Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > Crisis de Cumplimiento de Datos IA: el 88% de las empresas tiene dificultades con la gobernanza y la seguridad

Crisis de Cumplimiento de Datos IA: el 88% de las empresas tiene dificultades con la gobernanza y la seguridad

by Patrick Spencer updated diciembre 5, 2025 Gestión de Riesgos de Ciberseguridad
Reading Time: 10 minutes

La revolución de la IA empresarial está generando una crisis de seguridad de datos que la mayoría de las organizaciones no están preparadas para gestionar. Según el Informe de Gobernanza de Comunicaciones Digitales 2025/26 de Theta Lake, el 99% de las organizaciones están ampliando su uso de IA, pero el 88% ya enfrenta retos en gobernanza de datos de IA y seguridad de la información.

Aspectos clave

  1. La adopción de IA supera la capacidad de gobernanza. Prácticamente todas las organizaciones (99%) están ampliando el uso de IA, pero el 88% ya enfrenta desafíos en gobernanza y seguridad de datos. Esta brecha entre la velocidad de implementación y la preparación de la gobernanza crea una exposición a nivel empresarial que los marcos actuales no pueden cubrir.
  2. La exposición de datos sensibles a través de la IA es un punto ciego. Casi la mitad de las organizaciones (45%) no puede detectar cuándo aparece información confidencial en contenido generado por IA. Una vez que la IA crea contenido con datos sensibles, el 40% de las organizaciones pierde la capacidad de rastrear dónde se difunde esa información.
  3. Los reguladores responsabilizan a las organizaciones por el contenido generado por IA. FINRA establece explícitamente que las empresas son responsables de las comunicaciones, sin importar si son generadas por IA o por humanos. Con un 47% de organizaciones incapaces de garantizar que el contenido generado por IA cumpla con los estándares de cumplimiento, la exposición regulatoria es considerable y sigue creciendo.
  4. Los controles de infraestructura por sí solos no protegen los datos sensibles. Los controles de acceso y los permisos de uso determinan quién puede utilizar herramientas de IA, pero no controlan lo que la IA genera con ese acceso. Las organizaciones necesitan inspección de contenido y gobernanza basada en el comportamiento para identificar exposición de datos sensibles y violaciones de cumplimiento.
  5. La gobernanza debe controlar los datos que ingresan a los sistemas de IA. El riesgo de IA existe tanto en la entrada como en la salida: lo que los empleados comparten con la IA y lo que la IA genera a partir de esos datos. Sin controles en el punto de intercambio de datos, las organizaciones no pueden evitar la exposición de contenido sensible, sin importar los controles internos de cada herramienta de IA.

Esta encuesta anual a 500 líderes sénior de TI, comunicaciones unificadas y cumplimiento de firmas de servicios financieros en EE. UU. y Reino Unido revela un patrón preocupante. Las organizaciones están implementando capacidades de IA a una velocidad sin precedentes, pero carecen de marcos de gobernanza para proteger datos sensibles o cumplir con obligaciones regulatorias. Los hallazgos llegan en un contexto de más de 4 mil millones de dólares en multas globales por fallos en el registro y supervisión en los últimos años, y ahora los reguladores ponen el foco en el contenido generado por IA.

Aunque la encuesta se centra en servicios financieros, las implicaciones se extienden a todas las industrias reguladas. Cualquier organización que gestione datos sensibles—salud, legal, gobierno, manufactura—enfrenta retos similares de gobernanza de datos de IA. La prisa por implementar IA está exponiendo información confidencial, generando responsabilidad regulatoria y superando la capacidad de las organizaciones para mantener el control sobre su contenido más sensible.

La adopción de IA supera la seguridad y el cumplimiento

La velocidad de la implementación

La velocidad de adopción de IA empresarial es asombrosa. Con casi todos los participantes (99%) planeando implementar o ampliar funciones de IA en sus herramientas de comunicaciones y colaboración, las organizaciones están integrando capacidades de IA en prácticamente todas las áreas de negocio.

Las capacidades específicas de IA que se están implementando muestran la magnitud de la exposición. Según los datos recopilados, las principales capacidades de IA que las firmas planean implementar o ampliar son asistentes generativos de IA (92%), tomadores de notas y resúmenes de reuniones impulsados por IA (81%) y soluciones Agentic AI personalizadas (77%). Además, el 68% de las firmas prevé un uso aún mayor de herramientas de IA en los próximos 12 meses.

Cada una de estas implementaciones abre nuevas vías para la exposición de datos sensibles. Los asistentes generativos de IA procesan consultas de empleados que pueden contener información confidencial. Las herramientas de resumen de reuniones capturan y condensan discusiones sensibles. Los sistemas Agentic AI actúan de forma autónoma sobre los datos a los que acceden.

Nueva categoría de riesgo

El informe identifica «aiComms» como una nueva categoría de comunicaciones generadas por IA que requieren gobernanza. Los asistentes de IA, herramientas generativas y Agentic AI introducen una nueva categoría de comunicaciones y comportamientos. Estas aiComms actúan como un nuevo tipo de comunicación que debe capturarse y supervisarse, y como un nuevo participante en las interacciones, creando retos adicionales de cumplimiento, gobernanza y seguridad.

Esto representa un cambio fundamental en el riesgo de datos empresariales. La IA ya no solo procesa información: ahora genera contenido nuevo a partir de datos sensibles. Los marcos tradicionales de seguridad de datos, diseñados para proteger datos en reposo y en tránsito, no pueden abordar el contenido que los sistemas de IA crean, transforman y distribuyen.

El problema del 88%

La brecha entre la implementación de IA y la preparación de la gobernanza ha alcanzado niveles críticos. El 88% de los participantes informa que ya enfrenta retos en gobernanza de datos de IA y seguridad de la información, lo que subraya la necesidad urgente de una estrategia de gobernanza integral.

No es un problema futuro: es una crisis actual que afecta a casi nueve de cada diez organizaciones encuestadas. El 12% restante que informa no tener desafíos probablemente refleja falta de visibilidad, no una gobernanza efectiva.

Cómo la IA crea vulnerabilidades de seguridad de datos

Exposición de datos sensibles a través de salidas de IA

El riesgo más importante de seguridad de datos de IA implica la aparición de información sensible en contenido generado por IA. El informe revela que el 45% de las organizaciones tiene dificultades para detectar si datos confidenciales han sido expuestos en resultados generados por IA.

Esta exposición ocurre a través de múltiples vectores. Los resúmenes de reuniones generados por IA pueden capturar discusiones estratégicas confidenciales y distribuirlas ampliamente. Los asistentes generativos pueden incorporar datos propietarios en respuestas compartidas externamente. Las herramientas de IA entrenadas con datos empresariales pueden mostrar información sensible en contextos inesperados.

El reto es que los sistemas de IA agregan y transforman datos de formas que pueden revelar información confidencial, incluso cuando las entradas individuales parecen inocuas. Un resumen de reunión que combine comentarios de varios participantes puede exponer inteligencia competitiva. Una respuesta de IA que utilice múltiples documentos puede sintetizar información protegida en un formato compartible.

Falta de visibilidad en las interacciones con IA

Las organizaciones no pueden gobernar lo que no pueden ver, y la mayoría carece de visibilidad sobre cómo los empleados interactúan con los sistemas de IA. El informe indica que el 41% de las organizaciones tiene dificultades para identificar comportamientos de usuario riesgosos en las interacciones con herramientas de IA.

Los empleados pueden ingresar datos sensibles en los prompts de IA sin comprender los riesgos. Información de clientes, datos financieros, propiedad intelectual y planes estratégicos fluyen hacia sistemas de IA a través de consultas informales. Sin visibilidad en estas interacciones, las organizaciones no pueden identificar exposiciones hasta que ocurre el daño.

El uso de IA en la sombra agrava este problema. Los empleados adoptan herramientas de IA fuera de la gobernanza de TI, creando flujos de datos que los equipos de seguridad no pueden monitorear ni controlar. El contenido sensible termina en sistemas de IA que pueden carecer de controles de seguridad empresariales, garantías de residencia de datos o controles de acceso adecuados.

Incapacidad para rastrear la distribución de contenido de IA

Una vez que la IA genera contenido con datos sensibles, las organizaciones a menudo pierden la capacidad de rastrear a dónde viaja esa información. El informe revela que el 40% de las organizaciones tiene dificultades para encontrar dónde y con quién se compartió cualquier contenido o comunicación problemática generada por IA.

Un resumen generado por IA que contenga información confidencial puede difundirse por correo electrónico, chat, compartición de archivos y comunicaciones externas antes de que alguien reconozca la exposición. Sin rastreo a nivel de contenido, las organizaciones no pueden contener filtraciones ni evaluar su alcance. La naturaleza distribuida del contenido generado por IA hace que los enfoques tradicionales de DLP sean insuficientes.

Fallos en la validación de controles

Muchas organizaciones implementan controles de acceso y restricciones de uso en herramientas de IA, pero estos controles a menudo fallan en la práctica. La encuesta muestra que el 36% de las organizaciones tiene dificultades para validar que los controles sobre el acceso de las herramientas de IA a los datos o el acceso de los usuarios finales a las herramientas y modelos de IA funcionen como se espera.

Las brechas adicionales de gobernanza agravan el problema. El 35% tiene dificultades para eliminar contenido inapropiado generado por IA de las conversaciones cuando se violan políticas. El 33% enfrenta retos para remediar controles de IA o notificar y volver a capacitar a los usuarios tras incidentes. La diferencia entre las restricciones de IA previstas y el comportamiento real sigue siendo considerable.

Desafío de cumplimiento regulatorio

Responsabilidad por el contenido generado por IA

Los marcos regulatorios responsabilizan a las organizaciones por el contenido generado por IA al mismo nivel que las comunicaciones creadas por humanos. El principal reto—reportado por casi la mitad (47%) de las organizaciones—es garantizar que el contenido generado por IA sea preciso y cumpla con los estándares regulatorios.

No existe un refugio regulatorio ante errores o alucinaciones de IA. Cuando la IA genera contenido inexacto que llega a clientes o contrapartes, la organización asume la responsabilidad, sin importar el origen del contenido. Esto genera una exposición considerable, dada la tendencia documentada de la IA generativa a producir información plausible pero incorrecta.

Las obligaciones de registro se extienden a la IA

Los requisitos regulatorios de registro aplican a las comunicaciones generadas por IA, lo que crea retos de cumplimiento que la mayoría de las organizaciones no ha resuelto. El informe indica que el 92% de las firmas tiene dificultades para capturar comunicaciones empresariales para cumplir con sus obligaciones de registro y supervisión, o se ve obligada a desactivar capacidades por preocupaciones de cumplimiento.

Los retos de cumplimiento específicos de IA son significativos. La encuesta revela que el 41% de las organizaciones identifica desafíos con asistentes generativos de IA en particular, y otro 41% reporta retos con resúmenes de conversaciones o tomadores de notas de IA.

Algunas organizaciones responden desactivando completamente las funciones de IA para evitar fallos de cumplimiento. Este enfoque sacrifica beneficios de productividad para evitar retos de gobernanza, pero no es sostenible a medida que la IA se integra en las herramientas empresariales clave.

La supervisión regulatoria se intensifica

Los reguladores están examinando activamente cómo las organizaciones gobiernan el contenido generado por IA. Los retos en la gestión de comunicaciones empresariales se dan en un contexto de continua supervisión regulatoria. En los últimos años, las multas globales han superado los 4 mil millones de dólares por fallos en el registro y la supervisión, dominadas por las investigaciones ya concluidas de la SEC y la CFTC.

Problema de precisión

Las fallas de precisión de la IA generan riesgos regulatorios cuando contenido inexacto llega a clientes, contrapartes o canales públicos. Los sistemas de IA generativa pueden producir afirmaciones seguras pero incorrectas sobre productos, servicios, desempeño o temas regulatorios. Las comunicaciones de IA orientadas a clientes pueden contener errores o información engañosa que provoque violaciones de divulgación o dudas sobre idoneidad.

Actualmente, las organizaciones carecen de enfoques sistemáticos para verificar la precisión de la IA a escala. La revisión manual no puede seguir el ritmo del volumen de generación de contenido de IA, mientras que la validación automatizada de precisión aún es incipiente.

Por qué los enfoques tradicionales de gobernanza fallan

Los controles de infraestructura son insuficientes

Muchas organizaciones abordan la gobernanza de datos de IA mediante controles de infraestructura: acceso basado en roles, clasificación de datos y permisos de uso. Estos controles son necesarios, pero fundamentalmente insuficientes.

El informe enfatiza que, para las firmas de servicios financieros, la implementación generalizada de IA crea nuevos comportamientos, tipos de interacción y una nueva clase de comunicaciones con riesgos que no pueden protegerse solo con controles de infraestructura.

Los controles de infraestructura determinan quién puede acceder a herramientas de IA y a qué datos puede acceder la IA. No controlan lo que la IA genera con ese acceso. Un empleado con permisos adecuados usando una herramienta de IA correctamente configurada aún puede generar contenido que exponga información sensible o viole requisitos de cumplimiento. Las organizaciones necesitan inspección basada en el comportamiento de las interacciones con IA y sus resultados.

Sistemas fragmentados generan puntos ciegos

Las capacidades de IA se están implementando en entornos tecnológicos fragmentados, generando puntos ciegos de gobernanza. En línea con los hallazgos del año pasado, el entorno laboral moderno sigue dependiendo de múltiples herramientas UCC, con el 82% de las organizaciones usando cuatro o más. La proporción que utiliza diez o más herramientas se ha triplicado hasta el 12%.

Las funciones de IA integradas en sistemas desconectados generan contenido que fluye por diferentes canales con controles inconsistentes. No existe una visión unificada del contenido generado por IA en toda la empresa. La gobernanza aplicada a una herramienta de IA puede no extenderse a otras, creando brechas por donde pueden circular datos sensibles.

Los controles basados en políticas no escalan

Las organizaciones que dependen de políticas para gobernar el uso de IA enfrentan limitaciones inherentes. Cuando se prohíbe el uso de tomadores de notas y asistentes de IA, el 60% se apoya en políticas y avisos que señalan el uso prohibido, el 56% comparte una política escrita con los empleados y el 47% rastrea activamente que empleados y participantes externos no usen sus propias herramientas de IA en las comunicaciones.

Las políticas comunican expectativas, pero no previenen la exposición de datos sensibles. Los empleados pueden violar políticas de manera involuntaria o deliberada. Rastrear el cumplimiento de políticas requiere controles técnicos que la mayoría de las organizaciones no tiene. A medida que la IA se vuelve ubicua, la gobernanza basada en políticas resulta cada vez más insuficiente.

Desafío de calidad de los datos

Una gobernanza de datos de IA efectiva requiere datos completos y contextuales que la mayoría de las organizaciones no puede proporcionar. Para la mitad de los encuestados, la IA ha mejorado la efectividad y eficiencia de la supervisión, mientras que la otra mitad enfrenta dificultades derivadas de fuentes de datos fragmentadas e infraestructura personalizada. Específicamente, el 31% está trabajando para mejorar la calidad de los datos.

Las organizaciones no pueden gobernar interacciones con IA que no pueden capturar. No pueden analizar resultados de IA sin comprensión contextual. No pueden hacer cumplir políticas sin visibilidad sobre el contenido. La base de datos necesaria para la gobernanza de IA aún no existe en la mayoría de las empresas.

Construyendo una gobernanza de datos lista para IA

La respuesta de inversión

Las organizaciones reconocen que los enfoques actuales no funcionan y están respondiendo con mayor inversión. Las firmas están aumentando significativamente la inversión en cumplimiento de comunicaciones, reflejando la creciente complejidad de las comunicaciones digitales, incluidas las aiComms, y la continua supervisión regulatoria. El 86% ya está invirtiendo más (frente al 65% del año pasado) y otro 12% planea hacerlo.

La confianza en los enfoques existentes se ha desplomado. La confianza en los enfoques actuales es muy baja, solo un 2%, frente al 8% del año pasado. Este reconocimiento casi universal de la insuficiencia genera urgencia para nuevos modelos de gobernanza.

Investigaciones independientes confirman esta tendencia. Según el estudio anual de colaboración en el lugar de trabajo de Metrigy, los resultados preliminares muestran que más del 65% de las empresas planea aumentar su gasto en seguridad y cumplimiento para hacer frente a las crecientes amenazas de IA. Más del 90% de las organizaciones ya ha establecido, o planea establecer, una estrategia dedicada de seguridad y cumplimiento para IA.

Requisitos clave para la gobernanza de datos de IA

Una gobernanza de datos de IA efectiva requiere capacidades que la mayoría de las organizaciones aún no tiene.

  • La inspección de contenido debe examinar lo que la IA genera, no solo quién accede a las herramientas de IA. Las organizaciones necesitan visibilidad sobre los resultados de IA para identificar exposición de datos sensibles, violaciones de cumplimiento y errores de precisión.
  • La comprensión contextual debe analizar el contenido de IA en relación con los requisitos regulatorios y las políticas organizacionales. Capturar datos sin análisis contextual no permite tomar decisiones de gobernanza.
  • La captura integral debe conservar las interacciones con IA junto a las comunicaciones tradicionales. La captura selectiva crea brechas que reguladores y litigantes pueden explotar.
  • La detección de comportamientos debe identificar patrones de riesgo en el uso de IA por parte de los empleados. Consultas anómalas, entradas de datos sensibles y violaciones de políticas requieren identificación antes de causar daños.

Extender la gobernanza a lo largo del ciclo de vida de los datos de IA

El riesgo de IA existe en ambos extremos del ciclo de vida de los datos: en la entrada, cuando los empleados comparten datos sensibles con sistemas de IA, y en la salida, cuando la IA genera contenido a partir de esos datos. Una gobernanza integral debe abordar ambos vectores.

Controlar los datos que ingresan a los sistemas de IA es esencial para evitar que contenido sensible entre en entornos donde pueda quedar expuesto. Esto requiere una gobernanza que opere en el punto de intercambio de datos, rastreando qué contenido confidencial ingresa a las herramientas de IA y aplicando políticas antes de que ocurra la exposición.

Soluciones como Kiteworks AI Data Gateway y MCP Server abordan este reto proporcionando controles de gobernanza sobre los flujos de datos sensibles hacia y entre sistemas de IA. Las organizaciones obtienen visibilidad sobre qué contenido confidencial entra en entornos de IA, pueden aplicar políticas sobre el acceso a datos de IA y mantener registros de auditoría para cumplimiento. Sin esta capa de control en el punto de intercambio de datos, las organizaciones no pueden evitar la exposición de contenido sensible, sin importar los controles internos de cada herramienta de IA.

Cerrando la brecha de cumplimiento de datos de IA

El reto principal que enfrentan las empresas hoy es claro: la adopción de IA ha superado drásticamente las capacidades de gobernanza. Con el 88% de las organizaciones luchando con la gobernanza de datos de IA, el 45% incapaz de detectar exposición de datos sensibles en resultados de IA y el 47% incapaz de garantizar que el contenido de IA cumpla con estándares regulatorios, la brecha entre implementación y control sigue ampliándose.

Las consecuencias van más allá de las multas regulatorias. Las filtraciones de datos originadas en sistemas de IA pueden exponer información de clientes, propiedad intelectual y planes estratégicos. Los fallos de cumplimiento pueden desencadenar acciones que limiten las operaciones comerciales. El daño reputacional por incidentes relacionados con IA puede erosionar la confianza de clientes y socios.

El camino a seguir requiere un cambio fundamental: pasar de controles de infraestructura a inspección de contenido y gobernanza basada en el comportamiento. Las organizaciones deben obtener visibilidad sobre qué datos ingresan a los sistemas de IA, qué contenido genera la IA y a dónde viaja ese contenido. Deben aplicar políticas en el punto de intercambio de datos, no solo en el acceso al sistema.

Las organizaciones que implementen una gobernanza integral de datos de IA ahora reducirán riesgos y mantendrán la confianza regulatoria mientras sus competidores permanecen expuestos. Quienes demoren encontrarán cada vez más difícil cerrar la brecha de gobernanza a medida que la IA se integre más en las operaciones empresariales.

Preguntas frecuentes

Los principales riesgos incluyen la exposición de datos sensibles a través de resultados de IA, falta de visibilidad sobre las interacciones de los empleados con la IA e incapacidad para rastrear la difusión del contenido generado por IA. Las investigaciones muestran que el 45% de las organizaciones no puede detectar cuándo aparece información confidencial en contenido generado por IA, mientras que el 41% no identifica comportamientos de usuario riesgosos en interacciones con IA.

Las organizaciones implementan IA más rápido de lo que desarrollan marcos de gobernanza, lo que genera brechas entre capacidad y control. La infraestructura de cumplimiento tradicional fue diseñada para contenido generado por humanos y no puede abordar el volumen, la velocidad y la naturaleza distribuida de las comunicaciones generadas por IA.

Sí, los marcos regulatorios responsabilizan a las organizaciones por el contenido generado por IA al mismo nivel que las comunicaciones creadas por humanos. FINRA establece explícitamente que las empresas son responsables de sus comunicaciones, sin importar si son generadas por una persona o por tecnología de IA.

Los sistemas de IA agregan y transforman datos de formas que pueden revelar información confidencial, incluso cuando las entradas individuales parecen inofensivas. Los resúmenes de reuniones pueden capturar discusiones sensibles, los asistentes generativos pueden incorporar datos propietarios en respuestas y las herramientas de IA pueden mostrar información protegida en contextos inesperados.

La gobernanza de datos de IA abarca las políticas, procesos y tecnologías que controlan cómo los datos sensibles ingresan a los sistemas de IA y cómo se monitorea, retiene y distribuye el contenido generado por IA. Una gobernanza efectiva requiere inspección de contenido, análisis contextual, captura integral de interacciones con IA y detección de riesgos basada en el comportamiento.

Las organizaciones deben implementar controles de gobernanza en el punto de intercambio de datos para rastrear y controlar qué contenido confidencial ingresa a entornos de IA. Esto requiere ir más allá de los controles de infraestructura como los accesos, hacia la inspección a nivel de contenido que identifique datos sensibles tanto en entradas como en salidas de IA.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks