De sobra sabemos que la inteligencia artificial se ha convertido, tanto para empresas como para particulares, en una herramienta necesaria. Para agilizar tareas automáticas y mejorar la productividad. Es una de las palancas de cambio de la era 4.0. Y su uso es decisivo en el desarrollo operativo de las organizaciones. Sin embargo, la IA no está libre de desafíos. La falta de capacidades digitales frena su avance. Y su uso sin el adecuado conocimiento y la supervisión pertinente puede poner en riesgo a las compañías.
Caso corriente: Un empleado de una compañía cualquiera tiene que enviar un correo electrónico a un responsable de un departamento crítico en la empresa. En principio, esta situación no debería suponer ningún riesgo de seguridad para la organización. Pero el empleado en cuestión duda de su texto y prefiere pasarlo por la pulidora de la IA antes de darle a enviar. Esta inocente acción esconde, sin embargo, importantes riesgos en materia de ciberseguridad. Porque implica una pérdida de control de los datos que comparte, exponiendo a la empresa y a su compañero.
Las compañías españolas han acogido a la IA con los brazos abiertos. Según el I Barómetro Confianza, actitudes y uso de la inteligencia artificial en España, elaborado por KPMG en colaboración con la Universidad de Melbourne, el 68% de los empleados encuestados afirma que su organización utiliza herramientas de inteligencia artificial, y el 47% reporta mayor eficacia, calidad del trabajo e innovación.
Sin embargo, más del 17% informa de un aumento de la carga laboral, el estrés y la presión. Y el 39% siente que no podría completar su trabajo sin la ayuda de la IA. Además de la falta de confianza que despierta en ciertos profesionales, la IA también ha aumentado los riesgos para el cumplimiento de la normativa y la privacidad. Al menos, así lo asegura el 30% de los encuestados en este estudio. Y, aunque es cierto que las empresas se han puesto la pila y están acelerando la formación en esta materia para sus empleados. El uso indebido de soluciones de IA generativa por parte de las plantillas continúa dándose, exponiendo los datos de las organizaciones a potenciales filtraciones.
Tipos de malos usos de la IA en las empresas
Si preguntamos a la IA para qué utilizan la IA las empresas nos dirá que para automatizar, optimizar y personalizar procesos que antes requerían intervención humana. Con el objetivo de reducir costes, aumentar la eficiencia, mejorar la experiencia de cliente y tomar decisiones más inteligentes. Y no le faltará razón. Pero en esta respuesta faltan detalles.
La inteligencia artificial se ha vuelto imprescindible para muchos profesionales que la necesitan para reafirmar sus tareas y agilizar sus procesos. Esa aparente adicción a esta herramienta empuja, a veces, a actuar sin criterio de seguridad y compartir en soluciones como ChatGPT, Gemini o Copilot información confidencial de clientes, contratos o estrategias sin pararse a pensar que están violando las normas de privacidad, tanto de la compañía como del Reglamento General de Protección de Datos (RGPD), y exponiendo esa información a posibles filtraciones si el modelo guarda interacciones. Como lo que les pasó a empleados de Samsung cuando filtraron código interno a una IA generativa sin querer. Pero eso no es todo.
La excesiva dependencia, para algunos, y el convencimiento de que la IA siempre está en lo cierto, para otros, hace que a veces se tomen decisiones sesgadas basadas en los algoritmos de esta herramienta; o se entreguen informes y otro tipo de trabajos (desde presentaciones hasta código) generados por inteligencia artificial haciéndolos pasar por originales, lo que pone de manifiesto la falta de ética profesional, la escasa autoestima y confianza en uno mismo y la pérdida de criterio.
Riesgos derivados del uso irresponsable y sin control de herramientas de IA
“En muchas ocasiones, además, los empleados cometen errores aún más graves que no sólo ponen en peligro su propia trayectoria y marca personal, sino también los datos de la empresa. Esto pasa cuando, por ejemplo, se utilizan herramientas de IA no comprobadas o poco conocidas que pueden traer consigo infecciones por malware, pérdidas de datos o exposición a plataformas con políticas abusivas”, advierte Hervé Lambert, Global Consumer Operations Manager en Panda Security.
Además, señala también la Shadow IA, o IA en la sombra, como otro de los fenómenos que hacen peligrar la seguridad de las compañías, “y que se ha viralizado gracias a la popularización de herramientas de IA que cualquiera puede utilizar de forma gratuita o a bajo coste desde su propio navegador, y que funciona al margen de las políticas y controles operativos por lo que, si algo sale mal, la empresa no es consciente hasta que es demasiado tarde”. Este problema se produce porque aún hay organizaciones que no cuentan con políticas claras sobre la utilización de la IA y de este tipo de soluciones públicas. Porque los empleados no son conscientes del riesgo real que supone su uso, son accesibles y fáciles de usar, y ahorran tiempo y esfuerzo. “Este reinventado Rincón del Vago para profesionales sin ganas de trabajar también se ve reflejado en los contenidos de algunas webs de empresas. Que no sólo llaman la atención por su falta de humanidad, sino que pueden incluso vulnerar derechos de autor”, avisa Lambert.
Generar contenido con la IA
Perder la originalidad en los contenidos, el toque humano y la diferenciación no es lo peor que le puede pasar a una empresa que genera todo su contenido de forma automática a través de la IA. Este ejercicio, que puede parecer eficiente y, sobre todo, rápido. “Abre la puerta a una serie de riesgos y vulnerabilidades técnicas que deben ser cuidadosamente valoradas”, asegura el directivo de Panda.
Cuando se utiliza una IA externa a la organización para generar el contenido interno “se está cediendo parte del control creativo y estratégico a esa herramienta que, a veces, enmascara modelos opacos”, dice Lambert. Además, si esa solución cambia sus políticas, sus precios o su disponibilidad, la empresa queda expuesta. “Sin olvidar que existe el riesgo ‘lock-in’ tecnológico, que es la dificultad para migrar a otras soluciones o recuperar la autonomía”.
Los sesgos de la IA también pueden poner en jaque la seguridad (y reputación) de una compañía si se difunde contenido generado automáticamente con ciertos errores o insinuaciones con malas intenciones que pueden dar al traste campañas de comunicación y derivar en daños económicos importantes.
Riesgos técnicos al integrar la IA en los sistemas empresariales
Perder la voz propia es un riesgo significativo. Pero, ¿qué pasa con los peligros técnicos? “En este sentido debemos poner el foco en las integraciones inseguras de IAs generativas en los sistemas de las organizaciones. Pueden producirse, por ejemplo, vía API sin auditar correctamente las llamadas ni controlar los flujos de datos”, señala Lambert, “y la falta de validación de entradas y salidas, que pueden convertirse en la puerta de entrada de ataques tipo prompt injection, o manipulación del comportamiento de la IA a través de inputs maliciosos, y data poisoning, o entrenamiento de modelos con datos corruptos o sesgados”.
Se debe tener en cuenta, también, que muchas IAs trabajan en entornos web o en la Nube. Y “si los endpoints no están bien protegidos pueden quedar expuestos públicamente o ser vulnerables a ataques tipo MITM”, avisa el directivo de Panda.
La IA ha pasado de ser una completa desconocida hace unos 5 años para la mayor parte de la población. A convertirse en la mejor aliada de profesionales y empresas. Este acelerado crecimiento ha dejado a un lado la adecuada formación en su uso. Debería ser materia obligatoria en todas las organizaciones para que sus empleados no cometan errores que puedan costarles la vida empresarial.