{"id":31399,"date":"2025-09-12T08:00:42","date_gmt":"2025-09-12T06:00:42","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=31399"},"modified":"2025-09-11T10:52:50","modified_gmt":"2025-09-11T08:52:50","slug":"shadow-ai-3-policies","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/shadow-ai-3-policies\/31399\/","title":{"rendered":"Tres enfoques para el uso de la &#8220;IA en la sombra&#8221; en el trabajo desde el punto de vista de la ciberseguridad"},"content":{"rendered":"<p>Un informe reciente del MIT, <a href=\"https:\/\/mlq.ai\/media\/quarterly_decks\/v0.1_State_of_AI_in_Business_2025_Report.pdf\" target=\"_blank\" rel=\"noopener nofollow\">The GenAI Divide:<\/a> <a href=\"https:\/\/mlq.ai\/media\/quarterly_decks\/v0.1_State_of_AI_in_Business_2025_Report.pdf\" target=\"_blank\" rel=\"nofollow noopener\">State of AI in Business 2025<\/a>, provoc\u00f3 un enfriamiento significativo de las acciones tecnol\u00f3gicas. Si bien el informe ofrece observaciones interesantes sobre la econom\u00eda y la organizaci\u00f3n de la implementaci\u00f3n de la IA en las empresas, tambi\u00e9n contiene informaci\u00f3n valiosa para los equipos de ciberseguridad. A los autores no les preocupaban los problemas de seguridad: las palabras \u201cseguridad\u201d, \u201cciberseguridad\u201d o \u201cprotecci\u00f3n\u201d ni siquiera apcarecen en el informe. Sin embargo, sus hallazgos pueden y deben tenerse en cuenta al planificar nuevas pol\u00edticas de seguridad corporativa en materia de IA.<\/p>\n<p>La observaci\u00f3n clave es que, si bien solo el 40\u00a0% de las organizaciones encuestadas compraron una suscripci\u00f3n a LLM, el 90\u00a0% de los empleados usan regularmente herramientas personales impulsadas por IA para tareas de trabajo. Y se dice que esta \u201ceconom\u00eda de la IA en la sombra\u201d, t\u00e9rmino utilizado en el informe, es m\u00e1s eficaz que la oficial. Solo el 5\u00a0% de las empresas ven un beneficio econ\u00f3mico de sus implementaciones de IA, mientras que los empleados est\u00e1n impulsando con \u00e9xito su productividad personal.<\/p>\n<p>El enfoque descendente para la implementaci\u00f3n de la IA a menudo no tiene \u00e9xito. Por lo tanto, los autores recomiendan \u201caprender del uso de la IA en la sombra y analizar qu\u00e9 herramientas personales ofrecen valor antes de adquirir alternativas empresariales\u201d. Entonces, \u00bfc\u00f3mo se alinea este consejo con las reglas de ciberseguridad?<\/p>\n<h2>Una prohibici\u00f3n total de la IA en la sombra<\/h2>\n<p>Una pol\u00edtica favorecida por muchos CISO es probar e implementar, o mejor a\u00fan, crear las propias herramientas de IA y luego simplemente prohibir todas las dem\u00e1s. Este enfoque puede ser econ\u00f3micamente ineficaz y hacer que la empresa se quede atr\u00e1s de sus competidores. Tambi\u00e9n es dif\u00edcil de aplicar, ya que garantizar el cumplimiento puede ser complicado y costoso. Sin embargo, para algunas industrias altamente reguladas o para unidades de negocios que manejan datos extremadamente confidenciales, una pol\u00edtica prohibitiva podr\u00eda ser la \u00fanica opci\u00f3n. Se pueden usar los siguientes m\u00e9todos para implementarla:<\/p>\n<ul>\n<li>Bloquear el acceso a todas las herramientas de IA populares a nivel de red mediante una herramienta de filtrado de red.<\/li>\n<li>Configurar un sistema <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/data-loss-prevention-dlp\/\" target=\"_blank\" rel=\"nofollow noopener\">DLP<\/a> para supervisar y bloquear la transferencia de datos a aplicaciones y servicios de IA; esto incluye impedir que se copien y peguen grandes bloques de texto a trav\u00e9s del portapapeles.<\/li>\n<li>Usar una pol\u00edtica de lista de aplicaciones permitidas en dispositivos corporativos para evitar que los empleados ejecuten aplicaciones de terceros que podr\u00edan usarse para acceso directo a la IA o para eludir otras medidas de seguridad.<\/li>\n<li>Prohibir el uso de dispositivos personales para tareas relacionadas con el trabajo.<\/li>\n<li>Usar herramientas adicionales, como an\u00e1lisis de v\u00eddeo, para detectar y limitar la capacidad de los empleados de tomar fotograf\u00edas de las pantallas de sus ordenadores con sus tel\u00e9fonos inteligentes personales.<\/li>\n<li>Establecer una pol\u00edtica para toda la empresa que proh\u00edba el uso de cualquier herramienta de IA, excepto aquellas que figuren en una lista aprobada por la administraci\u00f3n e implementadas por los equipos de seguridad corporativa. Esta pol\u00edtica debe documentarse formalmente y los empleados deben recibir la formaci\u00f3n adecuada.<\/li>\n<\/ul>\n<h2>Uso sin restricciones de la IA<\/h2>\n<p>Si la empresa considera que los riesgos derivados del uso de herramientas de IA son insignificantes, o cuenta con departamentos que no manejan datos personales u otros datos confidenciales, el uso de la IA por parte de estos equipos puede ser pr\u00e1cticamente ilimitado. Al establecer una breve lista de medidas de higiene y restricciones, la empresa puede observar los h\u00e1bitos de uso de LLM, identificar los servicios m\u00e1s populares y utilizar estos datos para planificar acciones futuras y perfeccionar sus medidas de seguridad. Incluso con este enfoque democr\u00e1tico, sigue siendo necesario lo siguiente:<\/p>\n<ul>\n<li>Capacita a los empleados sobre los conceptos b\u00e1sicos del uso responsable de la IA con la ayuda de un m\u00f3dulo de ciberseguridad. Un buen punto de partida: <a href=\"https:\/\/www.kaspersky.es\/blog\/how-to-use-chatgpt-ai-assistants-securely-2024\/29651\/\" target=\"_blank\" rel=\"nofollow noopener\">nuestras recomendaciones<\/a>, o <a href=\"https:\/\/k-asap.com\/es\/?icid=es_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder____kasap___\" target=\"_blank\" rel=\"noopener\">a\u00f1adir un curso especializado a la plataforma de concientizaci\u00f3n sobre seguridad de la empresa<\/a>.<\/li>\n<li>Configura un registro detallado del tr\u00e1fico de la aplicaci\u00f3n para analizar el ritmo de uso de la IA y los tipos de servicios que se utilizan.<\/li>\n<li>Aseg\u00farate de que todos los empleados tengan un <a href=\"https:\/\/www.kaspersky.es\/enterprise-security\/endpoint-detection-response-edr?icid=es_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">agente EPP\/EDR<\/a> instalado en sus dispositivos de trabajo, y una <a href=\"https:\/\/www.kaspersky.es\/premium?icid=es_bb2022-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">soluci\u00f3n de seguridad robusta en sus dispositivos personales<\/a>. (La \u201caplicaci\u00f3n ChatGPT\u201d ha sido el <a href=\"https:\/\/www.kaspersky.es\/blog\/chatgpt-stealer-win-client\/28446\/\" target=\"_blank\" rel=\"nofollow noopener\">cebo preferido de los estafadores<\/a> para propagar infostealers en 2024-2025).<\/li>\n<li>Realiza encuestas peri\u00f3dicas para averiguar con qu\u00e9 frecuencia se utiliza la IA y para qu\u00e9 tareas. Mide el efecto y los riesgos de su uso para ajustar tus pol\u00edticas sobre la base de datos de telemetr\u00eda y encuestas.<\/li>\n<\/ul>\n<h2>Restricciones equilibradas sobre el uso de la IA<\/h2>\n<p>Cuando se trata del uso de la IA en toda la empresa, es probable que ninguno de los dos extremos, la prohibici\u00f3n total o la libertad total, sea adecuado. M\u00e1s vers\u00e1til ser\u00eda una pol\u00edtica que permita diferentes niveles de acceso a la IA sobre la base del tipo de datos que se est\u00e9n utilizando. La implementaci\u00f3n completa de dicha pol\u00edtica requiere lo siguiente:<\/p>\n<ul>\n<li>Un proxy de IA especializado que limpie las consultas sobre la marcha al eliminar tipos espec\u00edficos de datos confidenciales (como nombres o ID de clientes) y utilice el control de acceso basado en funciones para bloquear casos de uso inapropiados.<\/li>\n<li>Un portal de autoservicio de TI para que los empleados declaren su uso de herramientas de IA, desde modelos y servicios b\u00e1sicos hasta aplicaciones especializadas y extensiones de navegador.<\/li>\n<li>Una soluci\u00f3n (<a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/next-generation-firewall-ngfw\/\" target=\"_blank\" rel=\"nofollow noopener\">NGFW<\/a>, <a href=\"https:\/\/en.wikipedia.org\/wiki\/Cloud_access_security_broker\" target=\"_blank\" rel=\"nofollow noopener\">CASB<\/a>, <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/data-loss-prevention-dlp\/\" target=\"_blank\" rel=\"nofollow noopener\">DLP<\/a> u otra) para la supervisi\u00f3n y el control detallados del uso de la IA a nivel de solicitudes espec\u00edficas para cada servicio.<\/li>\n<li>Solo para empresas que desarrollan software: canalizaciones CI\/CD modificadas y herramientas SAST\/DAST para identificar autom\u00e1ticamente el c\u00f3digo generado por IA y marcarlo para que se le apliquen pasos de verificaci\u00f3n adicionales.<\/li>\n<li>Al igual que con el escenario sin restricciones, la formaci\u00f3n peri\u00f3dica de los empleados, las encuestas y la seguridad s\u00f3lida tanto para el trabajo como para los dispositivos personales.<\/li>\n<\/ul>\n<p>Una vez establecidos los requisitos mencionados, es necesario desarrollar una pol\u00edtica que abarque diferentes departamentos y diversos tipos de solicitudes. Podr\u00eda verse as\u00ed:<\/p>\n<table>\n<tbody>\n<tr>\n<td width=\"150\">Tipo de datos<\/td>\n<td width=\"150\">IA p\u00fablica (desde dispositivos y cuentas personales)<\/td>\n<td width=\"150\">Servicio de IA externo (a trav\u00e9s de un proxy de IA corporativo)<\/td>\n<td width=\"150\">Herramientas de IA en la nube de confianza o en las instalaciones<\/td>\n<\/tr>\n<tr>\n<td width=\"150\">Datos p\u00fablicos (como el texto de un anuncio)<\/td>\n<td width=\"150\">Permitidos (declarado a trav\u00e9s del portal de la empresa)<\/td>\n<td width=\"150\">Permitidos (registrados)<\/td>\n<td width=\"150\">Permitidos (registrados)<\/td>\n<\/tr>\n<tr>\n<td width=\"150\">Datos internos generales (como el contenido del correo electr\u00f3nico)<\/td>\n<td width=\"150\">Desaconsejados pero no bloqueado. Requiere declaraci\u00f3n.<\/td>\n<td width=\"150\">Permitidos (registrados)<\/td>\n<td width=\"150\">Permitidos (registrados)<\/td>\n<\/tr>\n<tr>\n<td width=\"150\">Datos confidenciales (como el c\u00f3digo fuente de la aplicaci\u00f3n, comunicaciones legales o de RR.\u00a0HH.)<\/td>\n<td width=\"150\">Bloqueados por DLP\/CASB\/NGFW<\/td>\n<td width=\"150\">Permitidos para escenarios espec\u00edficos aprobados por el administrador (se deben eliminar los datos personales; el c\u00f3digo requiere comprobaciones tanto autom\u00e1ticas como manuales)<\/td>\n<td width=\"150\">Permitidos (registrados, con los datos personales eliminados seg\u00fan sea necesario)<\/td>\n<\/tr>\n<tr>\n<td width=\"150\">Datos regulados de alto impacto (financieros, m\u00e9dicos, etc.)<\/td>\n<td width=\"150\">Prohibidos<\/td>\n<td width=\"150\">Prohibidos<\/td>\n<td width=\"150\">Permitidos con la aprobaci\u00f3n del CISO, sujeto a los requisitos reglamentarios de almacenamiento<\/td>\n<\/tr>\n<tr>\n<td width=\"150\">Datos altamente cr\u00edticos y clasificados<\/td>\n<td width=\"150\">Prohibidos<\/td>\n<td width=\"150\">Prohibidos<\/td>\n<td width=\"150\">Prohibidos (las excepciones solo son posibles con la aprobaci\u00f3n de la junta directiva)<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>\u00a0<\/p>\n<p>Para hacer cumplir la pol\u00edtica, es necesario un enfoque organizativo de varios niveles, adem\u00e1s de las herramientas t\u00e9cnicas. En primer lugar, <a href=\"https:\/\/k-asap.com\/es\/?icid=es_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder____kasap___\" target=\"_blank\" rel=\"noopener\">los empleados deben recibir formaci\u00f3n<\/a> sobre los riesgos asociados a la IA, desde la filtraci\u00f3n de datos y las alucinaciones hasta las inyecciones de prompts. Esta formaci\u00f3n deber\u00eda ser obligatoria para todos los miembros de la organizaci\u00f3n.<\/p>\n<p>Despu\u00e9s de la formaci\u00f3n inicial, es fundamental desarrollar pol\u00edticas m\u00e1s detalladas y proporcionar formaci\u00f3n avanzada a los jefes de departamento. Esto les permitir\u00e1 tomar decisiones informadas sobre si aprobar o denegar las solicitudes de uso de datos espec\u00edficos con herramientas p\u00fablicas de IA.