De acuerdo a un estudio de Microsoft, el 78% de los empleados ya estaba utilizando sus propias herramientas de IA (BYOAI – Bring Your Own AI) en el trabajo y la cifra llega a 80% cuando se trata de las pequeñas y medianas empresas (pymes). Esta cifra supera la proyección de Forrester, que había estimado que el 60% de la fuerza laboral adoptaría herramientas de inteligencia artificial (IA) sin aprobación del área de Tecnología de la Información (TI) en 2024.
Según el último reporte de Ciberamenazas 2025 de Sendmarc, empresa global de ciberseguridad con plataforma 100% cloud, el uso de «IA en la sombra» se ha convertido en una de las brechas de seguridad más peligrosas para las organizaciones, creando nuevas vulnerabilidades y dando oportunidades a los atacantes para explotar herramientas no aprobadas. Y a medida que estas aplicaciones se propagan más rápido de lo que las organizaciones pueden protegerlas, el potencial de disrupción solo crece.
Este uso de herramientas de IA sin autorización es una tendencia particularmente fuerte en las pymes (80%) debido a las facilidades que ofrece para escalar tareas y automatizar procesos. Pero esa adopción sin supervisión de herramientas como ChatGPT u otras aplicaciones más específicas, se está convirtiendo en la puerta de entrada para criminales cada vez más sutiles e inteligentes, señalaron.
«La adopción acelerada de IA sin control está ampliando la superficie de ataque en todas las industrias. Nuestro compromiso es ayudar a las organizaciones a recuperar visibilidad y control, fortaleciendo la identidad del correo electrónico y reduciendo los puntos ciegos que los atacantes explotan», dijo Guido Luciani, gerente para Latinoamérica de Sendmarc.
Según datos de IBM, comentó, los ataques relacionados con el uso de IA en la sombra afectaron al 20% de las organizaciones, generando un costo promedio de US$670 mil por cada infracción. Estos incidentes expusieron información de identificación personal en el 65% de los casos y de propiedad intelectual en el 40%.
En un caso reciente, citó, un empleado de Disney instaló una herramienta de arte generativo no autorizada que contenía malware. Esto provocó una filtración masiva que expuso 44 millones de mensajes internos de Slack y otorgó a los atacantes acceso a credenciales almacenadas en una cuenta no segura. Otro caso sonado es el de unos ingenieros de Samsung, que filtraron código fuente patentado al cargarlo en ChatGPT sin autorización, lo que llevó a la compañía a prohibir el uso de GenAI en sus dispositivos y redes internas.
«La adopción acelerada de IA sin control está ampliando la superficie de ataque en todas las industrias. Nuestro compromiso es ayudar a las organizaciones a recuperar visibilidad y control, fortaleciendo la identidad del correo electrónico y reduciendo los puntos ciegos que los atacantes explotan».
Guido Luciani, gerente para Latinoamérica de Sendmarc
Los expertos de Sendmarc aseguraron en su informe que mitigar los riesgos de la IA en la sombra requiere un enfoque integral. En la era de la GenAI, proteger la identidad del correo electrónico es más importante que nunca. Recomiendan combinar la concientización del usuario con medidas de autenticación sólidas, como DMARC (Domain-based Message Authentication, Reporting, and Conformance), para evitar que correos falsos o maliciosos lleguen a las bandejas de entrada.
También es clave establecer políticas claras sobre el uso de software y herramientas no autorizadas, y ofrecer alternativas seguras y aprobadas.
La implementación de DMARC (Domain-based Message Authentication, Reporting, and Conformance), recordaron, es una medida esencial para prevenir la suplantación de identidad, el spoofing, el phishing y el uso indebido del dominio por correo electrónico. Se trata de un protocolo de seguridad de correo electrónico que protege los dominios utilizando los estándares SPF (Sender Policy Framework) y DKIM (DomainKeys Identified Mail) para verificar la autenticidad del remitente. Además permite recibir informes sobre el estado de la autenticación, lo que ayuda a identificar problemas y actividad maliciosa.
