En miles de oficinas alrededor del mundo, la escena se repite a diario: un empleado abre un chatbot de inteligencia artificial, vuelca información (por ejemplo, un documento) y le pide una tarea como resumir o redactar un texto. Lo que parece una simple búsqueda de eficiencia es, en realidad, la puerta de entrada a un riesgo que muchas empresas aún no han identificado del todo. Porque cuando la inteligencia artificial se convierte en confidente, también puede convertirse en amenaza.

"A nivel empresarial puede pasar, pero es verdad que nos consta que las compañías es algo que estudian muy al detalle. Pero a nivel usuario hay mucho desconocimiento. La gente no se preocupa por estos temas. Simplemente suben los documentos a esas plataformas y creen que no tiene ninguna trascendencia", afirma Javier Aguilera, director general de Ikusi España.

Diversos estudios lo respaldan. Uno de ellos, publicado en septiembre del año pasado por la organización sin fines de lucro Alianza Nacional de Ciberseguridad (NCA) y la empresa de ciberseguridad CybSafe, aseguraba que el 38% de los empleados comparten información laboral confidencial con herramientas de IA sin el consentimiento de sus empleadores. Las generaciones más jóvenes, según el mismo informe, son más propensas a hacerlo.

Otro estudio basado en datos de más de tres millones de trabajadores de Cyberhaven, una compañía especializada en la protección de datos, recogía que más del 94 % del uso de Google Gemini en el lugar de trabajo proviene de cuentas no corporativas. En el caso de ChatGPT, la cifra era del 74%.

Según Cyberhaven, el 83% de todos los documentos legales compartidos con herramientas de IA pasan por cuentas no corporativas. Y lo mismo sucede con la mitad de todo el código fuente, los materiales de I+D y los registros de RR.HH. y de empleados. Entre marzo de 2023 y marzo de 2024, la cantidad de información vertida en todas las herramientas de IA se quintuplicó.

"El primer riesgo de hacer algo así es que la información vaya a la nube, porque puede viajar fuera de la empresa y en el trayecto puede ser detectada y robada. Y el segundo peligro es que esos datos se utilicen para entrenar al modelo. Entre otras cosas, porque podrías estar ayudando a tu competencia", detalla Aguilera, que incide en que cuando la información se almacena de manera local en un dispositivo, aunque reducimos parte de esos riesgos, también es necesario "protegerse" para evitar robos de información.

Por todo ello, conviene leer la letra pequeña. Entre otras cosas, pasa saber qué diferencias hay en las distintas plataformas de IA a la hora de tratar la información de la gente. Según la empresa de ciberseguridad Surfshark, los 10 principales chatbots de IA recopilan algún tipo de datos del usuario, siendo Gemini el que más información almacena. "No bajes la guardia, ya que los chats almacenados en servidores siempre corren el riesgo de ser vulnerados", advierte la compañía.

"Lo que buscan las empresas es detectar cuándo sus trabajadores utilizan herramientas no autorizadas dentro de las organizaciones para evitar perjuicios y fugas de datos. Pero cuando a nivel empresarial permiten usar uno de estos modelos también deben asegurarse de que sea seguro, porque cada uno tiene sus políticas. Hay una directriz europea, que se mete más en temas éticos, y en España tenemos una ley de protección de datos. Pero no hay nada específico sobre IA", comenta Aguilera.

El experto recomienda a las empresas tener una estrategia clara en este tema, validar los modelos de IA que utilicen y hacer pruebas de vulnerabilidades. "Si la información llega a la nube, aunque se borre nadie tiene certeza realmente de cuánta se elimina. Y algunos chatbots, como ChatGPT, tienen modos temporales, que en teoría son más seguros porque las conversaciones no quedan registradas. Pero no sabemos hasta qué punto siguen entrenando a las siguientes versiones del modelo con toda la información", concluye.