Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > Brecha crítica en la gobernanza de datos IA en educación superior: lo que las instituciones deben hacer ahora

Brecha crítica en la gobernanza de datos IA en educación superior: lo que las instituciones deben hacer ahora

by Patrick Spencer updated enero 20, 2026 Gestión de Riesgos de Ciberseguridad
Reading Time: 10 minutes

Las cifras cuentan una historia preocupante. El 94% de los trabajadores de educación superior ya utiliza herramientas de IA en su trabajo diario, pero solo el 54% sabe si su institución siquiera tiene políticas que regulen ese uso. Esta desconexión, revelada en una nueva investigación publicada el 13 de enero de 2026, representa uno de los mayores fallos de gobernanza a los que se enfrentan hoy las universidades y colegios.

Conclusiones clave

  1. La brecha entre política y práctica es enorme. Casi todos los empleados de educación superior (94%) ya usan herramientas de IA para su trabajo, pero solo el 54% conoce las políticas de uso de IA de su institución. Esta desconexión genera una exposición significativa a violaciones de privacidad de datos, brechas de seguridad y falta de cumplimiento normativo.
  2. La IA en la sombra representa riesgos inmediatos. Más de la mitad de los trabajadores de educación superior (56%) utiliza herramientas de IA que no han sido proporcionadas por sus instituciones. Los datos confidenciales de los estudiantes que circulan por sistemas de terceros no aprobados eluden los controles de seguridad institucionales y pueden incumplir FERPA, COPPA y otros requisitos regulatorios.
  3. La conciencia del liderazgo es sorprendentemente baja. Incluso los responsables de la toma de decisiones carecen de claridad sobre la gobernanza de la IA: el 38% de los líderes ejecutivos, el 43% de los gerentes y el 30% de los profesionales de ciberseguridad no están al tanto de las políticas de IA existentes. Esto sugiere que muchas instituciones simplemente carecen de políticas formales en lugar de fallar en comunicar las que ya existen.
  4. La educación va por detrás de otros sectores en controles críticos. El sector educativo muestra una diferencia de 19 puntos en evaluaciones de impacto en la privacidad respecto a los referentes globales, con solo el 6% de las instituciones realizando evaluaciones sistemáticas de privacidad para sistemas de IA. Las pruebas de red-teaming y los test adversariales también están rezagados, con solo un 6% de adopción.
  5. La EdTech de terceros multiplica la complejidad de la gobernanza. Solo el 18% de las instituciones educativas ha establecido políticas específicas de IA para proveedores que procesan datos de estudiantes. La explosión de productos EdTech habilitados con IA—desde plataformas de aprendizaje adaptativo hasta sistemas de supervisión automatizada—implica que la información de los estudiantes circula por sistemas con mínima supervisión institucional.

Los hallazgos provienen de un estudio colaborativo histórico realizado por Educause, la National Association of College and University Business Officers (NACUBO), la College and University Professional Association for Human Resources (CUPA-HR) y la Association for Institutional Research (AIR). Los investigadores encuestaron a casi 2,000 miembros del personal, administradores y docentes de más de 1,800 instituciones. Lo que descubrieron debería preocupar a cualquier líder de educación superior: una brecha entre política y práctica que genera riesgos sustanciales para la privacidad de datos, la seguridad y el cumplimiento institucional.

Desconexión entre el uso de IA y la conciencia sobre la IA

La diferencia entre lo que hacen los empleados y lo que comprenden sobre las expectativas institucionales es asombrosa. Más de la mitad de los encuestados informó que utiliza herramientas de IA no proporcionadas por sus instituciones para tareas laborales. Esto significa que los docentes redactan comunicaciones con ChatGPT, el personal analiza hojas de cálculo con asistentes de IA y los administradores automatizan flujos de trabajo mediante herramientas de terceros, todo sin supervisión institucional ni controles de gobernanza de datos.

Quizá aún más alarmante es lo que la investigación revela sobre la conciencia del liderazgo. El 38% de los líderes ejecutivos, el 43% de los gerentes y directores, y el 35% de los profesionales de tecnología informaron que desconocían las políticas diseñadas para guiar el uso de IA. Incluso el 30% de los profesionales de ciberseguridad y privacidad—las personas responsables de proteger los datos institucionales—dijeron que no sabían de la existencia de políticas de IA.

