A medida que las herramientas de IA se vuelven más accesibles,
los empleados las adoptan sin la aprobación formal de los equipos de TI y
seguridad.
Si bien estas herramientas pueden aumentar la productividad, automatizar
tareas o cubrir deficiencias en los flujos de trabajo existentes, también
operan fuera del alcance de los equipos de seguridad, eludiendo los controles
y creando nuevos puntos ciegos en lo que se conoce como IA en la sombra.
Si bien es similar al fenómeno de Shodow TI, la IA va más allá del software
no aprobado al involucrar sistemas que procesan, generan y potencialmente
almacenan datos confidenciales.
El resultado es una categoría de riesgo que la mayoría de las organizaciones
aún no están preparadas para gestionar:
exposición incontrolada de datos, superficies de ataque ampliadas y
seguridad de identidad debilitada.
¿Por qué se está extendiendo tan rápido la IA en la sombra?
La IA en la sombra se está expandiendo rápidamente en las organizaciones
porque es fácil de adoptar y útil de inmediato, pero en gran medida no está
regulada. A diferencia del software empresarial tradicional, la mayoría de las
herramientas de IA requieren poca o ninguna configuración, lo que permite a
los empleados comenzar a usarlas de inmediato. Según una
encuesta de Salesforce de 2024,
el 55% de los empleados informó haber utilizado herramientas de IA que no
habían sido aprobadas por su organización.
Dado que muchas organizaciones carecen de políticas claras sobre el uso de la
IA, los empleados deben decidir por su cuenta qué herramientas usar y cómo
usarlas, a menudo sin comprender las implicaciones de seguridad.
Los empleados pueden usar herramientas de IA generativa como ChatGPT o Claude
en sus flujos de trabajo diarios, y si bien esto puede mejorar la
productividad, puede resultar en que se compartan datos confidenciales
externamente sin supervisión. Que el proveedor de IA use o no esos datos para
el entrenamiento del modelo depende de la plataforma y el tipo de cuenta, pero
en cualquier caso, los datos han salido del perímetro de seguridad de la
organización.
A nivel departamental, la IA en la sombra puede aparecer cuando los equipos
integran API de IA o modelos de terceros en aplicaciones sin una revisión de
seguridad formal. Estas integraciones pueden exponer datos internos e
introducir nuevos vectores de ataque que los equipos de seguridad no pueden
ver ni controlar. En lugar de intentar eliminar la IA en la sombra por
completo, las organizaciones deben gestionar activamente los riesgos que
genera.
Cómo el Sadhow IA es un problema de seguridad
La IA en la sombra a menudo se presenta como un problema de gobernanza,
pero en esencia es un problema de seguridad.
A diferencia de Shadow TI tradicional, donde los empleados adoptan software no
autorizado, la IA en la sombra implica sistemas que procesan y almacenan datos
activamente fuera del alcance de los equipos de seguridad, convirtiendo el uso
no autorizado de la IA en un riesgo mayor de exposición de datos y acceso
indebido.
La IA en la sombra puede provocar fugas de datos imposibles de rastrear.
Los empleados pueden compartir datos de clientes, información financiera o
documentos comerciales internos con herramientas de IA para completar tareas
de manera más eficiente. Los desarrolladores que solucionan problemas de
código pueden pegar inadvertidamente scripts que contienen claves API,
credenciales de bases de datos o tokens de acceso codificados, exponiendo
credenciales confidenciales sin darse cuenta. Una vez que los datos llegan a
una plataforma de IA de terceros, las organizaciones pierden visibilidad sobre
cómo se almacenan o utilizan. Como resultado, los datos pueden salir de una
organización sin un registro de auditoría, lo que dificulta, si no
imposibilita, rastrear o contener una brecha de seguridad. Según el RGPD y la
HIPAA, este tipo de transferencia de datos no controlada puede constituir una
infracción que debe notificarse.
La IA en la sombra amplía rápidamente la superficie de ataque.
Cada herramienta de IA crea un nuevo vector de ataque potencial para los
ciberdelincuentes. Cuando se adoptan herramientas no autorizadas sin
supervisión, estas pueden incluir API o complementos no verificados que
resultan inseguros o maliciosos. El acceso de los empleados a las plataformas
de IA mediante cuentas o dispositivos personales sitúa esta actividad
completamente fuera de los controles de seguridad de la organización, y la
monitorización de red tradicional no puede detectarla. A medida que las
organizaciones comienzan a implementar agentes de IA que operan de forma
autónoma dentro de los flujos de trabajo, el riesgo se agrava aún más. Estos
sistemas interactúan con múltiples aplicaciones y plataformas, creando rutas
complejas y en gran medida ocultas que los ciberdelincuentes pueden explotar.
