¿Qué es la IA en la sombra?

• Su organización se enfrenta a riesgos inmediatos de fuga de datos cuando los usuarios pegan propiedad intelectual (IP) o información de carácter personal (PII) confidencial en modelos públicos de IA.
• Las prohibiciones de herramientas de IA rara vez funcionan. Los responsables de seguridad tienen éxito cuando actúan como intermediarios que permiten un uso seguro de la IA.
• Su organización debe establecer la visibilidad como primer paso para el gobierno, adoptando una seguridad estándar para la IA mediante herramientas como Tenable AI Exposure.

La TI en la sombra surge cuando sus empleados utilizan herramientas de inteligencia artificial no autorizadas para realizar su trabajo, como cuando los miembros del personal utilizan aplicaciones de IA generativa, como modelos de lenguaje grandes (LLM) para redactar contenidos, generar imágenes, escribir código o analizar datos sin la aprobación de su equipo de TI.

Aunque el concepto de IA en la sombra refleja el de la TI en la sombra tradicional (el uso de software o hardware no aprobados), la IA en la sombra acelera su riesgo cibernético. Piense en la IA en la sombra como una TI en la sombra mucho más complicada. 

La TI en la sombra tradicional suele requerir instalación o adquisición, lo que crea fricciones. En cambio, sus usuarios pueden acceder instantáneamente a herramientas de IA gratuitas basadas en navegador. El acceso rápido y sencillo permite que la adopción de la IA se propague de forma viral entre su plantilla antes de que sus equipos de seguridad puedan siquiera detectarla.

El flujo de datos es un diferenciador crítico entre la IA en la sombra y la TI en la sombra. Mientras que los riesgos tradicionales suelen centrarse en el software no aprobado como vulnerabilidad, la IA en la sombra introduce el riesgo a través de los datos que se introducen en ella.

Cuando los empleados pegan código propietario, información confidencial de clientes o documentos de estrategia interna en modelos de IA públicos, ceden el control de sus datos. El envío de esos datos entrena al modelo para crear mejores resultados, pero también expone a su organización a la fuga de datos. La IA puede aprender y más tarde revelar su propiedad intelectual exacta en respuesta a consultas externas.

Como mejor práctica, clasifique sus herramientas de IA por funcionalidad y riesgo:

• La IA autorizada suele ser de bajo riesgo. Piense en instancias gestionadas por la empresa de ChatGPT Enterprise, donde usted controla la retención de datos y la configuración de privacidad.
• La IA en la sombra conlleva un riesgo de variable a alto. Estas herramientas de IA no gestionadas permiten que los datos salgan de su perímetro. Algunas tienen buena reputación, como la versión gratuita de ChatGPT. Otras, como DeepSeek, son más ocultas y pueden carecer de transparencia o de controles de seguridad sólidos.
• Los agentes de IA y las herramientas autónomas de IA constituyen un riesgo crítico. A diferencia de los chatbots básicos, que suelen limitarse a responder preguntas, los agentes y las herramientas autónomas pueden realizar tareas sin supervisión humana.

Vea cómo integrar la seguridad de la IA en la sombra en su estrategia de gestión de exposición: Seguridad para la IA frente a IA para la seguridad.

La IA en la sombra introduce riesgos inmediatos para la propiedad intelectual y el cumplimiento de la normativa. Mientras que los atacantes suelen tardar tiempo en explotar las vulnerabilidades del software tradicionales, los fallos de seguridad de la IA generativa pueden producirse en cuanto un empleado pulsa "enter" en un teclado.

Su principal preocupación debe ser la fuga de datos. 

Cuando sus equipos pegan código propietario, previsiones financieras o datos confidenciales de los clientes en un chatbot de IA público, básicamente están entregando esa información al proveedor del modelo. 

Desgraciadamente, la mayoría de las condiciones de servicio públicas permiten a estos proveedores de IA utilizar datos de entrada para el entrenamiento de modelos. Eso significa que sus secretos comerciales podrían acabar en la respuesta de un competidor más adelante.

Si su organización confía en modelos no gestionados, la IA en la sombra también introduce el riesgo de resultados de IA perjudiciales o poco éticos, que pueden provocar daños a la reputación o fallos operativos.

Más allá de la pérdida de datos, la dependencia de herramientas de consumo no supervisadas pone en riesgo la calidad y confiabilidad de los resultados de la IA, lo que puede afectar a las operaciones principales de la empresa.

También se enfrenta a una nueva clase de riesgo oculto: los agentes autónomos de IA. 

Como señala CIO.com, los "agentes ocultos" son más que simples chatbots. Pueden realizar tareas complejas sin supervisión. Estas herramientas de IA a menudo eluden por completo el gobierno tradicional de la ciberseguridad. 

Cuando los empleados eluden la IA autorizada, operan fuera de su visibilidad. El informe "Access-Trust Gap" de 1Password descubrió que el 33 % de los empleados admite que no siempre sigue las políticas para el uso de la IA. 

Estos flujos de datos no supervisados también paralizan la respuesta ante incidentes. Su equipo no puede mitigar una filtración de datos ni cumplir la normativa por una filtración que no puede ver. 

Para gobernar eficazmente la IA en la sombra, hay que reconocer dónde se esconde. Sin que usted lo sepa, puede aparecer en todas las funciones de su empresa. El deseo de los empleados de trabajar más rápido es un motor común.

• Los ingenieros de desarrollo de software suelen pegar bloques de código propietario en los LLM para depurar errores o generar documentación. En un incidente ampliamente difundido, los empleados de Samsung filtraron accidentalmente código confidencial de su propiedad al subirlo a un asistente público de inteligencia artificial. Los desarrolladores también suelen crear instancias en la nube no autorizadas para alojar sus propios modelos de IA de código abierto, lo que crea vulnerabilidades de infraestructura no gestionadas.
• Los equipos de marketing y ventas utilizan a menudo la IA para redactar correos electrónicos o analizar clientes potenciales. Podrían cargar hojas de cálculo que contengan listas de clientes o cifras de ingresos por ventas en herramientas públicas para generar resúmenes y exponer inadvertidamente información de identificación personal y datos financieros al proveedor del modelo de IA.

Incluso los departamentos conscientes de los riesgos, como el jurídico y el de RR.HH., pueden cometer estos errores. Un colaborador del departamento jurídico puede subir un contrato confidencial para resumir términos complejos, o un responsable de recursos humanos puede pegar revisiones de desempeño para redactar comentarios. En ambos casos, datos internos muy confidenciales pasan a ser de dominio público.

Los directivos de su organización pueden sentirse tentados a prohibir por completo la IA generativa. Parece la opción más fácil, pero no lo haga. 

Las prohibiciones estrictas de la IA rara vez funcionan. Llevan el uso de la IA a la clandestinidad. Los empleados que creen que la IA les hace más productivos encontrarán soluciones. Utilizarán sus dispositivos personales o VPN fuera de la red, lo que le deja sin visibilidad.

En lugar de convertirse en el "Departamento del No", adopte el papel de "intermediario" de la IA, es decir, facilite el acceso a las herramientas de IA que su empresa necesita al mismo tiempo que establece las barreras necesarias para mantener la seguridad de los datos. Usted valida qué herramientas cumplen las normas de seguridad y proporciona una vía autorizada para su uso.

Comience con una política de uso aceptable de la IA clara. Su Política de uso aceptable de la IA debe aclarar qué clasificaciones de datos son seguras para la IA y cuáles están fuera de su alcance. 

Al aclarar las normas en lugar de bloquear la capacidad, se genera confianza y se anima a los usuarios a permanecer en un entorno visible y supervisado.

¿Necesita ayuda para empezar con el gobierno de la IA? Lea nuestra guía en ¿Qué es la política de uso aceptable de la IA?

Para hacer posible la innovación en IA y proteger al mismo tiempo sus datos, necesita un marco continuo de gobierno de la IA en cinco pasos. Tenable cree que la visibilidad es la capa fundamental para este gobierno. Solo unificando la visibilidad a lo largo de TI, nube, identidades, OT, IA y el resto de su superficie de ataque puede reducir eficazmente el riesgo.

1. Descubra su exposición a la IA

La visibilidad es su protección fundamental contra los riesgos de la IA en la sombra. Debe identificar todas las herramientas de IA que se utilizan en su entorno, desde las instancias de negocios autorizadas hasta las aplicaciones públicas no autorizadas que se ejecutan en los navegadores de los empleados. 

Aunque muchas organizaciones confían en herramientas tradicionales como la prevención de pérdida de datos (DLP), el agente de seguridad de acceso a la nube (CASB), la detección y respuesta en puntos de conexión (EDR) o los controles de seguridad nativos en la nube, a menudo resultan insuficientes. No disponen de un contexto específico para comprender los modelos de IA y sus flujos de datos únicos. 

Para encontrar el uso en la sombra que se le escapa, necesita una detección automatizada diseñada específicamente para la IA:

AI Aware le ayuda a inventariar el uso de la IA revelando las aplicaciones en puntos de conexión y redes.

Las capacidades de IA-SPM le permiten inventariar la IA en entornos de compilación para descubrir el desarrollo de la IA en la sombra antes de que entre en funcionamiento. Para proteger este flujo de trabajo, utilice Tenable AI Exposure para validar el riesgo antes de la implementación y monitorear continuamente las exposiciones en el tiempo de ejecución.

2. Evalúe el riesgo de la IA

Una vez que vea las herramientas de IA, evalúelas. Revise las condiciones de servicio de cada aplicación. 

• ¿Reclama el proveedor de IA la propiedad de sus datos?
• ¿Utilizan sus datos para entrenar modelos públicos de IA?
• ¿En qué región aloja el sistema sus datos (por ejemplo, la UE o China)?
• ¿Qué tipos de conformidad industrial cumple el proveedor de IA?

A continuación, clasifique cada herramienta como "segura", "restringida" o "prohibida" en función de estos hallazgos.

Tenable AI Exposure supervisa continuamente estos agentes de IA en la sombra para mostrarle exactamente cómo operan y qué riesgos de IA introducen.

3. Gobierne con una política

Formalice sus decisiones en una política clara de gobierno de la IA. Debe definir exactamente quiénes pueden utilizar la IA, qué herramientas de IA pueden utilizar y qué datos pueden introducir. 

Su política también debe establecer métricas claras de responsabilidad para que la junta directiva y el CEO validen que la IA es segura y ofrece el valor de negocios esperado. Como punto de partida, alinee su estrategia de gobierno de la IA con el Marco de Gestión de Riesgo de la IA del NIST.

Además, para demostrar el retorno de la inversión, amplíe sus métricas más allá de la reducción de riesgos para incluir el impacto en el negocio, como el seguimiento de las tasas de adopción de herramientas de IA autorizadas frente a las no autorizadas y la estimación de la eficiencia operativa que su organización obtiene al trasladar a los usuarios a modelos de IA seguros y de nivel empresarial.

4. Capacite a su personal

La política no es nada sin una buena capacitación. Enseñe a sus empleados por qué existen estas barreras de seguridad para el uso de la IA. Explique los riesgos específicos de fuga de datos que plantean las herramientas de IA, para que entiendan que está protegiendo los secretos de la empresa, no sólo aplicando normas arbitrarias.

5. Supervise y audite continuamente el uso de la IA

El panorama de la IA cambia a diario. Surgen nuevas herramientas, y las herramientas seguras cambian sus condiciones de servicio. Debe mantener un ciclo de auditoría continuo para detectar herramientas no autorizadas. Como destaca ISACA, la auditoría de estas herramientas de IA no autorizadas es fundamental para mantener una empresa que cumpla las normas ante la rápida adopción de la IA.

En última instancia, la IA generativa ofrece un valor inmenso, pero su organización debe adoptarla de forma segura y meditada. No deje que el uso de la IA en la sombra dirija sus exposiciones ocultas. Al establecer una visibilidad y un gobierno claros, puede capacitar a su personal para innovar sin entregar sus datos al dominio público de la IA.

Vea, proteja y gestione su ecosistema de IA con Tenable AI Exposure.

• Comuníquese con Tenable para obtener una consulta o una demostración sobre seguridad para la IA.
• Vea o únase a los seminarios web de Tenable sobre temas de IA.
• Revise la página de plug-ins de Tenable para la detección de IA.

A medida que surge la IA y aumenta su adopción, la cantidad de preguntas también crece al mismo ritmo. A continuación hemos recopilado algunas de las preguntas más frecuentes, con el objetivo de responder a las más apremiantes.

¿Cuál es la diferencia entre la IA en la sombra y la TI en la sombra? 

TI oculta se refiere a cualquier software o hardware de IA no autorizado. La IA en la sombra es un subconjunto específico que incluye herramientas de inteligencia artificial. La principal diferencia radica en el perfil de riesgo. La TI oculta pone en peligro su infraestructura, mientras que la IA en la sombra pone en peligro principalmente los datos que usted le proporciona.

¿Se considera ChatGPT una IA en la sombra? 

Si ChatGPT está en su lista de IA aprobadas, entonces se puede usar; de lo contrario, es IA en la sombra.

¿Cómo puedo detectar el uso de la IA en la sombra? 

No se puede confiar en las encuestas manuales para detectar el uso de IA en la sombra. Tenable One Exposure Management unifica los datos de AI Aware, AI-SPM y Tenable AI Exposure para sacar a la superficie las exposiciones a la IA de los puntos de conexión, la red, la nube y las identidades.

Obtenga una visibilidad completa de las aplicaciones de IA y cierre su brecha de exposición a la IA con la plataforma de gestión de exposición Tenable One.