<\/p>\n<p>Las pol\u00edticas, los criterios y las medidas iniciales son solo el comienzo; deben actualizarse peri\u00f3dicamente. Esto implica analizar datos, refinar los casos de uso de IA en el mundo real y supervisar herramientas populares. Se necesita un portal de autoservicio como entorno libre de estr\u00e9s en el que los empleados puedan explicar qu\u00e9 herramientas de IA est\u00e1n utilizando y con qu\u00e9 fines. Estos valiosos comentarios enriquecen tus an\u00e1lisis, ayudan a crear un caso comercial para la adopci\u00f3n de la IA y proporcionan un modelo basado en funciones para aplicar las pol\u00edticas de seguridad correctas.<\/p>\n<p>Por \u00faltimo, es imprescindible un sistema de varios niveles para responder a las infracciones. Posibles pasos:<\/p>\n<ul>\n<li>Una advertencia autom\u00e1tica y un curso de micro-formaci\u00f3n obligatorio sobre la infracci\u00f3n cometida.<\/li>\n<li>Una reuni\u00f3n privada entre el empleado y su jefe de departamento y un responsable de seguridad de la informaci\u00f3n.<\/li>\n<li>Una prohibici\u00f3n temporal de las herramientas impulsadas por IA.<\/li>\n<li>Medidas disciplinarias estrictas a trav\u00e9s de RR.\u00a0HH.<\/li>\n<\/ul>\n<h2>Un enfoque integral de la seguridad de la IA<\/h2>\n<p>Las pol\u00edticas aqu\u00ed analizadas cubren una gama relativamente limitada de riesgos asociados al uso de soluciones SaaS para la IA generativa. Para crear una pol\u00edtica completa que aborde todo el espectro de riesgos relevantes, consulta nuestras <a href=\"https:\/\/www.kaspersky.com\/blog\/ai-safe-deployment-guidelines\/52789\/\" target=\"_blank\" rel=\"nofollow noopener\">pautas para implementar sistemas de IA de forma segura<\/a>, desarrolladas por Kaspersky en colaboraci\u00f3n con otros expertos de confianza.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"mdr\"><input type=\"hidden\" class=\"placeholder_for_banner\" data-cat_id=\"mdr\" value=\"26190\">\n","protected":false},"excerpt":{"rendered":"<p>La mayor\u00eda de los empleados ya est\u00e1n utilizando suscripciones personales a LLM para tareas laborales. \u00bfC\u00f3mo se equilibra la competitividad con la prevenci\u00f3n de filtraciones de datos?<\/p>\n","protected":false},"author":2722,"featured_media":31401,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2202,2754],"tags":[2093,1307,1305,3725,61],"class_list":{"0":"post-31399","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-aprendizaje-automatico","10":"tag-ia","11":"tag-inteligencia-artificial","12":"tag-llm","13":"tag-seguridad"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/shadow-ai-3-policies\/31399\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/shadow-ai-3-policies\/29516\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/shadow-ai-3-policies\/24620\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/shadow-ai-3-policies\/29447\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/shadow-ai-3-policies\/28569\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/shadow-ai-3-policies\/40409\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/shadow-ai-3-policies\/13763\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/shadow-ai-3-policies\/54252\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/shadow-ai-3-policies\/23155\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/shadow-ai-3-policies\/29626\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/shadow-ai-3-policies\/35375\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/shadow-ai-3-policies\/35004\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/inteligencia-artificial\/","name":"inteligencia artificial"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/31399","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2722"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=31399"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/31399\/revisions"}],"predecessor-version":[{"id":31404,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/31399\/revisions\/31404"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/31401"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=31399"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=31399"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=31399"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}