Jenay Robert, investigadora principal en Educause y autora del informe, señaló que esta desconexión «podría tener implicaciones en cuestiones como la privacidad y seguridad de los datos y otros temas de gobernanza de datos que protegen a la institución y a los usuarios de sus datos». La observación apunta a un problema fundamental: muchas instituciones probablemente carecen de políticas formales, más que simplemente fallar en comunicar las existentes.

Por qué esto importa para la protección de datos estudiantiles

La educación superior maneja información sumamente confidencial. Los expedientes de los estudiantes contienen datos sobre desempeño académico, antecedentes disciplinarios, detalles de ayuda financiera e información de salud. Según FERPA, las instituciones tienen la responsabilidad legal de proteger los registros educativos de los estudiantes. Según COPPA, existen requisitos estrictos para la recopilación de datos de menores de 13 años, directamente relevante para instituciones que atienden a poblaciones jóvenes o colaboran con K-12.

Un análisis independiente de Kiteworks sobre la gobernanza de datos de IA en distintos sectores encontró que la educación va por detrás de los referentes globales por dos dígitos en controles críticos. El sector educativo muestra una brecha de 19 puntos en evaluaciones de impacto en la privacidad, con solo el 6% de las instituciones educativas realizando evaluaciones sistemáticas de privacidad para sistemas de IA, en comparación con el 25% a nivel global. Esto representa la segunda mayor brecha de capacidades identificada en todos los sectores y métricas del estudio.

Las implicaciones son directas: los sistemas de IA que analizan el rendimiento estudiantil, predicen resultados y personalizan rutas de aprendizaje interactúan directamente con categorías de datos protegidos. Cuando el 94% de las instituciones implementa estos sistemas sin una evaluación sistemática de privacidad, la información de los estudiantes circula por herramientas y procesos que nunca fueron evaluados formalmente para cumplimiento o riesgo.

La realidad de los recursos en las instituciones

Comprender por qué existe esta brecha requiere reconocer las limitaciones únicas que enfrenta la educación superior. A diferencia de los servicios financieros o las organizaciones de salud, que cuentan con equipos dedicados al cumplimiento, la mayoría de los colegios y universidades opera con personal de TI y seguridad muy limitado. El análisis de Kiteworks encontró que el 0% de los encuestados del sector educativo reportó atención a nivel de junta directiva sobre brechas de habilidades y cuestiones de fuerza laboral, en comparación con el 14% a nivel global.

No se trata de una falta de conciencia. La educación muestra una fuerte atención de la junta directiva al riesgo cibernético general, con un 65%, empatando en el nivel más alto a nivel mundial. Los líderes comprenden lo que está en juego. Pero las capacidades operativas cuentan otra historia. El sector sabe lo que debería hacer, pero carece de los recursos para implementar marcos de gobernanza adecuados.

Considera la paradoja que se revela en los controles de sesgo y equidad. Las instituciones educativas reportan un 35% de adopción de auditorías de sesgo y equidad, superando los promedios globales por 6 puntos. Sin embargo, las pruebas de red-teaming y los test activos de sesgo están muy rezagados, con solo un 6%. Las instituciones documentan políticas sin probar si los sistemas de IA generan resultados sesgados. Las auditorías revisan documentación; las pruebas revelan el comportamiento real.

IA en la sombra: el riesgo invisible

Los hallazgos de Educause ponen de relieve un fenómeno familiar para los profesionales de seguridad de TI en todos los sectores: la IA en la sombra. Cuando el 56% de los trabajadores de educación superior utiliza herramientas de IA no proporcionadas por sus instituciones, los datos confidenciales circulan por sistemas que pueden almacenar, entrenar o compartir información de formas que incumplen políticas institucionales, requisitos regulatorios o compromisos contractuales.

La IA en la sombra genera varios riesgos específicos en el contexto educativo. Primero, los datos estudiantiles introducidos en herramientas públicas de IA pueden ser usados para entrenar modelos, exponiendo información protegida. Segundo, el profesorado que utiliza IA para calificar o evaluar puede infringir sin saberlo las protecciones de privacidad estudiantil. Tercero, los administradores que automatizan procesos mediante herramientas de terceros pueden crear vías de exportación de datos que eluden los controles de seguridad institucionales.

La investigación halló que el 92% de las instituciones tiene algún tipo de estrategia de IA, incluyendo pruebas piloto, evaluación de oportunidades y riesgos, y fomento del uso. Pero una estrategia sin aplicación deja a las instituciones expuestas. Cuando casi la mitad de los trabajadores desconoce las políticas existentes, la estrategia existe solo en el papel.

La EdTech de terceros agrava el desafío

La fuerte dependencia de la educación superior en proveedores de tecnología educativa de terceros multiplica la complejidad de la gobernanza. El análisis de Kiteworks encontró que solo el 18% de las instituciones educativas ha establecido políticas y requisitos de atestación específicos de IA para proveedores que procesan datos estudiantiles, una brecha de 15 puntos respecto a los referentes globales.

El mercado EdTech ha explotado con productos potenciados por IA: plataformas de aprendizaje adaptativo, sistemas automatizados de calificación de ensayos, software de supervisión, monitores de participación estudiantil y herramientas de alerta temprana. Muchas instituciones educativas carecen de la experiencia técnica para evaluar las prácticas de gobernanza de datos de IA de estos sistemas. Sin requisitos de atestación para proveedores, las instituciones aceptan garantías de los proveedores sin verificación, dejando la protección de los datos estudiantiles en gran medida a discreción de las empresas EdTech.

Esto genera una exposición a responsabilidades que muchas instituciones quizá no comprendan del todo. Cuando el sistema de IA de un proveedor genera resultados sesgados o sufre una filtración de datos, la institución sigue siendo responsable ante estudiantes, familias y reguladores. Los contratos con proveedores que no abordan la gobernanza de datos de IA dejan a las instituciones asumiendo riesgos que no han evaluado ni pueden controlar.

Transparencia y confianza en juego

La educación existe dentro de una red de relaciones de rendición de cuentas diferente a la de la mayoría de los sectores. Los padres esperan entender cómo la tecnología afecta la educación de sus hijos. Las juntas escolares requieren explicaciones que puedan comunicar a las comunidades. Los organismos de acreditación cada vez preguntan más sobre la gobernanza tecnológica. Exalumnos, donantes y legisladores también mantienen interés en las operaciones institucionales.

Los datos de Kiteworks revelan una brecha de 16 puntos en transparencia, con solo el 24% de las instituciones educativas implementando prácticas de transparencia frente al 40% global. La documentación de explicabilidad de modelos está 14 puntos por debajo, con solo un 12%. Para un sector responsable ante las comunidades de formas en que las organizaciones comerciales no lo están, esto genera vulnerabilidades que las medidas técnicas de seguridad por sí solas no pueden resolver.

Cuando los sistemas de IA influyen en la asignación de cursos, señalan preocupaciones de comportamiento o personalizan rutas de aprendizaje, las familias quieren saber cómo se toman las decisiones. Los padres aceptarán la IA educativa que entienden. Resistirán—e incluso podrían litigar—contra una IA que funcione como una caja negra tomando decisiones importantes sobre sus hijos.

Medir lo que importa

La investigación de Educause sacó a la luz otra brecha importante: solo el 13% de las instituciones mide el retorno de inversión de las herramientas de IA para el trabajo. Esto significa que la gran mayoría de los colegios y universidades implementa IA sin evaluar sistemáticamente si estas herramientas realmente aportan valor.

La brecha de medición importa más allá de la eficiencia. Sin datos sobre el desempeño de los sistemas de IA, las instituciones no pueden identificar cuándo las herramientas generan resultados problemáticos, detectar sesgos en decisiones automatizadas ni justificar la inversión continua. Cuando las restricciones presupuestarias obligan a tomar decisiones difíciles, las iniciativas de IA sin ROI demostrado se vuelven vulnerables a recortes, incluso si aportan valor genuino que simplemente no se midió.

Las instituciones que puedan demostrar la eficacia de la IA estarán en posición de tomar decisiones informadas sobre expansión, modificación o discontinuación. Aquellas que operen sin medición tomarán decisiones basadas en anécdotas, política o las voces más fuertes, en lugar de en la evidencia.

Cinco acciones que las instituciones deben tomar ahora

La investigación apunta a pasos concretos que toda institución debe priorizar, sin importar las limitaciones de recursos.

Establece marcos claros de gobernanza de IA. No se requiere una documentación extensa ni estructuras de comité. Se necesita claridad sobre qué herramientas de IA están aprobadas, qué datos pueden y no pueden procesarse mediante sistemas de IA y quién es responsable del cumplimiento. Incluso una política de dos páginas es mejor que el vacío actual en muchas instituciones.

