Shadow AI: el verdadero riesgo ya no es fugas de datos

EL Suinda

2 min read
Shadow AI: el verdadero riesgo ya no es fugas de datos
Shadow AI: el verdadero riesgo ya no es fugas de datos

Creíamos que el problema de la inteligencia artificial en las empresas era simple: empleados pegando información sensible en ChatGPT. Bloqueamos dominios, pusimos reglas de prevención de pérdida de datos y listo. Pero resulta que nos equivocamos de enemigo. El Shadow AI ya no es cosa de fugas—es un problema de control de acceso, y eso es bastante más serio.

¿Qué pasó?

La primera ola de preocupación por IA empresarial se centró en lo obvio: empleados usando herramientas de IA públicas sin autorización y compartiendo datos que no deberían compartir. Los equipos de seguridad respondieron rápido con políticas de uso, bloqueos de dominios y reglas DLP (Data Loss Prevention). Parecía una solución lógica.

Pero el problema mutó. Shadow AI dejó de ser un tema de "dónde terminan mis datos" para convertirse en "quién tiene acceso a qué". Los atacantes descubrieron que la gracia no está en robar información pública, sino en infiltrarse en sistemas usando credenciales comprometidas a través de herramientas de IA no autorizadas. Imaginate: un atacante logra acceso a una cuenta de empleado, entra a una plataforma de IA que tu empresa no monitorea, y desde ahí puede pivotar hacia tus sistemas críticos. Las reglas DLP que instalaste no lo van a detener porque nunca vio una fuga clásica.

El escenario es más perverso: estos accesos no autorizados crean puntos ciegos en tu infraestructura de seguridad. No sabés quién está usando qué herramienta, no sabés qué credenciales están involucradas, y no tenés visibilidad sobre qué hace esa persona adentro de esos sistemas.

¿Por qué importa en Argentina y América Latina?

En la región estamos en una situación particular. Muchas pymes y startups adoptan herramientas de IA sin procesos de seguridad estructurados. Un empleado se baja Claude, ChatGPT o una herramienta local porque "mejora la productividad", y nadie lo documenta ni controla. Las empresas más grandes tienen departamentos de seguridad, pero muchas veces esos equipos están enfocados en ransomware y fraude—no necesariamente en gobernanza de IA.

Además, los reguladores en Latinoamérica recién empiezan a hablar de IA. Argentina discute leyes, pero no hay claridad aún sobre responsabilidades de seguridad en herramientas de IA. Eso deja un vacío donde prospera el Shadow AI.

¿Qué se recomienda?

1. Hacer visibilidad: Primero necesitás saber qué herramientas de IA se están usando en tu organización. Implementá monitoreo de tráfico de red, revisa logs de proxy, habla con los equipos. Sin visibilidad no hay control.

2. Cambiar el enfoque: Pasá de "bloquea todo" a "permite y controla". Autorizá herramientas de IA seguras, documenta cuáles son y establece políticas claras de uso. Los empleados van a usar IA igual—mejor que lo hagan en herramientas que vos monitoreás.

3. Gestión de identidades: Asegurate de que los accesos a herramientas de IA usen MFA (autenticación multifactor), que las credenciales sean rotadas regularmente, y que no haya contraseñas compartidas. Si alguien se va de la empresa, revocá sus accesos a todas las plataformas de IA.

4. Capacitación: Entrená a tu equipo sobre riesgos de seguridad específicos de IA. No es solo "no compartas datos sensibles"—es entender cómo un atacante puede usar estas herramientas para pivotar hacia sistemas críticos.

5. Auditoría y gobernanza: Documentá qué información se procesa en cada herramienta, cuántos usuarios la usan, y quién tiene permisos administrativos. Revisá esto cada trimestre.

Fuente: The Hacker News

Read more