El rápido auge de las herramientas de IA en el lugar de trabajo, unido a la creciente presión sobre los empleados para que hagan más y más rápido, significa que las organizaciones se enfrentan a un creciente punto ciego en materia de seguridad: el uso de agentes de IA.
Escrito por nuestro vicepresidente de producto, Mark Hamill, este artículo analiza de forma práctica cómo se está desplegando la IA en las organizaciones hoy en día, explora los riesgos de la «IA en la sombra» y destaca por qué las políticas claras, la educación y las herramientas aprobadas accesibles son esenciales para proteger los datos sensibles.
Tenía tres días hasta que el caso llegara a los tribunales.
Los documentos se amontonaban: declaraciones de testigos, casos precedentes, notas de preparación de seis meses. No había horas suficientes. Una colega había mencionado, de pasada, que había estado utilizando ChatGPT para resumir documentos largos. Parecía útil. Supuso que si ella lo utilizaba abiertamente, debía de estar bien, alguien debía de haberlo aprobado. Abrió una pestaña del navegador, pegó sus notas del caso y obtuvo un resumen limpio en cuestión de minutos. Funcionó. Así que lo hizo una y otra vez.
No sabía que el nivel gratuito de ChatGPT no lleva protecciones de datos empresariales. No sabía que el contenido enviado a través de una herramienta de IA para consumidores puede, dependiendo de la configuración, utilizarse para mejorar el modelo. No sabía que su empresa tenía una política al respecto porque nadie le había dicho que la hubiera. Era un abogado con un plazo judicial, haciendo lo que cualquier profesional competente hace bajo presión: utilizó la mejor herramienta disponible y realizó el trabajo.
Así es la IA en la sombra. No un empleado deshonesto. No alguien indiferente al riesgo. Sólo un profesional capaz llenando un vacío e intentando hacer su trabajo.
Nadie les dijo que no lo hicieran
Investigaciones recientes sugieren que aproximadamente la mitad de todos los trabajadores del conocimiento están utilizando herramientas de IA que su empleador no ha aprobado. La mitad. Eso significa que cualquier política que tenga su organización -si es que tiene alguna- ya está siendo superada por el comportamiento que se supone que debe regir.
La razón no es el desafío. La mayoría de las personas que utilizan herramientas de IA no autorizadas no lo hacen para eludir los controles de seguridad. Lo hacen porque no sabían que había una norma, o porque un colega estaba utilizando la misma herramienta, lo que razonablemente tomaron como una aprobación institucional. Si el jefe de mi jefe utiliza abiertamente ChatGPT en las reuniones, seguro que le han dado el visto bueno. Y la versión gratuita hace lo mismo que la de pago, ¿no? Entonces, ¿por qué plantear una solicitud de adquisición cuando la herramienta está ahí mismo en una pestaña del navegador?
Se trata de conclusiones totalmente lógicas extraídas de una información incompleta. La laguna no está en el juicio de sus empleados. Está en sus comunicaciones.
La otra mitad del problema
Fuera de la oficina, el mensaje que reciben sus empleados es alto e inequívoco: adopte la IA o se quedará atrás. Utilicen estas herramientas o verán cómo su carrera se vuelve irrelevante. Cada titular, cada conferencia de liderazgo, cada artículo sin aliento sobre la IA que está quitando puestos de trabajo les está diciendo que se muevan más rápido, que experimenten más, que se mantengan por delante de la curva. Entonces llegan al trabajo y descubren que el camino aprobado implica un formulario de adquisición, una revisión de TI y una espera de seis semanas para obtener una licencia.
El mensaje interno es el silencio. El mensaje externo es la urgencia existencial. Esa colisión es exactamente donde nace la IA en la sombra.
Lo que realmente sale por la puerta
El riesgo no es la herramienta. Es lo que se introduce en ella.
Los productos de AI de consumo que ofrecen niveles gratuitos y cuentas personales no están sujetos a los mismos acuerdos de datos que el software empresarial. Cuando un empleado pega un documento en una herramienta gratuita de IA, esos datos pueden salir por completo del control de la organización. Dependiendo de la plataforma y de su configuración, pueden almacenarse, revisarse o utilizarse para entrenar el modelo. La mayoría de los empleados no tienen ni idea de que exista una distinción significativa entre la versión gratuita y la versión para empresas. Para ellos, es el mismo producto.
Esto importa más en algunas funciones que en otras. Un abogado pegando documentos privilegiados de un cliente. Un equipo financiero resumiendo discusiones sobre fusiones. Un responsable de RRHH redactando una nota disciplinaria. No se trata de riesgos hipotéticos. En 2023, los ingenieros de Samsung pegaron código fuente propietario en ChatGPT tres veces distintas, en tres equipos distintos, antes de que nadie se diera cuenta. El código ya estaba fuera antes de que nadie levantara la mano.
La invisibilidad es lo que hace que la IA sea difícil de gestionar. La TI en la sombra -empleados que utilizan software no autorizado- al menos deja rastros en la red y en los puntos finales. Una interacción de IA en la sombra es sólo una pestaña del navegador. No hay instalador que la bloquee. Para cuando alguien sabe que ha ocurrido, los datos ya han salido por la puerta.
Qué hacer al respecto
El instinto es bloquear la IA. Bloquee las herramientas, destroce el router de la oficina y deje una nota amenazadora en la cocina junto a la tostadora.
Pero aunque se pueden bloquear las herramientas, no se puede bloquear la intención. Si elimina la herramienta y deja la presión -los plazos, la carga de trabajo, el mensaje ambiental de que la adopción de la IA no es negociable- la gente encuentra otra herramienta. Esto es exactamente lo que ocurrió con Dropbox hace una década. Las organizaciones lo bloquearon. Los empleados se pasaron al correo electrónico personal. El comportamiento no cesó; sólo se hizo más difícil de ver.
Las organizaciones que resolvieron el problema de la TI en la sombra no fueron las que tenían los controles más estrictos. Fueron las que proporcionaron una alternativa creíble y accesible, más rápidamente. La misma lógica se aplica aquí.
Si está intentando gestionar la forma en que sus empleados utilizan la IA, empiece por hacer que su postura sea visible y clara. No enterrada en una política de uso aceptable que vive en la intranet que nadie lee, sino realmente publicada y reconocida por todos. Cúbralo en su «todos a una». Nombre las herramientas que utiliza la gente. Explique la diferencia entre el nivel gratuito y la versión empresarial en un lenguaje que signifique algo para un profesional no técnico. Sea claro sobre lo que está aprobado, lo que no y por qué. No como una amenaza. Como información de seguridad.
Informe a sus directivos. La suposición «mi colega la utiliza, así que debe de estar bien» recorre los equipos porque los directivos suelen utilizar ellos mismos estas herramientas sin comprender las implicaciones. Si sus directivos no pueden explicar su política de IA, sus empleados no la seguirán.
Imparta una formación que aborde los conceptos erróneos específicos: no mensajes genéricos del tipo «tenga cuidado con los datos», sino orientaciones específicas sobre los escenarios exactos a los que se enfrenta la gente: plazos inminentes, grandes conjuntos de datos, numerosos documentos que sólo necesitan un resumen rápido. Hágalo lo suficientemente concreto como para que lo recuerden cuando alguien esté a tres horas de una fecha límite.
Y haga que la vía aprobada sea realmente fácil de usar. Si conseguir una licencia de IA legítima lleva seis semanas, la gente no esperará. Utilizarán lo que tienen. La fricción en la vía aprobada no es un elemento de seguridad. Es un generador de IA en la sombra.
-
El abogado ganó su caso. Los documentos se manejaban, el esqueleto argumental era afilado, el cliente estaba satisfecho. En algún lugar del rastro de datos, si alguien había estado mirando, esas notas del caso habían emprendido un viaje no autorizado.
Nadie miraba.
En algún lugar de su organización ha ocurrido hoy lo mismo. Sus empleados no están eludiendo su política de seguridad. Están tomando una decisión de riesgo que usted no tomó por ellos. La cuestión es si va a seguir permitiendo que eso ocurra o si va a hacer que sea más fácil hacer lo correcto que adivinar.
Haga que sea más fácil hacer lo correcto
La IA en la sombra no es un problema tecnológico, sino de visibilidad y comportamiento. Si los empleados no conocen las reglas, no pueden acceder rápidamente a las herramientas aprobadas o no comprenden el riesgo, ellos mismos llenarán el vacío.
MetaCompliance ayuda a las organizaciones a cerrar esa brecha con una concienciación sobre seguridad orientada y basada en el comportamiento. Desde la comunicación de políticas claras hasta la formación basada en escenarios reales, le ayudamos a hacer que el riesgo sea visible, la orientación procesable y el comportamiento seguro el camino más fácil.
Vea cómo MetaCompliance puede ayudarle a tomar el control del riesgo humano.