Haz un inventario de las implementaciones de IA en la sombra. No se puede gobernar lo que no se conoce. Encuesta a los departamentos sobre las herramientas de IA en uso. Identifica los flujos de datos por canales no oficiales. Saca a la luz la IA en la sombra para poder evaluarla y aprobarla con controles adecuados o discontinuarla.

Implementa esquemas de clasificación de datos. No todos los datos tienen la misma sensibilidad. Los números de seguro social de los estudiantes requieren una protección diferente a la información del catálogo de cursos. La clasificación de datos permite controles proporcionales: gobernanza rigurosa para datos de alta sensibilidad y procesos simplificados para información de menor riesgo.

Ofrece capacitación integral. La brecha de 46 puntos entre el uso de IA y el conocimiento de políticas es un fallo de comunicación, no solo de política. La capacitación debe ayudar a docentes y personal a entender qué datos pueden introducirse en herramientas de IA, cómo evaluar los resultados de la IA y cuándo escalar preocupaciones. Esta formación no tiene que ser elaborada; orientaciones breves y específicas suelen funcionar mejor que módulos extensos de cumplimiento.

Desarrolla requisitos para proveedores EdTech. Las instituciones tienen un poder de compra colectivo que rara vez ejercen. Desarrolla lenguaje estándar de contrato que aborde la gobernanza de datos de IA, únete a programas de compras en consorcio con estándares compartidos de responsabilidad y exige atestaciones antes de implementar productos EdTech que procesen datos estudiantiles.

Mirando al futuro: lo que está en juego para 2026 y más allá

El informe de Educause retrata a una fuerza laboral a la vez entusiasta y cautelosa respecto a la IA. El 33% de los encuestados se describió como «muy entusiasta» o «entusiasta» con la IA, mientras que el 48% reportó una mezcla de cautela y entusiasmo. Solo el 17% expresó cautela pura.

Este sentimiento mixto refleja una complejidad adecuada. La IA ofrece un potencial real para reducir la carga administrativa, personalizar experiencias de aprendizaje y mejorar las operaciones institucionales. Los riesgos son igualmente reales: violaciones de privacidad, resultados sesgados, brechas de seguridad y erosión de la supervisión humana en decisiones importantes.

Las instituciones que prosperarán serán las que canalicen el entusiasmo a través de una gobernanza adecuada, en lugar de intentar suprimir por completo el uso de la IA. Los trabajadores claramente quieren estas herramientas: el 86% afirmó que planea seguir usando IA en el futuro, independientemente de las políticas actuales. La cuestión es si ese uso ocurrirá dentro de marcos de gobernanza que protejan a estudiantes e instituciones, o fuera de ellos.

Consecuencias de la inacción

La educación superior ha superado transiciones tecnológicas anteriores con distintos grados de éxito. El paso al aprendizaje en línea durante la pandemia reveló qué instituciones habían invertido en infraestructura digital y cuáles no. La brecha actual en la gobernanza de datos de IA producirá una diferenciación similar.

Las instituciones que establezcan marcos claros, capaciten a su personal e implementen controles adecuados estarán en posición de aprovechar los beneficios de la IA mientras gestionan sus riesgos. Aquellas que permitan que persista la brecha entre política y práctica se enfrentarán a exposición regulatoria, daño reputacional y posibles perjuicios a los estudiantes a quienes trabajan para proteger.

El análisis de Kiteworks fue contundente: la educación entra en 2026 «tensionada entre realidades opuestas: la custodia de los datos más sensibles sobre la población más vulnerable de la sociedad, gestionada con capacidades de gobernanza que serían inaceptables en sectores que manejan información mucho menos relevante». Las limitaciones de recursos son reales. Las brechas están documentadas. Las consecuencias recaen en los estudiantes.

La educación construyó su misión en torno al bienestar estudiantil. Extender esa misión a la gobernanza de datos de IA no es opcional: representa el mismo compromiso aplicado a una nueva tecnología. La investigación es clara sobre dónde existen las brechas. Ahora la pregunta es si las instituciones actuarán para cerrarlas.

