IA
Últimamente, los desarrolladores de software han ido incorporando funciones de IA directamente en las herramientas de trabajo cotidianas, los sistemas operativos y los navegadores. En algunos casos, son realmente útiles. Sin embargo, su presencia introduce riesgos específicos, por lo que muchas empresas se muestran reacias a darles acceso a estas herramientas a sus empleados.
En una publicación anterior, clasificamos estos sistemas de IA no deseados, vimos cómo detectarlos a nivel de red y de endpoint, y hablamos del interruptor de apagado universal definitivo: la administración del acceso OAuth en las principales plataformas corporativas. En este análisis en profundidad, vamos a entrar en detalles prácticos: vamos a explicar paso a paso cómo desactivar o restringir la IA integrada en las plataformas más populares.
Un aviso rápido: los principales proveedores de software a veces cambian los nombres de su configuración de IA y modifican su funcionamiento. Si falta alguna de las opciones que se mencionan a continuación o no funciona como se espera, una búsqueda rápida en Internet del nombre de la configuración suele indicar su nueva ubicación o denominación.
Cómo desactivar Copilot en Microsoft 365
Detección: puedes consultar el uso real de Copilot en los registros yendo a Administración de Microsoft 365 (Microsoft 365 admin) → Informe de uso de Copilot (Copilot usage report).
Desactivación mediante directivas: en el Centro de administración de Microsoft 365, ve a Configuración (Settings) → Aplicaciones integradas (Integrated Apps), busca Copilot en la lista de Aplicaciones disponibles (Available Apps) y elige Bloquear (Block). Las directivas de configuración más granulares están disponibles en Personalización (Customization) → Administración de directivas (Policy Management). La página Directivas (Policies) aquí contiene más de dos mil entradas, por lo que te conviene filtrar por palabra clave “Copilot” (guía detallada). Como Copilot es un complemento de pago para Office, otra forma de bloquearlo (y ahorrar dinero al hacerlo) es simplemente evitar asignar a los usuarios SKU que incluyan Copilot.
Te recomendamos bloquear por separado Copilot Chat, que está disponible en Teams, Edge, Outlook y otros servicios. Sí, no es Copiloto en sí. Y sí, hay que bloquearlo por separado siguiendo esta guía.
Una capa adicional de protección: puedes bloquear los dominios copilot.cloud.microsoft y m365.cloud.microsoft/chat a través del filtro web o a nivel del NGFW. Sin embargo, Microsoft desaconseja expresamente hacerlo, ya que advierte que podría afectar otras funciones de Microsoft 365.
Cómo desactivar Windows Copilot
Además de la versión de Copilot para Office, también tienes que administrar su versión para el público general.
Detección: revisa los registros de tu NGFW u otros registros de red para ver si hay tráfico dirigido a copilot.microsoft.com, bing.com/chat o edgeservices.bing.com.
Desactivación mediante directivas: en Directiva de grupo de Windows, ve a Configuración del ordenador (Computer Config) → Plantillas de administración (Admin Templates) → Componentes de Windows (Windows Components) → Windows Copilot. En la directiva de grupo de Microsoft 365, ve a Centro de administración (Admin center) → Bloquear Copilot para consumidores en las cuentas de la organización (Block consumer Copilot for organizational accounts).
Una capa adicional de protección: impide por completo que se ejecute el archivo Copilot.exe.
Cómo desactivar la barra lateral de Copilot en Edge
Detección: revisa los registros de tu NGFW u otros registros de red para ver si hay tráfico dirigido a copilot.microsoft.com, bing.com/chat o edgeservices.bing.com.
Bloqueo: configura las siguientes directivas de grupo de MS Edge: HubsSidebarEnabled = false, EdgeShoppingAssistantEnabled = false, CopilotPageContext = Disabled (false), CopilotNewTabPageEnabled = false, Microsoft365CopilotChatIconEnabled = false, GenAILocalFoundationalModelSettings = 1 (ten en cuenta que, curiosamente, para desactivar esto hay que poner un 1 en lugar de un 0).
Una segunda capa de protección: bloquea los dominios copilot.cloud.microsoft y m365.cloud.microsoft/chat a través del filtro web o a nivel del NGFW. Sin embargo, Microsoft desaconseja expresamente hacerlo, ya que advierte que podría afectar otras funciones.
Cómo desactivar el Asistente de Gemini en Google Workspace
Detección: revisa la Consola de administración del espacio de trabajo (admin.google.com), en la sección de informes de uso de Gemini (Gemini usage).
Bloqueo mediante directivas: en la Consola de administración, ve a Aplicaciones (Apps) → Servicios adicionales de Google (Additional Google services) →> Aplicación Gemini (Gemini app) y configúrala en APAGADO (OFF). Luego, ve a Gestionar la configuración de función inteligente del espacio de trabajo (Manage Workspace smart feature settings) → Funciones inteligentes en Google Workspace (Smart features in Google Workspace) y configúralo en APAGADO (OFF).
Segunda capa de protección: bloquea el tráfico de red a los dominios gemini.google.com, bard.google.com y aistudio.google.com.
Cómo desactivar Gemini en Google Chrome
Detección: revisa tus informes de Chrome Enterprise (administración de Chrome (Chrome management) → Informes (Reports)) o busca en los registros de tráfico de red las conexiones a los dominios mencionados anteriormente.
Bloqueo a través de directivas: en las directivas de Chrome Enterprise, establece la siguiente configuración: GenAILocalFoundationalModelSettings = 0, HelpMeWriteSettings = 2 (disabled), TabOrganizerSettings = 2, CreateThemesSettings = 2, DevToolsGenAiSettings = 2.
Capa adicional de protección: bloquea el tráfico de red a los dominios gemini.google.com, bard.google.com y aistudio.google.com. Además, bloquea las instalaciones no autorizadas de Chrome/Chromium (las que no estén sujetas a tu política de gestión) con la ayuda de herramientas de control de aplicaciones basadas en el host, como EPP/EDR o AppLocker.
Cómo desactivar Apple Intelligence
Detección: en tu NGFW y filtros web, el tráfico dirigido a apple-relay.apple.com y *.apple-cloudkit.com es un indicador claro de que Apple Intelligence está activo.
Bloqueo mediante directivas: cualquier dispositivo Apple administrado te permite desactivar las funciones de IA individuales, aunque no hay un interruptor principal que puedas activar para apagar “toda la IA”. En tu perfil de MDM, tienes que configurar las siguientes claves en “false” (desactivadas): allowWritingTools, allowMailSummary, allowGenmoji, allowImagePlayground, allowImageWand, allowPersonalizedHandwritingResults, allowExternalIntelligenceIntegrations, allowExternalIntelligenceIntegrationsSignIn, allowNotesTranscription, and allowNotesTranscriptionSummary. Aquí tienes un breve ejemplo de configuración:
<dict>
<key>PayloadType</key>
<string>com.apple.applicationaccess</string>
<key>allowWritingTools</key>
<false/>
<key>allowMailSummary</key>
<false/>
</dict>
A pesar del giro de Apple hacia la administración declarativa de dispositivos, estas funciones de IA siguen teniendo que gestionarse a través de la configuración tradicional de la carga útil de MDM.
Segunda capa de protección: bloquea el tráfico de red hacia los servidores mencionados anteriormente; aunque el inconveniente obvio para los dispositivos móviles es que esto no funcionará en cuanto salgan de la red corporativa.
