Pymes y autónomos que usan la IA están ofreciendo datos clave sin saberlo y sin controlarlos
El 65% de los negocios no controla los datos que sus empleados comparten con herramientas de IA generativa. Esa es la principal advertencia del último informe sobre seguridad laboral elaborado por la firma de ciberseguridad Palo Alto Networks, en colaboración con una consultora tecnológica Omdia.
En un momento en el que la inteligencia artificial se ha integrado en los flujos de trabajo cotidianos, muchos negocios siguen sin saber qué comparten sus empleados, ni cómo proteger esos datos; lo que las deja expuestas a filtraciones y sanciones por incumplimientos normativos.
Además, el 95% de las organizaciones ha sufrido algún tipo de ataque desde el navegador en el último año, lo que confirma que el lugar desde el que se trabaja –y no sólo el qué se hace– se ha convertido en un riesgo crítico para la ciberseguridad. El informe alerta de un cambio de paradigma: el navegador, convertido en el centro de operaciones digital, es también la puerta de entrada más frecuente de amenazas.
Miles de aplicaciones que usan los empleados tienen acceso potencial a información interna del negocio
El uso masivo de dispositivos personales en el entorno laboral es una de las grandes grietas en esta arquitectura de seguridad. Casi todas las empresas (98%) detectan incumplimientos en el uso de móviles y ordenadores personales, especialmente cuando estos dispositivos no están gestionados por los departamentos de tecnología o seguridad.
Y es que la práctica habitual del BYOD («bring your own device», o trae tu propio dispositivo por sus siglas en inglés) está ampliamente extendida, pero en la mayoría de los casos sin control adecuado. De hecho, el 90% de las organizaciones permite algún tipo de acceso a datos corporativos desde estos dispositivos, aunque en muchos casos solo sea parcial.
Sin embargo, el 72% de los negocios consultadas reconoce que esta práctica representa un riesgo alto o muy alto. A pesar de ello, sólo la mitad cuenta con políticas activas para gestionar adecuadamente este peligro, lo que amplifica su vulnerabilidad.
En paralelo, el número de aplicaciones SaaS (software como servicio, según su traducción) no autorizadas se ha disparado, especialmente en las grandes organizaciones. Según el estudio, algunas pueden tener en uso hasta 10.000 herramientas de este tipo sin que los responsables de seguridad estén al tanto. Esto significa que miles de aplicaciones tienen acceso potencial a información interna sin pasar por filtros de seguridad ni validación de cumplimiento.
La falta de inspección se traduce, a su vez, en una falsa sensación de seguridad
Otro punto crítico reside en el tráfico cifrado. Aunque la encriptación es una medida básica de protección, el 64% del tráfico cifrado no es inspeccionado por las pymes, lo que puede ocultar malware o movimientos de datos sospechosos sin que los equipos de ciberseguridad lo detecten.
Pero el mayor desafío emergente lo representa la inteligencia artificial generativa. Herramientas como los asistentes de texto, imagen o código están siendo ampliamente adoptadas, pero el 65% de las organizaciones no tiene ninguna visibilidad sobre los datos que se comparten en ellas. Esto implica que empleados de múltiples áreas podrían estar introduciendo en estos sistemas fragmentos de código, borradores de contratos, documentos internos o incluso datos sensibles sin restricciones.
El informe subraya que las soluciones actuales de seguridad, no contemplan, en muchos casos, esta nueva vía de fuga de información, ya que la mayoría de herramientas de IA no están integradas en las arquitecturas clásicas de seguridad. Además, el uso de estas aplicaciones suele ser individual y sin aprobación formal, lo que dificulta aún más su control.
El contexto no es alentador. El 94% de las organizaciones ha sufrido al menos un intento de phishing en los últimos doce meses, y muchas de ellas han sido víctimas de infecciones por ransomware u otro tipo de ataques que utilizan el navegador como punto de entrada. Esta amenaza no distingue por tamaño o sector: afecta tanto a grandes compañías como a pequeños negocios y autónomos.
La solución es el acceso específico para aislar los entornos personales sin frenar la productividad
Para mitigar estos riesgos, el informe recomienda combinar dos estrategias clave: el uso de arquitecturas de Seguridad en el Acceso a la Nube (SASE, por sus siglas en inglés) y la adopción de navegadores seguros. Estas dos herramientas permiten aplicar políticas de acceso específicas y aislar los entornos personales sin frenar la productividad, algo que muchos negocios pequeños necesitan si no quieren elegir entre agilidad o seguridad.
En el caso de dispositivos no gestionados, como los móviles personales, las soluciones de tipo SASE permiten establecer controles muy precisos sobre quién accede, desde dónde y con qué credenciales. Los navegadores seguros, por su parte, pueden crear entornos protegidos que impiden copiar o descargar información sensible, incluso si se accede desde un dispositivo externo.
Estas soluciones también ayudan a reducir el riesgo asociado a las aplicaciones SaaS no autorizadas y al tráfico cifrado sin supervisión, ya que permiten monitorizar el uso de estas herramientas e identificar comportamientos anómalos en tiempo real. Esta visibilidad permite actuar con rapidez antes de que se produzca una brecha de seguridad.
En cuanto a la inteligencia artificial, estas tecnologías permiten limitar automáticamente lo que se puede copiar, pegar o subir a herramientas de IA generativa, bloqueando en tiempo real el intercambio de información que pueda comprometer a la empresa. De este modo, se puede mantener un equilibrio entre aprovechar las ventajas de la IA sin poner en riesgo los datos internos.
La clave está en construir un entorno digital en el que se pueda trabajar con fluidez, pero sin exponerse a amenazas constantes. Para los pequeños negocios y autónomos, esto no implica desplegar costosas infraestructuras, sino adoptar herramientas que ya están diseñadas para este tipo de perfiles y que se adaptan a entornos con menos recursos técnicos.