Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > Cómo gobernar la IA oculta sin frenar la innovación

Cómo gobernar la IA oculta sin frenar la innovación

by Patrick Spencer updated junio 5, 2026 Gestión de Riesgos de Ciberseguridad
Reading Time: 6 minutes

La presentación 8-K es relevante porque redefine el cálculo del riesgo. Las normas de divulgación de ciberseguridad de la SEC exigen que las empresas públicas informen incidentes de ciberseguridad materiales en un plazo de cuatro días hábiles desde que determinan su materialidad; y «material» se define por si un inversor razonable lo consideraría importante. Un solo empleado que use un servicio de IA de consumo para procesar datos confidenciales de la empresa puede superar ese umbral sin que intervenga ningún atacante externo.

La mayoría de los equipos de seguridad no están preparados para detectar esto. Las herramientas DLP tradicionales supervisan canales conocidos: correo electrónico, transferencias de archivos, puertos USB. Las interacciones con servicios de IA ocurren mediante sesiones de navegador, llamadas API integradas en herramientas de productividad o componentes dentro de software empresarial ya aprobado por la organización. La visibilidad a nivel de contenido permite a los equipos de seguridad detectar cuándo los datos sensibles se dirigen a un destino no autorizado, sin importar el canal por el que se transfieran.

La exposición regulatoria va más allá de la SEC. El GDPR exige que las organizaciones mantengan registros de las actividades de procesamiento de datos y garanticen que los datos personales no lleguen a destinatarios no autorizados. Un empleado que sube PII de clientes a un servicio de IA no aprobado es una posible infracción del GDPR—no es una hipótesis—y la defensa de «medidas técnicas y organizativas apropiadas» no será suficiente si la organización no tenía controles en la capa de contenido. La aplicación de la privacidad de datos no se detiene por los plazos de innovación.

5 conclusiones clave

1. Ya se ha presentado la primera 8-K de la SEC vinculada al uso no autorizado de IA por empleados.

Un solo empleado que canaliza datos sensibles a través de un servicio de IA no aprobado puede desencadenar un incidente de ciberseguridad material que una empresa pública debe divulgar. La exposición no es proporcional al volumen de uso de IA, sino a la sensibilidad de los datos involucrados. Las herramientas DLP tradicionales que supervisan correo electrónico, transferencias de archivos y puertos USB no fueron diseñadas para esto. La gobernanza debe operar en la capa de contenido.

2. La IA en la sombra suele ser invisible porque está integrada en aplicaciones ya en uso.

Los componentes de IA dentro de herramientas existentes, SDKs y librerías de terceros son más difíciles de detectar que los servicios de IA independientes; los controles de acceso estándar y los registros de VPN no son suficientes. Cuando una organización aprueba una suite de productividad, puede estar aprobando componentes de IA integrados en esa suite que procesan contenido de formas que nadie revisó. El problema del inventario de IA va mucho más allá de las herramientas independientes a las que acceden los empleados.

3. «Autorizado, no autorizado o desconocido»: la columna desconocida es donde se concentra la exposición.

Las herramientas que no han sido evaluadas, aprobadas ni denegadas son donde reside el riesgo real. No puedes gestionar un riesgo que no has categorizado. La mayoría de las organizaciones tienen puntos ciegos importantes: herramientas que no son ni autorizadas ni no autorizadas, simplemente desconocidas. El primer paso en cualquier programa de gobernanza de IA es mover las herramientas desconocidas a una de las dos columnas mediante un proceso sistemático de descubrimiento y clasificación.

4. Las restricciones sin alternativas solo desvían la IA en la sombra, no la reducen.

Esto no es especulación; es lo que ocurrió con la TI en la sombra, y el patrón se repite. Los empleados que no encuentran una vía legítima para acceder a herramientas de IA buscarán la suya propia. Las organizaciones que hacen que las herramientas aprobadas sean realmente útiles y mantienen un proceso claro para agregar nuevas, ven tasas más bajas de uso no autorizado que aquellas que solo confían en la prohibición.

5. La fuga de datos—no la alucinación—es el riesgo principal para la empresa por la IA en la sombra.

Cuando el contenido sensible sale del control de la organización y llega a un servicio de IA no aprobado, el daño ya está hecho, sin importar la respuesta de la IA. Los registros de auditoría de cada movimiento de datos no son opcionales; son la línea de tiempo del incidente que reguladores y asesores legales necesitarán, y la base de evidencia que determina si la organización puede demostrar control.

Confías en que tu organización es segura. Pero ¿puedes comprobarlo?

Leer ahora

El marco de gobernanza: visible, accesible, aplicado

El marco de Alan Snyder, CEO de NowSecure, tiene tres partes que vale la pena considerar: un equipo de operaciones de IA que define las herramientas y patrones de uso aprobados, un sistema de seguimiento de gobernanza que clasifica el uso real de IA y una lista de herramientas preaprobadas que ofrece a los empleados una vía legítima. Las organizaciones suelen invertir poco en las tres, especialmente en el sistema de seguimiento y la lista preaprobada, que son las que realmente cambian el comportamiento.

El sistema de seguimiento es donde fallan la mayoría de los programas de gobernanza. Las organizaciones redactan políticas de IA y luego no tienen mecanismo para saber si se cumplen. Una política sin sistema de seguimiento es solo un documento. Lo que ofrece la puerta de enlace de datos IA de Kiteworks es un mecanismo que clasifica el uso de IA en tiempo real, identifica destinos no aprobados antes de que los datos lleguen a ellos y genera el registro de auditoría que los equipos de cumplimiento y seguridad necesitan para demostrar control.

La lista preaprobada aborda la dimensión conductual que los controles técnicos no pueden resolver por completo. Los empleados no van a dejar de querer herramientas de IA. Si la organización no publica una lista de opciones aprobadas con un proceso viable para agregar nuevas, los empleados tomarán sus propias decisiones. La IA avanza más rápido que las compras tradicionales, lo que hace que la lista preaprobada sea un instrumento de gobernanza más urgente de lo que la mayoría de las organizaciones reconoce.

Qué significa realmente la visibilidad de la IA en las aplicaciones

El punto de Snyder sobre la IA integrada en aplicaciones, SDKs, componentes de terceros y agentes merece más atención de la que suele recibir. Cuando una organización aprueba una suite de productividad, puede estar aprobando componentes de IA integrados que procesan contenido de formas no revisadas. Cuando un desarrollador agrega una librería de terceros, esa librería puede incluir capacidades de IA que llaman a servicios externos. El problema del inventario de IA va mucho más allá de las herramientas independientes a las que acceden los empleados.

El servidor MCP seguro de Kiteworks aborda esto directamente. El Protocolo de Contexto de Modelo define cómo los agentes de IA interactúan con herramientas y fuentes de datos. Un servidor MCP gobernado proporciona a las organizaciones un único punto de integración controlado para el acceso de datos de agentes de IA, en lugar de permitir que cada agente o aplicación establezca sus propias conexiones. Las organizaciones pueden exigir que todo acceso de datos de IA pase por una capa gobernada, sin auditar cada componente de IA en cada aplicación por separado.

La gobernanza de datos de IA en esta capa no consiste en bloquear la IA, sino en garantizar que el contenido sensible—datos de clientes, propiedad intelectual, información regulada—solo llegue a sistemas de IA autorizados para procesarlo, bajo condiciones que la organización ha definido y documentado, con cada interacción registrada para la auditoría que los reguladores solicitarán.

La capa de contenido es donde debe operar la gobernanza

El problema real es claro: el contenido sensible sale del control de la organización y entra en un sistema no aprobado, bajo condiciones no revisadas, sin registro de lo sucedido. La arquitectura de confianza cero aborda esto a nivel de red, pero los controles de red fallan cuando la transferencia ocurre a través de una aplicación ya aprobada. La gobernanza debe operar a nivel de contenido.

La Red de Contenido Privado de Kiteworks clasifica, rastrea y aplica políticas a cada archivo y objeto de datos antes de que llegue a cualquier destino, incluido un servicio de IA. El uso compartido seguro de archivos, correo electrónico, MFT, SFTP, formularios web e integraciones de IA pasan por el mismo motor de políticas y el mismo registro de auditoría consolidado: un solo camino gobernado, una sola base de evidencia.

Hacer del camino gobernado el camino fácil

La gobernanza de IA no es principalmente un problema de ingeniería de seguridad. Es un problema de diseño organizacional con una capa de aplicación técnica. Las organizaciones que lo hacen bien logran que las herramientas aprobadas sean realmente útiles, mantienen un proceso claro para solicitar nuevas herramientas y aplican políticas en la capa de contenido en vez de depender del cumplimiento individual.

La formación en concienciación de seguridad es importante, pero no basta por sí sola. Los empleados que entienden el riesgo pueden seguir usando herramientas no aprobadas si las alternativas aprobadas son lentas, limitadas o difíciles de acceder. La formación que explica el porqué de la política, junto con el acceso real a herramientas que cubran la necesidad, produce mejores resultados que la formación sola. Las organizaciones que invierten en políticas y formación sin construir la infraestructura de herramientas aprobadas solo resuelven la mitad del problema.

Para saber más sobre cómo gobernar la IA en la sombra y proteger los datos sensibles de tu organización, agenda una demo personalizada hoy mismo.

Preguntas frecuentes

La IA en la sombra son herramientas y servicios de IA que los empleados usan sin aprobación ni supervisión de la organización. El riesgo principal es la fuga de datos: información confidencial transferida a servicios de IA no autorizados, sin registro de lo sucedido. A diferencia de la TI en la sombra tradicional, la IA en la sombra puede estar integrada en aplicaciones ya aprobadas por la organización, lo que dificulta su detección. Los marcos de gobernanza de IA y los controles DLP que operan en la capa de contenido son necesarios para abordarlo.

Las normas de la SEC exigen que las empresas públicas informen incidentes de ciberseguridad materiales en un plazo de cuatro días hábiles. La primera 8-K vinculada al uso no autorizado de IA por empleados demostró que canalizar datos sensibles a través de un servicio de IA no aprobado puede superar el umbral de materialidad, sin intervención de un atacante externo. Un solo empleado que use un servicio de IA de consumo para procesar datos confidenciales puede ser suficiente. La aplicación de políticas en la capa de contenido y los registros de auditoría de cada movimiento de datos proporcionan la línea de tiempo del incidente que reguladores y asesores legales necesitarán.

Clasifica el uso de IA de una organización en tres categorías: herramientas formalmente autorizadas, herramientas identificadas y prohibidas, y herramientas en uso que no han sido evaluadas. La categoría desconocida es donde se concentra la exposición. El primer paso en la gobernanza de IA es mover las herramientas desconocidas a la columna de autorizadas o no autorizadas mediante un proceso sistemático de descubrimiento. La puerta de enlace de datos IA proporciona la capa de clasificación: identifica qué datos se mueven, a dónde van y si ese destino ha sido autorizado.

Aborda el factor conductual: los empleados necesitan capacidades de IA y, si no hay una opción aprobada, buscarán la suya. Una lista publicada de herramientas aprobadas con un proceso para solicitar nuevas incorporaciones ofrece a los empleados una vía que no requiere saltarse los controles de seguridad. La lista debe ser gestionada por una función de operaciones de IA que evalúe las nuevas herramientas según la clasificación de datos y los estándares de administración de riesgos de terceros antes de aprobarlas.

El servidor MCP seguro establece una capa de integración gobernada para el acceso de datos de agentes de IA: las aplicaciones individuales no pueden establecer sus propias conexiones de datos independientes. Todo el acceso de datos de IA pasa por un punto controlado donde se aplica la política y se registran las interacciones. La puerta de enlace de datos IA amplía esto a las entradas de datos, asegurando que el contenido sensible solo llegue a componentes de IA autorizados para procesarlo, sin requerir una auditoría completa de cada componente de IA en cada aplicación.

Recursos adicionales

  • Artículo del Blog
    Estrategias Zero‑Trust para una protección asequible de la privacidad en IA
  • Artículo del Blog
    Cómo el 77% de las organizaciones falla en la seguridad de datos de IA
  • eBook
    Brecha en la gobernanza de IA: por qué el 91% de las pequeñas empresas juega a la ruleta rusa con la seguridad de datos en 2025
  • Artículo del Blog
    No existe un «–dangerously-skip-permissions» para tus datos
  • Artículo del Blog
    Los reguladores ya no preguntan si tienes una política de IA. Quieren pruebas de que funciona.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks