Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > El problema del 31%: Las brechas de formación en IA oculta ahora representan un riesgo interno

El problema del 31%: Las brechas de formación en IA oculta ahora representan un riesgo interno

by Patrick Spencer updated mayo 27, 2026 Gestión de Riesgos de Ciberseguridad
Reading Time: 8 minutes

El Informe Global sobre el Costo de Riesgos Internos de DTEX/Ponemon 2026 posiciona la IA en la sombra como el principal impulsor de incidentes internos por negligencia, superando al uso compartido de archivos no supervisado, el correo web personal y cualquier otra categoría de la lista. Este cambio reordena las prioridades que todo CISO heredó hace un año. El costo anual promedio de los incidentes internos es de $19.5 millones. El 92% de las organizaciones afirma que la IA generativa ha cambiado la forma en que los empleados comparten información, pero solo el 13% ha integrado la IA en su estrategia empresarial formal. La brecha entre el comportamiento y la política es el problema resumido en una sola frase.

El Informe de Pronóstico Kiteworks 2026 sitúa la IA en la sombra en su grupo de los cinco principales riesgos de seguridad de IA y califica la madurez de control como «muy débil», señalando directamente que «pocos cuentan con herramientas de descubrimiento». La mayoría de los equipos de seguridad no pueden enumerar, por escrito, qué servicios de IA está usando su personal esta semana.

5 conclusiones clave

1. La IA en la sombra acaba de convertirse en el principal impulsor de negligencia interna.

Los datos de DTEX/Ponemon 2026 la señalan como la mayor causa de incidentes por negligencia, por encima del uso compartido de archivos no supervisado y el correo web personal. Esto reclasifica un problema que la mayoría de los programas de seguridad aún trata como secundario. Con $19.5 millones anuales por organización, es el mayor costo no gestionado en el portafolio de riesgos internos, y las vías de pérdida de datos que genera son estructuralmente invisibles para la mayoría de las tecnologías de seguridad.

2. La brecha de capacitación es la brecha.

La Serie de Investigación Work Reborn de Lenovo 2026, basada en una encuesta a 6,000 empleados de empresas a nivel global, encontró que el 31% de los usuarios de IA no recibe capacitación formal en IA por parte de su empleador, aunque hasta un tercio ya usa IA fuera de la gobernanza de TI. Los usuarios sin formación no toman decisiones más seguras por sí mismos. Si no saben qué datos están regulados o qué herramientas están autorizadas, la brecha de gobernanza solo se cierra cuando los datos ya se han perdido.

3. La fuerza laboral de dos velocidades es real.

Lenovo documenta una fuerza laboral que se divide en dos: empleados con herramientas gestionadas y supervisión de TI, y usuarios independientes en servicios de IA de consumo. En la segunda vía es donde se producen las filtraciones de datos regulados. Solo el 13% de las organizaciones ha integrado formalmente la IA en su estrategia empresarial, a pesar de que el 92% reconoce que la IA ha cambiado el comportamiento de intercambio de información, lo que significa que la segunda vía crece más rápido de lo que la primera puede absorberla.

4. Falta visibilidad donde más importa.

Solo el 36% de las organizaciones tiene alguna visibilidad sobre cómo los terceros gestionan los datos dentro de sistemas de IA. Las herramientas de descubrimiento específicas para IA en la sombra son aún más escasas. El Pronóstico Kiteworks 2026 califica la madurez de control de la IA en la sombra como «muy débil» porque la mayoría de las organizaciones se basa en autodeclaraciones: piden a los empleados que informen qué herramientas de IA usan y confían en las respuestas. Los empleados sin formación en gobernanza de IA que autoinforman sobre herramientas que no comprenden no es un control real.

5. La solución es productividad gobernada, no prohibiciones.

Prohibir la IA empuja su uso a la segunda vía y acelera la filtración. La gobernanza a nivel de datos —acceso de confianza cero, aplicación de ABAC, privilegio mínimo a nivel de contenido— mantiene la productividad y reduce la exposición. El objetivo es que el camino de IA autorizado sea más sencillo que la solución alternativa. Esa es la única intervención que respaldan los datos.

Confías en que tu organización es segura. Pero ¿puedes comprobarlo?

Lee ahora

Por qué la estadística del 31% sin capacitación de Lenovo importa más que los números de adopción

La cifra de capacitación es el hallazgo clave porque las estadísticas de adopción describen lo que hacen los empleados, mientras que la de capacitación indica si pueden hacerlo de forma segura. Lenovo documenta el patrón estructural detrás del número: la fuerza laboral se divide entre quienes tienen herramientas gestionadas por TI, formación y supervisión, y quienes operan de forma independiente con servicios de IA de consumo. El primer grupo está gobernado. El segundo es de donde provienen las filtraciones.

Esto se complementa con un hallazgo del Estudio de Referencia de Privacidad de Datos de Cisco 2024, realizado a 2,600 profesionales: el 48% admitió ingresar información no pública de la empresa en herramientas GenAI. Los usuarios sin formación tampoco reciben orientación sobre qué se considera información no pública. No toman malas decisiones a propósito. Toman las únicas decisiones que saben tomar.

Esa es la definición práctica de riesgo interno por negligencia. No es malicia, es una fuerza laboral a la que se le pide productividad impulsada por IA sin mostrarle los límites. El 31% es el síntoma; la ausencia de una arquitectura de límites es la causa.

En qué se diferencia la IA en la sombra de la TI en la sombra —y por qué es peor

La TI en la sombra era un problema de inventario de software. La IA en la sombra es un problema de salida de datos. Cuando un analista financiero implementaba una herramienta SaaS no autorizada en 2018, los datos solían quedarse en la base de datos de la herramienta. Con la IA en la sombra, los datos salen de la organización en cuanto se envía el prompt. Un LLM de consumo toma el prompt, lo procesa y puede usarlo para entrenamiento o registro según términos que la mayoría de los empleados nunca ha leído.

El Informe Global de Amenazas de CrowdStrike 2026 documentó un aumento del 89% interanual en ataques de adversarios habilitados por IA. Los defensores ya están corriendo para ponerse al día. La IA en la sombra añade un segundo canal de exfiltración, gestionado completamente por los propios empleados, actuando de buena fe, enviando datos regulados a destinos no empresariales porque nadie les dijo que no lo hicieran. La investigación de DTEX enumera tres principales factores de riesgo por negligencia: uso compartido de archivos no supervisado, correo web personal y IA en la sombra. Los dos primeros son categorías de décadas con controles bien establecidos. La IA en la sombra es la nueva entrada y la mayoría de las organizaciones aún no tiene controles implementados.

Lo que realmente les falta a los CISOs en la capa de visibilidad

Las cifras de visibilidad en torno a la IA son peores de lo que sugieren los gráficos principales. El Pronóstico Kiteworks 2026 encuentra que solo el 36% de las organizaciones tiene alguna visibilidad sobre cómo los socios gestionan los datos en sistemas de IA. El otro 64% confía en contratos y cuestionarios. Eso no es visibilidad, es papeleo. El mismo informe sitúa la gestión de proveedores de IA de terceros en la cima de la lista de preocupaciones de seguridad de IA, citada por el 30% de las organizaciones como el problema número uno. El riesgo está identificado. Falta la visibilidad.

Para la IA en la sombra, las herramientas de descubrimiento son aún más escasas. La madurez de control se califica como «muy débil» con la nota explícita de que «pocos cuentan con herramientas de descubrimiento». El informe WEF «AI and Cyber: Empowering Defenders», desarrollado con KPMG en 84 organizaciones de 15 industrias, halló que el 94% de los líderes en ciberseguridad considera la IA como la influencia clave en la ciberseguridad. Esa creencia aún no se ha traducido en visibilidad implementada en la salida de datos. Los CISOs ven la IA como transformadora para la defensa; aún no han construido la defensa en torno al flujo de datos de la IA.

Por qué prohibir la IA traslada el riesgo a la vía equivocada

Una prohibición provoca dos cosas. Hace que la mitad de la fuerza laboral, preocupada por la productividad, busque soluciones alternativas: dispositivos personales, redes móviles, capturas de pantalla copiadas y pegadas, cuentas gratuitas en plataformas que TI ni conoce. Y crea una brecha de credibilidad con la mitad que usa IA para trabajar de verdad. Ambos grupos terminan en la «segunda vía» de Lenovo. La prohibición acelera justo el patrón que se quería evitar.

El Informe Bad Bot de Thales 2026 encontró que el tráfico automatizado representó el 53% de todo el tráfico de internet observado en 2025. Los agentes de IA han surgido como una tercera categoría que mueve datos en nombre de identidades humanas a velocidad de máquina. Las prohibiciones no llegan a esa capa. La respuesta arquitectónica es hacer que la vía gobernada sea más fácil de usar que la segunda: herramientas de IA empresariales con controles de acceso a nivel de contenido, personal capacitado y registros auditables con calidad probatoria.

La arquitectura que cierra la brecha: acceso gobernado a datos de IA

La solución no es una circular de políticas, sino un plano de control. La gobernanza a nivel de datos es el patrón arquitectónico que cierra la brecha de la IA en la sombra sin sacrificar productividad. Tres propiedades hacen que un plano de control sea apto para IA:

Privilegio mínimo a nivel de contenido. La autorización sigue al dato, no a la identidad del usuario. Un empleado autorizado para un registro de RRHH no lo está para todo el repositorio, y un asistente de IA que actúa en nombre de ese empleado hereda los mismos límites por registro. La mayoría de los sistemas de acceso actuales se basan en roles a nivel de carpeta que no resisten la generación aumentada por recuperación, donde un agente de IA puede leer todo un corpus en milisegundos.

Descubrimiento y clasificación en la ruta de salida. La IA en la sombra es invisible hasta que un prompt cruza el límite empresarial. El plano de control debe inspeccionar el tráfico saliente hacia endpoints de IA, clasificar el contenido enviado y aplicar políticas en línea. El hallazgo «pocos cuentan con herramientas de descubrimiento» del Pronóstico Kiteworks 2026 es precisamente la brecha que llena un plano de control real.

Registros de auditoría con calidad probatoria. El Pronóstico Kiteworks 2026 encuentra que el 33% de las organizaciones carece de registros de auditoría adecuados y el 61% tiene registros fragmentados que no son accionables. Cuando un regulador o demandante pregunta quién accedió a qué, a través de qué agente de IA, la respuesta debe ser un solo registro consultable, no una reconstrucción entre nueve sistemas. La puerta de enlace de datos IA de Kiteworks ofrece acceso gobernado, aplicación a nivel de contenido y registros con calidad probatoria en correo electrónico, uso compartido de archivos, MFT, SFTP, formularios web y tráfico de IA en un solo plano de control.

Qué deberían hacer los CISOs este trimestre

Primero, realiza un sprint de descubrimiento de IA en la sombra. Haz un inventario de los servicios de IA que realmente usa tu personal, no los autorizados, sino los que revelan los registros de salida, la telemetría del navegador, los reportes de gastos y encuestas anónimas. El hallazgo «pocos cuentan con herramientas de descubrimiento» del Pronóstico Kiteworks 2026 significa que la mayoría de los CISOs debe armar esto con la telemetría existente. Hazlo igual: no puedes gobernar un inventario que no tienes.

Segundo, cierra la brecha de capacitación. El 31% de los usuarios de IA no recibe formación formal. Capacitación obligatoria y breve sobre qué datos están regulados, qué es una herramienta de IA autorizada y las consecuencias de mezclar ambos. Acompáñalo de una lista publicada de servicios aprobados para que los empleados puedan corregirse sin escalar el problema.

Tercero, enruta el tráfico de IA a través de un plano de control. El tráfico hacia IA empresarial pasa por infraestructura gobernada con controles de acceso a nivel de contenido, clasificación en el punto de salida y registro de auditoría completo. El tráfico hacia IA no autorizada se bloquea o pone en cuarentena con un mensaje claro en línea que indique la alternativa. El 61% de las organizaciones opera con infraestructuras fragmentadas de intercambio de datos que no pueden soportar registros de auditoría con calidad probatoria: esa es la mayor brecha de infraestructura a cerrar.

Cuarto, soluciona el problema de visibilidad con IA de terceros. Solo el 36% tiene visibilidad sobre la gestión de IA por parte de socios. Añade cláusulas específicas de IA en los contratos con proveedores clave: uso de datos de entrenamiento, retención, divulgación de subprocesadores, notificación de incidentes. Luego verifica las respuestas: los cuestionarios por sí solos no son supervisión.

Quinto, integra los eventos de IA en tu programa de riesgos internos. La reclasificación de DTEX de la IA en la sombra como principal impulsor de negligencia debe cambiar cómo tu equipo prioriza alertas. Las anomalías relacionadas con IA —volumen inusual de prompts, contenido sensible en prompts salientes, uso repetido de servicios no autorizados— deben gestionarse en el mismo flujo de trabajo que el uso compartido sospechoso de archivos y la salida de correo web personal.

Para saber más sobre cómo proteger tu información confidencial del consumo por IA, solicita una demo personalizada hoy mismo.

Preguntas frecuentes

Las prohibiciones llevan el uso de IA a dispositivos personales, redes móviles y cuentas gratuitas que el equipo de seguridad no puede ver. DTEX/Ponemon 2026 sitúa la IA en la sombra como el principal impulsor de negligencia interna precisamente porque la fuerza laboral busca alternativas en vez de dejar de usar IA. Solo el 36% de las organizaciones tiene visibilidad sobre cómo los socios gestionan los datos en sistemas de IA. Sustituye la prohibición por una alternativa de puerta de enlace de datos IA gobernada: haz que el camino autorizado sea fluido y el no autorizado, bloqueado.

Relaciona el hallazgo del 31% sin capacitación de Lenovo con el costo promedio de incidentes internos de $19.5 millones anuales por organización según DTEX/Ponemon 2026. Luego presenta tus propios datos de descubrimiento: el porcentaje de uso de IA que pasa por infraestructura gobernada versus la segunda vía. El Pronóstico Kiteworks 2026 calificó la madurez de control de la IA en la sombra como «muy débil» y con pocas herramientas de descubrimiento. El indicador clave para el consejo no es la adopción de IA, sino el porcentaje de interacciones con IA que generan un registro de auditoría defendible.

Sí. Las familias de control de acceso de CMMC Nivel 2 requieren autorización aplicada en cada sistema que maneje CUI, y los servicios de IA de consumo no son sistemas autorizados. El 61% de las organizaciones opera con infraestructuras fragmentadas de intercambio de datos que no soportan registros de auditoría con calidad probatoria, la arquitectura que revisan los evaluadores de CMMC. Enruta el tráfico de IA por un plano de control gobernado con controles ABAC y registros inviolables antes de la evaluación, no durante ella.

La IA en la sombra genera transferencias de datos transfronterizas no controladas y procesamiento no documentado, lo que activa las obligaciones de registro del Artículo 30 del RGPD y los requisitos de divulgación de las leyes de privacidad estatales de EE. UU. El Pronóstico Kiteworks 2026 encuentra que el 29% de las organizaciones cita las transferencias transfronterizas de IA como una de las principales exposiciones. Sin registros de auditoría con calidad probatoria, las organizaciones no pueden demostrar la base legal, la limitación de propósito ni el mecanismo de transferencia que exigen los reguladores.

Visibilidad de salida con aplicación de políticas en la ruta hacia los endpoints de IA. Haz inventario de los servicios de IA que utiliza tu personal, clasifica el contenido enviado y bloquea o pone en cuarentena los destinos no autorizados con una redirección en línea a la alternativa aprobada. La Red de Contenido Privado de Kiteworks implementa este patrón: primero descubrimiento, luego aplicación gobernada en correo electrónico, uso compartido de archivos, MFT, SFTP y tráfico de IA en un solo plano de control.

Recursos adicionales

  • Artículo del Blog
    Estrategias Zero‑Trust para una protección de privacidad de IA asequible
  • Artículo del Blog
    Cómo el 77% de las organizaciones falla en la seguridad de datos de IA
  • eBook
    Brecha de gobernanza de IA: por qué el 91% de las pequeñas empresas juega a la ruleta rusa con la seguridad de datos en 2025
  • Artículo del Blog
    No existe ningún «–dangerously-skip-permissions» para tus datos
  • Artículo del Blog
    Los reguladores ya no preguntan si tienes una política de IA. Quieren pruebas de que funciona.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks