El reciente informe Insider AI Threat Report de la firma de ciberseguridad CalypsoAI revela un panorama preocupante dentro de las empresas estadounidenses: el uso indebido de herramientas de inteligencia artificial (IA) está extendido a todos los niveles de la organización, desde empleados de base hasta ejecutivos de alto rango.
Uno de los datos más llamativos es que el 50% de los ejecutivos preferiría un gerente IA antes que uno humano, y un 34% ni siquiera puede distinguir entre un agente de IA y una persona real. Pero lo más preocupante es que un 35% de ellos admite haber compartido información confidencial de la empresa con sistemas de IA para completar tareas más rápidamente.
Esto pone en evidencia una tendencia inquietante: la confianza excesiva en la tecnología sin comprender sus riesgos reales. En muchos casos, los propios líderes son quienes deberían marcar el camino en el uso responsable de la IA, pero están actuando sin supervisión y pasando por alto normativas internas.
El auge del «Shadow AI»: una práctica fuera de control
Al igual que hace unos años apareció el término «shadow IT» para describir el uso de tecnología no autorizada por parte de empleados, ahora se habla de «Shadow AI». Esta nueva categoría engloba el uso de herramientas de IA sin la aprobación ni el conocimiento del departamento de TI o de seguridad.
Según CalypsoAI, el 52% de los empleados utilizaría IA para facilitar su trabajo aunque ello viole las políticas de la empresa, y un 45% confía más en estas herramientas que en sus propios compañeros. En el caso de los ejecutivos, el 67% admite que haría uso de la IA incluso si eso significara romper las reglas.
Esta situación afecta incluso a sectores altamente regulados:
- En finanzas, un 60% reconoce haber infringido reglas internas sobre el uso de IA y un tercio ha accedido a datos restringidos con ayuda de estas herramientas.
- En seguridad, el 42% ha utilizado IA sabiendo que violaba la política, y un 58% dice confiar más en la IA que en sus compañeros.
- En salud, solo el 55% sigue las normas sobre IA, y un 27% preferiría tener un supervisor IA antes que humano.
El problema no es la deslealtad, sino la falta de guías claras
Justin St-Maurice, consejero técnico en Info-Tech Research Group, explica que no se trata de falta de lealtad, sino de una desconexión entre las políticas de la empresa y la realidad diaria del trabajo. Muchos empleados ven en la IA una solución para reducir la carga mental (offload cognitivo) y para potenciar su rendimiento (aumento cognitivo), aunque eso implique usar herramientas no autorizadas.
Desde esta perspectiva, prohibir el uso de la IA de forma tajante resulta contraproducente. Lo que suele ocurrir es que los trabajadores buscan alternativas por su cuenta, lo que incrementa aún más los riesgos de fugas de información confidencial, contratos sensibles o datos de clientes.
El liderazgo también está fallando
Para Donnchadh Casey, CEO de CalypsoAI, uno de los hallazgos más sorprendentes es la velocidad con la que los directivos están adoptando la IA sin seguir los protocolos. «El liderazgo debería dar el ejemplo, pero está ocurriendo lo contrario», afirma. En muchas empresas, los directivos empiezan a utilizar agentes de IA para tareas empresariales antes de que los equipos de seguridad puedan siquiera evaluarlos o regularlos.
Esto convierte el problema en algo más que una cuestión de gobernanza: es un desafío de liderazgo. Si los que toman las decisiones ignoran las normas, resulta imposible pedir cumplimiento al resto de la organización.
Soluciones: educación, acceso controlado y políticas claras
La solución no está en bloquear por completo el uso de herramientas de IA, ya que eso solo agravaría el problema. Como en otros ámbitos de la tecnología, el control no debe ser prohibitivo sino habilitador y seguro.
Un enfoque viable es lo que St-Maurice llama «habilitación estructurada»:
- Crear puertas de acceso aprobadas a la IA, integradas con sistemas de identidad.
- Implementar registro de solicitudes y resultados, para mantener la trazabilidad.
- Aplicar redacción automática de campos sensibles.
- Ofrecer formación breve, práctica y adaptada al rol de cada empleado.
- Publicar políticas claras, con ejemplos comprensibles y memorables.
- Crear un catálogo de modelos de IA y casos de uso autorizados.
Estas medidas permiten a las organizaciones aprovechar los beneficios de la IA sin sacrificar el control ni la seguridad. El objetivo es lograr un equilibrio entre productividad y protección, permitiendo a los empleados trabajar con herramientas modernas de forma segura y transparente.
Una cuestión urgente para el futuro de las organizaciones
El informe de CalypsoAI, basado en una encuesta realizada por Censuswide a más de 1.000 trabajadores de oficina en EE.UU., deja claro que el uso irresponsable de la IA no es un riesgo teórico, sino una realidad en curso.
No se trata de frenar la innovación, sino de construir estructuras que permitan usar la IA de forma inteligente y responsable. Ignorar este tema es abrir la puerta a brechas de seguridad, pérdida de propiedad intelectual y daño a la reputación empresarial. La IA puede ser una aliada poderosa, pero solo si se usa con criterio, visión y responsabilidad.
