Informe sobre Seguridad de Datos IA: El 83% de las organizaciones carecen de controles básicos

Un nuevo estudio de la industria realizado por Kiteworks revela una brecha crítica entre la percepción y la realidad en la preparación de seguridad de IA en las organizaciones. La investigación, que encuestó a 461 profesionales de ciberseguridad y TI, encontró que solo el 17% de las empresas cuentan con controles técnicos automatizados para evitar que los empleados suban datos confidenciales a herramientas de IA como ChatGPT. El 83% restante depende de medidas ineficaces basadas en personas, como sesiones de capacitación, correos electrónicos de advertencia o directrices escritas; el 13% ni siquiera tiene políticas. Este déficit de seguridad se agrava por una peligrosa brecha de exceso de confianza: el 33% de los ejecutivos afirma realizar un seguimiento integral del uso de IA, mientras que estudios independientes demuestran que solo el 9% cuenta con sistemas de gobernanza funcionales.

La magnitud de la exposición de datos es alarmante: el 27% de las organizaciones admite que más del 30% de la información enviada a herramientas de IA contiene datos privados como números de la Seguridad Social, historiales médicos, información de tarjetas de crédito y secretos comerciales. Otro 17% no tiene visibilidad sobre lo que los empleados comparten con plataformas de IA. La proliferación de “IA en la sombra”—herramientas no autorizadas descargadas por empleados—crea miles de puntos invisibles de filtración de datos. Con el 86% de las organizaciones sin visibilidad sobre los flujos de datos de IA y un promedio de 1,200 aplicaciones no oficiales por empresa, la información confidencial fluye rutinariamente hacia sistemas de IA donde queda incrustada permanentemente en los modelos de entrenamiento, potencialmente accesible para la competencia o actores maliciosos.

El cumplimiento normativo representa otro desafío crítico a medida que la aplicación de regulaciones se acelera. Las agencias estadounidenses emitieron 59 normativas de IA en 2024, más del doble que el año anterior, pero solo el 12% de las empresas considera las violaciones de cumplimiento entre sus principales preocupaciones sobre IA. Las prácticas actuales infringen diariamente disposiciones específicas del GDPR, CCPA, Ley HIPAA y regulaciones SOX. Sin la visibilidad adecuada sobre las interacciones con IA, las organizaciones no pueden responder a solicitudes de eliminación de datos, mantener los registros de auditoría requeridos ni demostrar cumplimiento durante revisiones regulatorias. El tiempo medio de remediación para credenciales expuestas se extiende a 94 días, lo que da a los atacantes meses para explotar accesos filtrados.

El informe identifica cuatro acciones urgentes que las organizaciones deben tomar: realizar auditorías honestas del uso real de IA para cerrar la brecha de exceso de confianza del 300%; implementar controles técnicos automatizados, ya que las medidas dependientes de personas fallan de forma constante; establecer centros de mando unificados de gobernanza de datos para rastrear todos los movimientos de datos relacionados con IA; e implementar una gestión de riesgos integral con monitoreo en tiempo real en todas las plataformas. La convergencia entre la adopción explosiva de IA, el aumento de incidentes de seguridad y la aceleración regulatoria crea una ventana de acción que se cierra rápidamente. Las organizaciones que no aseguren su uso de IA ahora se enfrentan a sanciones regulatorias significativas, daños reputacionales y desventajas competitivas, ya que los datos confidenciales compartidos hoy quedan incrustados de forma permanente en los sistemas de IA.

Recursos adicionales

• Artículo del Blog Arquitectura Zero Trust: Nunca confíes, verifica siempre
• Artículo del Blog Informe: Proteger las comunicaciones de contenido confidencial es más importante que nunca
• Artículo del Blog Qué significa extender Zero Trust a la capa de contenido
• Artículo del Blog Proteger los datos confidenciales en la era de la IA generativa: riesgos, desafíos y soluciones
• Artículo del Blog Zero Trust para la privacidad de datos: un enfoque práctico para el cumplimiento y la protección