Preguntas frecuentes

La brecha de gobernanza de IA se refiere a la desconexión entre el uso generalizado de herramientas de IA entre los empleados de educación superior y su conocimiento sobre las políticas institucionales que regulan ese uso. La investigación muestra que el 94% de los trabajadores de educación superior utiliza herramientas de IA, pero solo el 54% sabe que existen políticas de IA en su institución. Esta brecha genera riesgos para la privacidad de datos, la seguridad y el cumplimiento normativo, ya que los empleados pueden infringir sin saberlo FERPA, COPPA u otros requisitos al usar IA para procesar información estudiantil.

Las instituciones de educación superior gestionan información sumamente confidencial sobre los estudiantes, incluyendo expedientes académicos, detalles de ayuda financiera, información de salud y evaluaciones de comportamiento. Los sistemas de IA que analizan el rendimiento estudiantil, predicen resultados o personalizan el aprendizaje interactúan directamente con estos datos protegidos. Sin una gobernanza adecuada, las instituciones se arriesgan a incumplimientos regulatorios, filtraciones de datos, decisiones algorítmicas sesgadas que afectan a los estudiantes y pérdida de confianza de padres y comunidades que esperan transparencia sobre cómo la tecnología impacta la educación de sus hijos.

La IA en la sombra se refiere a herramientas de IA que los empleados usan para fines laborales sin la aprobación ni supervisión institucional. La investigación de Educause halló que el 56% de los trabajadores de educación superior utiliza herramientas de IA no proporcionadas por sus instituciones. Esto importa porque los datos confidenciales de los estudiantes introducidos en herramientas públicas de IA pueden usarse para entrenar modelos, exponiendo información protegida. La IA en la sombra también crea vías de exportación de datos que eluden los controles de seguridad institucionales y puede incumplir contratos con proveedores, requisitos de acreditación o regulaciones federales.

FERPA (Family Educational Rights and Privacy Act) exige que las instituciones educativas protejan los registros educativos de los estudiantes contra divulgaciones no autorizadas. Cuando las herramientas de IA procesan datos estudiantiles—ya sea para asistencia en calificaciones, análisis de aprendizaje o automatización administrativa—las instituciones deben garantizar que el manejo de datos cumpla con los requisitos de FERPA. Esto incluye verificar que los proveedores de IA califiquen como «funcionarios escolares» según FERPA, que existan acuerdos adecuados de uso de datos y que la información de los estudiantes no sea retenida ni utilizada por los sistemas de IA de formas que violen los derechos de privacidad estudiantil.

Las políticas efectivas de gobernanza de datos de IA deben especificar qué herramientas de IA están aprobadas para uso institucional, qué categorías de datos pueden y no pueden procesarse mediante sistemas de IA y quién es responsable del cumplimiento. Las políticas deben abordar tanto la IA implementada internamente como los productos EdTech de terceros, establecer requisitos de clasificación de datos, definir obligaciones de transparencia hacia estudiantes y familias, y detallar los requisitos de capacitación para docentes y personal. Incluso un documento de política simple de dos páginas brinda mayor protección que el vacío normativo que mantienen muchas instituciones actualmente.

Solo el 13% de las instituciones actualmente mide el ROI de las herramientas de IA, dejando a la mayoría sin evidencia de si estas inversiones realmente aportan valor. Una medición efectiva debe rastrear mejoras de eficiencia en procesos específicos, tasas de error antes y después de la implementación de IA, satisfacción de usuarios entre docentes y personal, e impactos en los resultados estudiantiles. Las instituciones también deben monitorear consecuencias no deseadas como sesgos en decisiones automatizadas, incidentes de privacidad de datos y violaciones de cumplimiento. Sin una medición sistemática, no se pueden tomar decisiones informadas sobre continuar, expandir o discontinuar iniciativas de IA.

Los riesgos más significativos incluyen la aplicación de cumplimiento normativo y litigios derivados de sistemas de IA implementados sin evaluaciones adecuadas de impacto en la privacidad, especialmente aquellos que procesan datos de menores protegidos por FERPA y COPPA. Otros riesgos incluyen resultados sesgados de IA en sistemas orientados a estudiantes como recomendaciones de cursos y herramientas de alerta temprana, erosión de la confianza de padres y comunidades por falta de transparencia sobre cómo la IA afecta a los estudiantes y filtraciones de seguridad por implementaciones de IA en la sombra que eluden los controles institucionales. Las instituciones que no aborden estos riesgos enfrentan posibles sanciones regulatorias, daño reputacional y, lo más importante, perjuicio a los estudiantes a quienes trabajan para proteger.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks