Experto alerta: empleados que usan IA personal pueden abrir brechas de seguridad en pymes

Se pierde completamente la gobernanza del dato
Sergio Herce explica el riesgo central cuando empleados usan IA personal sin supervisión corporativa.

En miles de pequeñas y medianas empresas, un gesto cotidiano —copiar un documento en una herramienta de IA personal— está abriendo silenciosamente brechas de seguridad que nadie detecta ni controla. El experto Sergio Herce advierte que la verdadera vulnerabilidad no llega desde afuera, sino desde adentro: desde la comodidad de un empleado que no sabe que está cediendo la información de su empresa a servidores ajenos. La inteligencia artificial ha transformado la productividad individual, pero también ha convertido el descuido cotidiano en un riesgo corporativo de primera magnitud.

  • Cada día, empleados de pymes cargan documentos confidenciales en servicios de IA personales sin que nadie en la organización lo sepa ni pueda impedirlo.
  • La información sensible —informes financieros, bases de datos de clientes, planes estratégicos— queda registrada en historiales de cuentas privadas fuera del alcance corporativo.
  • Compartir una misma cuenta de IA entre varios trabajadores agrava el problema: cualquiera puede navegar el historial y acceder a datos que no le corresponden.
  • La IA también está potenciando los ataques de ingeniería social, con correos más convincentes y suplantaciones de voz más difíciles de detectar.
  • La respuesta pasa por políticas claras de uso, formación en seguridad y el principio de mínimo privilegio, pero la mayoría de las pymes aún no ha dado ese paso.

Un empleado abre ChatGPT con su cuenta personal, pega un informe financiero de la empresa y obtiene un resumen en dos minutos. Nadie en la organización lo sabe. El documento queda registrado en el historial de una cuenta privada, en servidores sobre los que la empresa no tiene ningún control. Este escenario, repetido miles de veces al día, es lo que mantiene alerta a Sergio Herce, experto en IA y ciberseguridad de SDi.

Herce ha identificado un riesgo que crece en silencio: el uso cotidiano de herramientas de IA sin supervisión corporativa está generando brechas que muchas pymes ni siquiera saben que existen. No hace falta un ataque sofisticado. Basta con cargar un archivo interno en un servicio personal para que documentos, datos de clientes o información estratégica escapen del perímetro empresarial. Es lo que los especialistas llaman shadow IT, y cuando se aplica a la inteligencia artificial, la pérdida de gobernanza del dato es total.

El problema se agrava cuando varias personas comparten una misma cuenta de IA: cualquier empleado puede consultar el historial completo y acceder a información ajena a sus funciones. Y si esos sistemas se conectan directamente a bases de datos corporativas o ERP sin controles adecuados, el riesgo se vuelve sistémico: datos salariales, expedientes de clientes, información confidencial quedan al alcance de quien no debería verlos.

La solución que propone Herce es clara: aplicar el principio de mínimo privilegio, establecer políticas sobre qué herramientas pueden usarse y cómo, y formar a los empleados para que comprendan por qué estas prácticas son peligrosas. Las pymes deben dejar de tratar la inteligencia artificial como una herramienta personal y empezar a gestionarla como lo que es: una tecnología corporativa que exige gobernanza, supervisión y control.

Un trabajador abre ChatGPT en su navegador personal, inicia sesión con su cuenta de Gmail, y copia un informe financiero de la empresa para que la IA lo resuma. Tarda dos minutos. Nadie en la organización lo sabe. El documento, ahora procesado por servidores ajenos, queda registrado en el historial de conversaciones de esa cuenta personal. Este escenario, repetido miles de veces cada día en pequeñas y medianas empresas, es lo que mantiene despierto a Sergio Herce, experto en inteligencia artificial y ciberseguridad de SDi.

Herce ha identificado un riesgo que crece en silencio: el uso cotidiano de herramientas de IA por parte de empleados, sin supervisión corporativa, está abriendo brechas de seguridad que muchas pymes ni siquiera saben que existen. El problema no es sofisticado ni requiere un ataque externo elaborado. Es, simplemente, la práctica de cargar archivos internos en servicios de inteligencia artificial personales para resumirlos, analizarlos o mejorar una tarea. Documentos internos, datos de clientes, información estratégica: todo puede terminar en manos de plataformas sobre las que la empresa no tiene control.

Este comportamiento forma parte de lo que los especialistas llaman shadow IT, la adopción de tecnologías fuera del perímetro de supervisión organizacional. Pero cuando se trata de inteligencia artificial, el impacto es particularmente delicado. "Se pierde completamente la gobernanza del dato", explica Herce. Un empleado no solo expone un documento aislado. Puede quedar vulnerable un informe financiero completo, una base de datos de clientes, planes comerciales, información sobre estrategia competitiva. Y una vez que esa información entra en el historial de conversaciones de una cuenta personal, la empresa ha perdido toda capacidad de saber dónde termina ese contenido o quién puede acceder a él.

El riesgo se multiplica cuando las pymes cometen un error adicional: compartir una misma cuenta de herramientas de IA entre varios empleados. Esto permite que distintas personas accedan al historial completo de conversaciones, viendo datos que quizá no deberían ver. Un compañero puede consultar, simplemente navegando el menú, información financiera o estratégica ajena a sus funciones. Herce advierte que el problema es aún más grave cuando estos sistemas de IA se conectan directamente a bases de datos corporativas, programas de gestión o sistemas ERP sin controles adecuados. Sin una política clara de permisos, un usuario podría acceder a datos salariales, expedientes de clientes o información confidencial que está completamente fuera de su ámbito de trabajo.

La alerta llega en un momento de aceleración tecnológica. Recientemente, Anthropic presentó su modelo Mythos Preview, capaz de identificar vulnerabilidades de software en cuestión de minutos, reabriendo el debate sobre las capacidades de la inteligencia artificial. Pero para muchas pequeñas y medianas empresas, el peligro más inmediato no viene de ataques externos sofisticados, sino de prácticas internas mal gestionadas. Herce también señala que la inteligencia artificial ha mejorado significativamente la calidad de las campañas de ingeniería social: correos mejor redactados, suplantaciones de voz más convincentes, ataques más automatizados.

La solución, según el experto, pasa por aplicar el principio de mínimo privilegio: cada trabajador debe acceder solo a lo imprescindible para desempeñar su labor. Esto significa establecer políticas claras sobre qué herramientas de IA pueden usarse en la empresa, cómo se pueden usar, y qué información puede procesarse en ellas. Significa también formación en seguridad para los empleados, de modo que entiendan por qué estas prácticas son riesgosas. Y significa, fundamentalmente, que las pymes deben dejar de ver la inteligencia artificial como una herramienta personal y empezar a verla como una tecnología corporativa que requiere gobernanza, supervisión y control.

Los empleados que usan inteligencia artificial pueden abrir una brecha de seguridad en la empresa
— Sergio Herce, experto en IA y ciberseguridad
Solo con mirar el menú puedes ver datos financieros o estratégicos de otro compañero
— Sergio Herce, sobre el riesgo de compartir cuentas de IA
The Hearth Conversation Another angle on the story
Inventor

¿Por qué un empleado que usa IA con su cuenta personal es un problema mayor que, digamos, un trabajador que lleva documentos en un USB?

Model

Porque con el USB, al menos sabes que el documento salió del edificio. Con IA personal, el archivo entra en un sistema que no controlas, se procesa, se almacena en un historial que otros empleados pueden ver si comparten la cuenta, y tú nunca sabes realmente dónde termina esa información.

Inventor

Pero ¿no confían las empresas en que estas plataformas de IA son seguras?

Model

La seguridad de la plataforma es irrelevante si la empresa no tiene gobernanza sobre sus propios datos. ChatGPT puede ser perfectamente seguro, pero si tu información financiera entra allí sin que nadie lo sepa, has perdido el control.

Inventor

¿Cuál es el escenario más peligroso que describes?

Model

Cuando una pyme comparte una sola cuenta de IA entre varios empleados. Entonces cualquiera puede ver el historial completo de conversaciones de todos los demás. Un administrativo ve datos salariales. Un vendedor ve planes estratégicos. Es caos.

Inventor

¿Y si conectan directamente la IA a sus bases de datos?

Model

Entonces amplíficas el problema exponencialmente. Un usuario con acceso a IA conectada a tu ERP puede consultar información que no debería ver, y la IA puede procesar eso sin que haya un registro claro de qué pasó.

Inventor

¿Qué debería hacer una pyme mañana?

Model

Empezar por prohibir el uso de cuentas personales de IA. Luego, si usan IA corporativa, aplicar el principio de mínimo privilegio: cada persona accede solo a lo que necesita. Y finalmente, formar a los empleados sobre por qué esto importa.

Contact Us FAQ