma más abusada, con el 12% de las organizaciones detectando exposición de empleados a malware a través del servicio cada mes. OneDrive y Google Drive le siguen de cerca. Los atacantes saben que los usuarios confían en estas plataformas familiares, lo que las convierte en vectores ideales para propagar archivos infectados.

Los ataques a la cadena de suministro que explotan las relaciones de confianza entre plataformas SaaS y ecosistemas de paquetes también se han intensificado. El registro de paquetes npm, las integraciones API entre aplicaciones en la nube y los servicios SaaS conectados representan puntos de entrada potenciales que los controles de seguridad tradicionales pueden pasar por alto.

Construyendo una estrategia de IA centrada en la gobernanza

La naturaleza compuesta de estas amenazas exige una respuesta integral. Las organizaciones ya no pueden tratar la gobernanza de datos de IA, la seguridad en la nube y la protección contra amenazas tradicionales como iniciativas separadas. Deben funcionar como una estrategia integrada.

La gobernanza efectiva comienza con la visibilidad. No puedes proteger los datos que no ves. Las organizaciones deben entender qué aplicaciones de IA usan los empleados, qué datos fluyen hacia esas aplicaciones y si ese uso cumple con las políticas de seguridad y los requisitos de cumplimiento.

Luego viene el control. Bloquear aplicaciones que no tienen un propósito empresarial legítimo o representan un riesgo desproporcionado es una medida sencilla pero eficaz. Actualmente, el 90% de las organizaciones bloquea activamente al menos algunas aplicaciones de IA generativa, con un promedio de 10 apps en la lista de bloqueo. ZeroGPT y DeepSeek lideran la lista con un 45% y 43% respectivamente, impulsados por preocupaciones sobre prácticas de manejo de datos y transparencia.

Para las aplicaciones aprobadas, las políticas de prevención de pérdida de datos (DLP) son esenciales. Estas políticas deben detectar información sensible—código fuente, datos regulados, credenciales, propiedad intelectual—antes de que salga del control de la organización. Sin embargo, solo el 50% de las organizaciones utiliza actualmente DLP para aplicaciones de IA generativa, frente al 63% para apps personales en la nube.

Finalmente, las organizaciones deben prepararse para el futuro agentico. A medida que los sistemas de IA ganan autonomía, los marcos de seguridad deben evolucionar para incluir monitoreo continuo, acceso de mínimo privilegio y controles robustos diseñados específicamente para operaciones a velocidad de máquina.

Cómo Kiteworks permite una integración segura de IA

Aquí es donde una plataforma como Kiteworks se vuelve esencial. En lugar de tratar la IA como un riesgo incontrolable que debe bloquearse, Kiteworks permite a las organizaciones adoptar la innovación en IA manteniendo la seguridad y el cumplimiento que su negocio requiere.

La base es la protección de datos de IA de confianza cero. Los sistemas de IA se conectan a los datos empresariales a través de una puerta de enlace segura que aplica principios de arquitectura de confianza cero en cada interacción. Los controles de acceso basados en roles y en atributos aseguran que las operaciones de IA hereden los permisos del usuario—ni más, ni menos. Lo más importante: los datos nunca salen de tu red de datos privada. La IA interactúa con la información en un entorno controlado y gobernado, donde cada solicitud de acceso es autenticada, autorizada y registrada.

La gobernanza integral de datos sigue de forma natural. Cada interacción de IA se rige automáticamente por tu marco de gobernanza de datos existente. La aplicación dinámica de políticas basada en la clasificación, sensibilidad y contexto de los datos asegura que los controles granulares determinen qué sistemas de IA pueden acceder a conjuntos de datos específicos. La residencia de datos permanece intacta: la información sensible se queda en tu entorno de confianza en lugar de fluir a servicios de IA de terceros.

Las capacidades completas de auditoría y cumplimiento cierran el ciclo. Los registros de auditoría inmutables capturan cada operación de IA: acceso a archivos, consultas, recuperación de datos. El seguimiento y reporte en tiempo real muestran qué sistemas de IA accedieron a qué datos y cuándo. La integración con SIEM permite monitoreo y detección de amenazas continuos. Estas capacidades apoyan directamente el cumplimiento con GDPR, HIPAA, FedRAMP y otros requisitos regulatorios que exigen responsabilidad en el manejo de datos.

Las protecciones de seguridad de nivel empresarial sustentan toda la arquitectura. El cifrado TLS 1.3 protege los datos en tránsito hacia los sistemas de IA. El cifrado doble a nivel de archivo y disco protege los datos en reposo. La limitación de tasa previene el abuso de sistemas de IA y el agotamiento de recursos. Un dispositivo virtual reforzado con múltiples capas de defensa proporciona la base.

Este enfoque permite la generación aumentada por recuperación (RAG) segura sin exposición de datos. Las organizaciones pueden mejorar los modelos de IA con sus propios datos propietarios manteniendo la protección. La innovación se acelera sin comprometer la seguridad ni el cumplimiento.

El camino a seguir

El panorama de ciberseguridad para 2026 exige que las organizaciones gestionen un modelo de amenazas acumulativo. La IA generativa no ha reemplazado los riesgos existentes: los ha amplificado e introducido nuevas categorías de exposición.

El éxito requiere tratar estos desafíos como interconectados y no como problemas separados. La shadow AI, las apps personales en la nube, las campañas de phishing y los ataques a la cadena de suministro comparten un hilo común: explotan la brecha entre cómo los empleados quieren trabajar y cómo los equipos de seguridad pueden mantener visibilidad y control.

Las organizaciones que prosperen en este entorno serán aquellas que permitan la innovación mientras aplican la gobernanza. Proporcionarán a los empleados herramientas de IA que cubran sus necesidades, asegurando que los datos sensibles nunca salgan de entornos protegidos. Mantendrán visibilidad total sobre cómo fluyen los datos en la organización—hacia aplicaciones de IA, servicios personales en la nube y socios externos.

La alternativa—intentar bloquear la adopción de IA por completo—ya ha demostrado ser inútil. Los empleados encontrarán formas de usar estas herramientas sin importar la política. El único camino sostenible es una gobernanza que habilite en vez de prohibir, que proteja sin obstaculizar.

Esa es la visión que ofrece Kiteworks: un enfoque centrado en la gobernanza donde la IA acelera la productividad sin comprometer la protección de datos de IA ni el cumplimiento regulatorio. En un mundo donde las amenazas se multiplican más rápido que las defensas, ese equilibrio no solo es deseable—es esencial.

Preguntas frecuentes

La shadow AI se refiere al uso por parte de empleados de aplicaciones de inteligencia artificial que operan fuera de la visibilidad, las políticas y el control de la organización—normalmente a través de cuentas personales en lugar de herramientas gestionadas por la empresa. Actualmente, el 47% de los usuarios de IA generativa sigue confiando en aplicaciones personales de IA, enviando datos sensibles de la empresa a servicios que sus equipos de seguridad no pueden monitorear ni gobernar. Este uso no gestionado genera riesgos significativos de exposición de datos porque el código fuente, los datos regulados, la propiedad intelectual y las credenciales fluyen con frecuencia hacia servicios de IA de terceros sin ser detectados. Las organizaciones pueden reducir los riesgos de shadow AI proporcionando herramientas de IA aprobadas que cubran las necesidades de los empleados e implementando políticas de prevención de pérdida de datos para detectar transferencias no autorizadas.

Las aplicaciones de IA generativa provocan violaciones de políticas de datos cuando los empleados suben información sensible—como código fuente, datos regulados o propiedad intelectual—a herramientas de IA para tareas como resumen, depuración o generación de contenido. La organización promedio experimenta ahora 223 violaciones mensuales de políticas de datos relacionadas con aplicaciones de IA, siendo el código fuente el 42% de los incidentes y los datos regulados el 32%. Estas violaciones ocurren porque los flujos de trabajo de IA suelen requerir subir datos internos a servicios externos, generando riesgos de exposición inherentes que muchas organizaciones no tienen controles para detectar. La mitad de las organizaciones aún opera sin políticas aplicables de protección de datos de IA para IA generativa, lo que significa que la tasa real de exposición de datos sensibles probablemente es mucho mayor de lo que sugieren los incidentes reportados.

Los sistemas de IA agentica son aplicaciones de inteligencia artificial que ejecutan acciones complejas y autónomas en recursos internos y externos con mínima supervisión humana, incluyendo acceso a bases de datos, llamadas a APIs e interacción con otros programas. Estos sistemas amplifican el riesgo interno porque pueden provocar exposición de datos a velocidad de máquina—un agente mal configurado podría filtrar miles de registros en minutos, en lugar de las horas o días que requeriría un usuario interno. La naturaleza no determinista de los grandes modelos de lenguaje implica que las alucinaciones a lo largo de un flujo de trabajo agentico pueden multiplicar daños organizacionales o exposiciones de datos no intencionadas. Las organizaciones que adopten IA agentica deben implementar monitoreo continuo, controles de acceso de mínimo privilegio y marcos de gobernanza robustos diseñados específicamente para operaciones autónomas de IA.

Las aplicaciones personales en la nube contribuyen a los riesgos de amenazas internas al proporcionar canales no monitoreados por los que los empleados pueden transferir datos sensibles de la empresa fuera del control organizacional. El 60% de los incidentes de amenazas internas involucran instancias de apps personales en la nube, y el 31% de los usuarios sube datos a apps personales cada mes—más del doble que quienes interactúan con aplicaciones de IA. Los datos regulados representan el 54% de las violaciones de políticas en apps personales, seguidos de la propiedad intelectual con un 22% y el código fuente con un 15%. Las organizaciones pueden reducir estos riesgos aplicando controles de prevención de pérdida de datos en tiempo real, bloqueando la subida de datos sensibles a instancias personales y ofreciendo formación a los usuarios para que comprendan las buenas prácticas de manejo de datos.

Las estrategias efectivas de gobernanza de datos de IA combinan visibilidad, control y aplicación proactiva de políticas para permitir la innovación en IA mientras se protege la información sensible. Las organizaciones deben empezar obteniendo visibilidad completa sobre qué aplicaciones de IA usan los empleados y qué datos fluyen hacia ellas, luego aplicar políticas de bloqueo para herramientas que no tengan un propósito empresarial legítimo o representen un riesgo desproporcionado. Las políticas de prevención de pérdida de datos deben detectar información sensible—incluyendo código fuente, datos regulados, credenciales y propiedad intelectual—antes de que salga del entorno controlado de la organización. Un enfoque de confianza cero que autentique cada solicitud de acceso a datos de IA, mantenga registros de auditoría completos y aplique principios de mínimo privilegio proporciona la base para una gobernanza de datos de IA sostenible que apoye tanto la innovación como el cumplimiento.

Las organizaciones pueden evitar filtraciones de datos sensibles hacia aplicaciones de IA implementando un enfoque centrado en la gobernanza que combine controles técnicos con políticas claras y formación a los empleados. Las soluciones de prevención de pérdida de datos deben inspeccionar todo el contenido que fluye hacia aplicaciones de IA y bloquear la transferencia de código fuente, datos regulados, propiedad intelectual y credenciales a servicios no autorizados. Proporcionar a los empleados herramientas de IA aprobadas que cubran sus necesidades de productividad reduce la tentación de usar aplicaciones shadow AI a través de cuentas personales. Una arquitectura de confianza cero asegura que los sistemas de IA solo accedan a datos a través de puertas de enlace seguras que apliquen permisos basados en roles, mantengan la soberanía de los datos dentro de entornos de confianza y generen registros de auditoría inmutables para reportes de cumplimiento.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks