¿Qué es la IA en sombra?

Un ejemplo común de IA en la sombra es el uso no autorizado de aplicaciones de IA generativa (IA gen), como ChatGPT de OpenAI, para automatizar tareas como la edición de texto y el análisis de datos. Los empleados suelen recurrir a estas herramientas para mejorar la productividad y acelerar los procesos. Sin embargo, dado que los equipos de TI no saben que se utilizan estas aplicaciones, los empleados pueden exponer sin saberlo a la organización a importantes riesgos relacionados con la seguridad de datos, el cumplimiento y la reputación de la empresa.

Para los CIO y CISO, desarrollar una estrategia de IA sólida que incorpore iniciativas de gobierno y seguridad de la IA es clave para una gestión eficaz de los riesgos de la IA. Al comprometerse con políticas de IA que enfatizan la importancia del cumplimiento y la ciberseguridad, los líderes pueden gestionar los riesgos de la IA invisible al tiempo que aprovechan los beneficios de las tecnologías de IA.

Para comprender las implicaciones de la IA en la sombra, es útil distinguirla de la TI invisible.

La TI invisible se refiere a la implementación de cualquier software, hardware o tecnología de la información en una red empresarial sin la aprobación, conocimiento o supervisión de un departamento de TI o CIO. Los empleados pueden recurrir a la tecnología de IA no autorizada cuando consideran que las soluciones existentes son insuficientes o creen que las opciones aprobadas son demasiado lentas. Algunos ejemplos comunes son el uso de servicios personales de almacenamiento en la nube o herramientas de gestión de proyectos no aprobadas.

Mientras que la TI invisible se centra en cualquier aplicación o servicio no autorizado, la IA invisible se centra en herramientas, plataformas y casos de uso específicos de la IA. Por ejemplo, un empleado podría utilizar un modelo de lenguaje de gran tamaño (LLM) para generar rápidamente un informe sin darse cuenta de los riesgos de seguridad. La diferencia clave radica en la naturaleza de las herramientas que se utilizan: la IA en la sombra consiste en el uso no autorizado de la inteligencia artificial, lo que introduce preocupaciones únicas relacionadas con la gestión de datos, los resultados de los modelos y la toma de decisiones.

De 2023 a 2024, la adopción de aplicaciones de IA generativa por parte de los empleados de las empresas creció del 74 % al 96 % a medida que las organizaciones adoptaban las tecnologías de IA.¹ Junto a este crecimiento se produjo un aumento de la IA en la sombra. En la actualidad, más de un tercio (38 %) de los empleados reconoce haber compartido información laboral sensible con herramientas de IA sin el permiso de sus empleadores.²

La IA en la sombra puede exponer a las empresas a varios riesgos, como la fuga de datos, multas por incumplimiento y graves daños a su reputación:

Uno de los principales riesgos asociados con la IA invisible es la posibilidad de vulneraciones de datos. Cuando hay una falta de supervisión con respecto al uso de la IA, los empleados pueden exponer sin querer información confidencial que genere problemas de protección de datos. Según una encuesta reciente de CISO, 1 de cada 5 empresas del Reino Unido experimentó una fuga de datos debido a que los empleados utilizan IA generativa.³ El mayor riesgo de fuga de datos podría explicar por qué tres cuartas partes de los encuestados también afirmaron que los (usuarios) internos representan un mayor riesgo para la organización que las amenazas externas.⁴

En muchos sectores, el cumplimiento normativo no es negociable. El uso de la IA invisible puede dar lugar a problemas de cumplimiento, especialmente en lo que respecta a la protección de datos y la privacidad de los mismos. Es posible que las organizaciones deban cumplir normativas como el Reglamento General de Protección de Datos (RGPD). Las multas por incumplimiento del RGPD pueden ser considerables: las infracciones graves (como el tratamiento de datos con fines ilícitos) pueden costar a las empresas más de 20 000 000 de euros o el 4 % de los ingresos mundiales de la organización en el año anterior, lo que sea mayor. 

Confiar en modelos de IA no autorizados puede afectar a la calidad de la toma de decisiones. Sin un gobierno adecuado, los resultados generados por estos modelos podrían no alinearse con los objetivos o estándares éticos de la organización. Los datos sesgados, el sobreajuste y la desviación del modelo son algunos ejemplos de los riesgos de la IA que pueden conducir a malas decisiones estratégicas y dañar la reputación de una empresa. 

El uso no autorizado de la IA también puede contradecir los estándares de calidad de una empresa y socavar la confianza de los consumidores. Pensemos en la reacción que se produjo cuando Sports Illustrated fue denunciado por publicar artículos escritos por autores generados por IA o cuando Uber Eats fue denunciado por utilizar imágenes de comida generadas por IA.

A pesar de los riesgos, la IA en la sombra se está volviendo más común por varias razones. Las organizaciones están adoptando la transformación digital y, por extensión, la integración de tecnologías de IA para reimaginar los flujos de trabajo y la toma de decisiones. 

La proliferación de herramientas de IA fáciles de usar significa que los empleados pueden acceder fácilmente a soluciones avanzadas de IA para mejorar sus capacidades. Muchas aplicaciones de IA están disponibles como productos de software como servicio (SaaS), lo que permite a las personas adoptar rápidamente estas herramientas sin involucrar necesariamente a los equipos de TI o de seguridad. A través de la democratización de la IA, los empleados están encontrando nuevas formas de:

• Mejore la productividad: los empleados suelen utilizar herramientas de IA en la sombra para aumentar su productividad y eludir las ineficiencias operativas. Mediante el uso de aplicaciones de IA generativa, las personas pueden automatizar tareas repetitivas, generar contenido rápidamente y agilizar procesos que de otro modo llevarían mucho más tiempo.
• Acelere la innovación: la IA en la sombra puede fomentar una cultura de innovación, permitiendo a los equipos experimentar con nuevas herramientas de IA sin esperar la aprobación oficial. Esta agilidad puede conducir a soluciones creativas y flujos de trabajo mejorados, lo que brinda a las organizaciones una ventaja competitiva en mercados que cambian rápidamente.
• Optimice las soluciones: a menudo, la IA permite a los equipos abordar los retos en tiempo real. Los empleados pueden encontrar soluciones ad hoc rápidamente utilizando las herramientas de IA disponibles, en lugar de depender de métodos tradicionales y más lentos. Esta capacidad de respuesta puede mejorar el servicio de atención al cliente y mejorar la eficiencia operativa.

La IA en la sombra se manifiesta de diversas formas en las organizaciones, a menudo impulsada por la necesidad de eficiencia e innovación. Algunos ejemplos habituales de IA en la sombra son los chatbots con IA, los modelos ML para el análisis de datos, las herramientas de automatización del marketing y las herramientas de visualización de datos.

En el servicio de atención al cliente, los equipos pueden recurrir a chatbots de ai no autorizados para generar respuestas a las consultas. Por ejemplo, un representante del servicio de atención al cliente podría intentar responder a la pregunta de un cliente pidiéndole respuestas a un chatbot en lugar de consultar los materiales aprobados por su empresa. Esto puede provocar mensajes inconsistentes o falsos, posibles problemas de comunicación con los clientes y riesgos de seguridad si la pregunta del representante contiene datos confidenciales de la empresa.

Los empleados podrían utilizar modelos de machine learning externos para analizar y encontrar patrones dentro de los datos de la empresa. Aunque estas herramientas pueden brindar conocimientos valiosos, el uso no autorizado de los servicios de IA puede crear vulnerabilidades de seguridad. Por ejemplo, un analista podría utilizar un modelo de comportamiento predictivo para comprender mejor el comportamiento del cliente a partir de un conjunto de datos patentado, exponiendo sin saberlo información confidencial en el proceso.

Los equipos de marketing pueden intentar optimizar las campañas utilizando herramientas de IA en la sombra, que pueden automatizar los esfuerzos de marketing por correo electrónico o analizar los datos de participación en las redes sociales. El uso de estas herramientas puede mejorar los resultados de marketing. Sin embargo, la ausencia de gobierno podría dar lugar al incumplimiento de las normas de protección de datos, sobre todo si los datos de los clientes se gestionan de forma inadecuada.

Muchas organizaciones utilizan herramientas de visualización de datos con IA para crear rápidamente mapas de calor, gráficos de líneas, gráficos de barras y mucho más. Estas herramientas pueden ayudar a reforzar la inteligencia empresarial al mostrar relaciones de datos complejas y conocimientos en una manera fácil de entender. Sin embargo, la entrada de datos de la empresa sin la aprobación de TI puede dar lugar a imprecisiones en los informes y a posibles problemas de seguridad de datos.

Para gestionar los riesgos de la IA en la sombra, las organizaciones podrían considerar varios enfoques que fomenten el uso responsable de la IA responsable mientras reconocen la necesidad de flexibilidad y la innovación:

Un diálogo abierto entre los departamentos de TI, los equipos de seguridad y las unidades de negocio puede facilitar una mejor comprensión de las capacidades y limitaciones de la IA. Una cultura de colaboración puede ayudar a las organizaciones a identificar qué herramientas de IA son beneficiosas, al mismo tiempo que ayuda a garantizar el cumplimiento de los protocolos de protección de datos.

Los marcos de gobierno pueden adaptarse a la naturaleza acelerada de la adopción de la IA al tiempo que mantienen las medidas de seguridad. Estos marcos pueden incluir directrices claras sobre qué tipos de sistemas de IA se pueden utilizar, cómo se debe gestionar la información confidencial y qué formación necesitan los empleados en relación con la ética de la IA y el cumplimiento.

Las salvaguardas en torno al uso de la IA pueden proporcionar una red de seguridad, lo que ayuda a garantizar que los empleados solo utilicen herramientas aprobadas dentro de parámetros definidos. Las salvaguardas pueden incluir políticas relativas al uso externo de la IA, entornos aislados para probar aplicaciones de IA o firewalls para bloquear plataformas externas no autorizadas.

Puede que no sea factible eliminar todas las instancias de IA invisible. Por lo tanto, las organizaciones pueden implementar herramientas de monitorización de red para rastrear el uso de las aplicaciones y establecer controles de acceso para limitar el software no aprobado. Las auditorías periódicas y la monitorización activa de los canales de comunicación también pueden ayudar a identificar si se están utilizando aplicaciones no autorizadas y cómo.

El panorama de la IA en la sombra está en constante evolución, presentando nuevos retos para las organizaciones. Las empresas pueden establecer comunicaciones periódicas, como boletines o actualizaciones trimestrales, para informar a los empleados sobre la IA en la sombra y los riesgos asociados.

Al aumentar la conciencia sobre las implicaciones del uso de herramientas de IA no autorizadas, las organizaciones pueden fomentar una cultura de uso de IA responsable. Esta comprensión puede animar a los empleados a buscar alternativas aprobadas o a consultar con el departamento de TI antes de implementar nuevas aplicaciones.