Los incidentes vinculados al envío de datos sensibles a plataformas de IA se duplicaron en el último año, según el Cloud and Threat Report 2026 de Netskope. Cerca de la mitad de las organizaciones aún no cuenta con políticas ni controles específicos para el uso corporativo de IA.
La adopción acelerada de herramientas de inteligencia artificial generativa está abriendo un nuevo frente de riesgo para las organizaciones: el Shadow AI, es decir, el uso de aplicaciones de IA sin control ni supervisión dentro de las organizaciones. El fenómeno ya se refleja en las cifras. Según el Cloud and Threat Report 2026 de Netskope, las empresas registran un promedio de 223 incidentes mensuales relacionados con el envío de datos sensibles a plataformas de IA, una cifra que se duplicó durante el último año.
La situación preocupa especialmente porque la mayoría de estos casos no responde a una intención maliciosa. Por el contrario, se trata de colaboradores que buscan agilizar tareas, redactar documentos, resumir información o analizar datos utilizando herramientas que tienen al alcance de un clic, muchas veces a través de cuentas personales y fuera de cualquier política corporativa.
“Estamos viendo un cambio importante en la naturaleza de los riesgos. Durante años las empresas concentraron buena parte de sus esfuerzos en protegerse de amenazas externas. Hoy una parte relevante de la exposición ocurre dentro de las propias organizaciones, cuando colaboradores comparten información sensible con plataformas de IA sin conocer del todo las implicancias de seguridad”, explica Kenneth Daniels, gerente general de Widefense.
El Shadow AI puede manifestarse de formas aparentemente inofensivas: desde solicitar a un chatbot que redacte una propuesta comercial utilizando información interna, hasta cargar bases de datos, contratos, reportes financieros o código fuente para obtener análisis automáticos.
“Muchas empresas todavía creen que el principal riesgo es que un colaborador descargue información de forma indebida. Hoy la realidad es distinta: basta con copiar y pegar un documento estratégico en una plataforma de IA pública para que la organización pierda control sobre ese contenido”, señala Daniels.
La preocupación aumenta porque gran parte de las organizaciones aún no cuenta con políticas claras sobre el uso corporativo de inteligencia artificial. De acuerdo con Netskope, cerca de la mitad de las empresas todavía no dispone de controles específicos para proteger la información que circula a través de estas herramientas.
Para Widefense, la conversación ya no pasa por prohibir la IA dentro de las organizaciones, sino por gobernarla adecuadamente y abordarla como parte de la agenda de riesgo del directorio, y no solo como un tema de TI.
“La pregunta ya no es si las empresas utilizarán inteligencia artificial; eso ya ocurrió. La verdadera discusión es cómo aprovechar su potencial sin comprometer información estratégica, propiedad intelectual o datos de clientes”, finaliza Daniels.
Desde Widefense plantean que gobernar el uso de la inteligencia artificial debería ser parte de la estrategia de ciberresiliencia de cualquier organización, junto con la gestión de identidades y el monitoreo continuo de la información sensible.