La IA en la sombra elude los controles de seguridad tradicionales.
Los controles de seguridad tradicionales no se diseñaron para gestionar el uso
actual de la IA. La mayoría de las plataformas de IA operan a través de HTTPS,
lo que significa que las reglas estándar de firewall y la monitorización de
red no pueden inspeccionar el contenido de estas interacciones sin una
inspección SSL, un control que muchas organizaciones no han implementado. Las
interfaces de IA conversacional tampoco se comportan como las aplicaciones
tradicionales, lo que dificulta que las herramientas de seguridad monitoricen
o registren la actividad. Por ello, los datos pueden compartirse con sistemas
de IA externos sin generar ninguna alerta.
La IA en la sombra impacta la seguridad de la identidad.
La IA en la sombra plantea serios desafíos para la gestión de identidades y
accesos (IAM). Por ejemplo, los empleados podrían crear varias cuentas en
distintas plataformas de IA, lo que genera identidades fragmentadas y sin
gestionar. Los desarrolladores incluso podrían conectar herramientas de IA a
sistemas mediante cuentas de servicio, creando
Identidades No Humanas (NHI)
sin la supervisión adecuada. Si las organizaciones carecen de una gobernanza
centralizada, estas identidades pueden ser difíciles de monitorear y gestionar
a lo largo de su ciclo de vida, lo que aumenta el riesgo.
Cómo las organizaciones pueden reducir el riesgo de la IA oculta
A medida que la IA se integra cada vez más en los flujos de trabajo diarios,
las organizaciones deben procurar reducir el riesgo y, al mismo tiempo,
permitir un uso seguro y productivo. Esto requiere que los equipos de
seguridad pasen de bloquear por completo las herramientas de IA a gestionar su
uso en el entorno laboral, haciendo hincapié en la visibilidad y el
comportamiento del usuario. Las organizaciones pueden reducir el riesgo de la
IA oculta siguiendo estos pasos:
-
Establecer políticas claras de uso de la IA: Definir qué herramientas de IA
están permitidas y qué datos se pueden compartir. Las políticas de seguridad
deben ser fáciles de seguir e intuitivas, ya que las normas demasiado
restrictivas solo incitarán a los empleados a utilizar herramientas no
autorizadas. -
Proporcionar alternativas de IA aprobadas: Cuando los empleados no tienen
acceso a herramientas útiles, es más probable que busquen las suyas propias.
Ofrecer soluciones de IA seguras y aprobadas que cumplan con los estándares
de la organización reduce la necesidad de IA oculta. -
Mejorar la visibilidad de los patrones de uso de la IA: Si bien la
visibilidad completa no siempre es posible, las organizaciones deben
supervisar el tráfico de red, el acceso privilegiado y la actividad de la
API para comprender mejor cómo los empleados utilizan la IA. -
Educar a los empleados sobre los riesgos de seguridad de la IA: Muchos
empleados se centran únicamente en las ventajas de productividad de las
herramientas de IA en lugar de en los riesgos de seguridad. Proporcionar
capacitación sobre el uso seguro de la IA y el manejo de datos puede reducir
drásticamente la exposición involuntaria.
Beneficios de la gestión eficaz de la IA en la sombra
Las organizaciones que gestionan de forma proactiva la IA en la sombra
obtendrán un mayor control sobre cómo se utiliza la IA en sus entornos. La
gestión eficaz de la IA en la sombra ofrece varios beneficios, entre ellos:
-
Visibilidad total sobre qué herramientas de IA se utilizan y a qué datos
acceden. -
Menor exposición regulatoria en el marco de normativas como el RGPD, la
HIPAA y la Ley de IA de la UE. -
Adopción de la IA más rápida y segura con herramientas verificadas y
directrices rigurosas. -
Mayor adopción de herramientas de IA aprobadas, lo que reduce la dependencia
de alternativas inseguras.
La seguridad debe tener en cuenta la IA en la sombra.
La adopción de la IA se está normalizando en el entorno laboral, y los
empleados seguirán buscando herramientas que les ayuden a trabajar más rápido.
Dada la facilidad de acceso a las herramientas de IA y la poca frecuencia con
la que las políticas de uso se adaptan a la adopción, cierto grado de IA en la
sombra es inevitable en cualquier organización grande.
En lugar de intentar bloquear por completo las herramientas de IA, las
organizaciones deberían centrarse en facilitar su uso seguro mejorando la
visibilidad de la actividad de la IA y garantizando que tanto las
identidades humanas como las de las máquinas estén debidamente
gobernadas.
Fuente:
THN