Empresas mexicanas enfrentan riesgos por adopción informal de IA

Brenda Ocampo

La adopción informal de inteligencia artificial (IA) empieza a perfilarse como un nuevo desafío para las empresas mexicanas, en un entorno donde la madurez en ciberseguridad sigue siendo limitada y aún no existe una regulación específica que ordene su uso.

De acuerdo con el Índice de Preparación en Ciberseguridad (Cybersecurity Readiness Index), México se encuentra en una etapa “formativa”, con 64% de las empresas en niveles bajos de preparación y apenas 3% con una infraestructura considerada verdaderamente madura.

A ello se suma la falta de un marco especializado que delimite obligaciones, responsabilidades y criterios de uso. Mientras Brasil avanza con su Marco Legal de IA y Chile mantiene un proyecto de ley en proceso legislativo, las compañías operan sin una regulación específica vigente en la materia.

De acuerdo con IBM, la IA en la sombra, conocida en inglés como shadow AI, se refiere al uso no autorizado de sistemas de inteligencia artificial por parte de empleados o usuarios finales sin la aprobación o supervisión formal del departamento de tecnología de la información.

Este fenómeno abarca desde chatbots y modelos de aprendizaje automático para análisis de datos, hasta plataformas de automatización de marketing y herramientas de visualización.

“La inteligencia artificial se está poniendo a disposición del usuario final de manera muy fácil, y eso está incrementando la situación. Actualmente, un usuario sin conocimiento técnico puede tener acceso a herramientas que, si no se manejan adecuadamente, pueden ser peligrosas, porque pueden introducir datos sensibles o confidenciales con la idea de sacar el trabajo más rápido”, señaló Adrian Galindo, cybersecurity senior director en Hitachi Vantara.

Palo Alto Networks advierte que esta práctica puede derivar en el procesamiento no autorizado de información sensible, incumplimientos normativos, ampliación de la superficie de ataque, falta de auditoría, intoxicación de modelos, resultados no verificados, filtraciones de datos y accesos de terceros con privilegios excesivos o inseguros.

El uso de cuentas personales exhibe la falta de controles internos

El Informe de Investigaciones de Filtraciones de Datos (Data Breach Investigations Report) de este año señala que 67% de los usuarios de inteligencia artificial generativa en entornos corporativos accede a servicios o cuentas personales, en lugar de utilizar canales empresariales.

En la práctica, esto significa que muchas organizaciones aún no han establecido qué plataformas pueden emplearse, bajo qué condiciones ni con qué tipo de información. Ante ese vacío, los empleados resuelven sus necesidades de productividad con los recursos que tienen a la mano.

Galindo explicó que incluso los corporativos globales han tenido que ajustar políticas, crear nuevas reglas e implementar controles frente a este fenómeno. En su organización, dijo, se desarrolló un estándar de uso de IA vinculado al user acceptance, acompañado de una matriz para distinguir entre actividades permitidas y aquellas que requieren soluciones previamente aprobadas.

“Puedes usar IA pública para explicar conceptos, para estudiar o para cosas en donde no tienes que dar información sensible. Pero si ya quieres generar un reporte de ventas o una serie de métricas en las que estás incluyendo datos de tu compañía, ahí sí tienes que usar las herramientas definidas, que ya fueron revisadas por un comité”, señaló.

Para el directivo, los primeros pasos deberían incluir un plan o proyecto con responsables claros, en el que se determine quién hace qué, a quién se informa, cuándo se informa y quién será el encargado de cada acción.

Desde su perspectiva, la IA en la sombra no puede eliminarse ni ignorarse por completo. Por ello, las empresas deben identificar, priorizar y clasificar el uso de la IA, además de implementar una estrategia proactiva para reducirla y controlarla hasta donde sea posible.

“La IA no te va a reemplazar. Va a reemplazar a la gente que no sepa usarla, implementarla o entender cómo funciona. Si tú no sabes qué hace, cómo funciona o cómo se implementa, alguien más sí lo va a saber y va a tener una ventaja”, advirtió.

Tags:

Buscar