¿Quién no abrió una herramienta de inteligencia artificial para resumir un archivo, ordenar ideas o ganar unos minutos en una jornada apurada? El problema aparece cuando ese atajo, tan cotidiano como copiar y pegar, termina dejando la puerta entornada de toda la empresa.
Eso es lo que advierte Sergio Herce, experto en IA y ciberseguridad, al analizar un riesgo que crece en las pymes: empleados que usan cuentas personales de servicios de IA para cargar documentos internos, bases de clientes o planes comerciales sin control corporativo.
El hallazgo no apunta primero a un hacker externo. Revela algo más incómodo: la brecha puede abrirse desde adentro, por prácticas mal gestionadas. Y el debate volvió a encenderse con modelos más potentes, como Mythos Preview de Anthropic, que mostraron hasta qué punto la IA puede detectar fallas de software en pocos minutos.
Herce subraya que muchas empresas todavía miran la seguridad como si el peligro siempre viniera de afuera. Pero hoy una pieza clave del riesgo está en el uso informal de estas herramientas, dentro del trabajo diario y fuera de la gobernanza de la organización.
Ese mecanismo tiene nombre: shadow IT (tecnología fuera de control). En términos simples, es como si en una oficina cada empleado instalara su propio cableado eléctrico sin avisar al área de mantenimiento. Puede funcionar un rato. Hasta que una sobrecarga quema el tablero central.
Con la IA pasa algo parecido. Cuando un trabajador sube un informe financiero o una base de datos de clientes a una cuenta personal, la empresa pierde de vista dónde queda almacenada esa información, quién puede verla y para qué podría reutilizarse después.
Además, hay otro engranaje delicado. Compartir una misma cuenta de IA entre varios empleados permite entrar a historiales completos de conversaciones, donde pueden aparecer datos salariales, expedientes de clientes o decisiones estratégicas que no corresponden a todos.
El riesgo menos visible dentro de la empresa
La situación se agrava cuando esos sistemas se integran con un ERP (programa de gestión empresarial), bases de datos u otras plataformas internas sin permisos claros. Sin el principio de mínimo privilegio, cada usuario accede solo a lo necesario, el cableado queda abierto y cualquier error escala rápido.
Al mismo tiempo, la inteligencia artificial también mejoró la ingeniería social, el engaño digital. Hoy puede redactar correos más creíbles, automatizar mensajes y hasta facilitar suplantaciones de voz, lo que vuelve más difícil distinguir una señal auténtica de una trampa bien armada.
Por eso, la oportunidad no está en prohibir la IA, sino en ponerle reglas simples. Actualizaciones al día, protección de identidades, auditorías y copias de seguridad verificadas forman la base de un sistema robusto, incluso para empresas pequeñas.
Herce es categórico: la seguridad en IA se sostiene sobre dos pilares, formación y copias de seguridad.
La formación práctica es el otro interruptor clave. No alcanza con decir “usen la herramienta con cuidado”. Los equipos necesitan saber qué archivos no deben subir, qué cuentas no se comparten y qué permisos corresponden a cada función.
Para una pyme, el mensaje es concreto. La IA puede ahorrar tiempo y abrir oportunidades reales, pero solo si se usa con un tablero ordenado. En un escenario donde la tecnología avanza a toda velocidad, cuidar los datos ya no es un lujo técnico: es una tarea tan básica como cerrar la puerta de casa antes de salir.
Directora de operaciones en GptZone. IT, especializada en inteligencia artificial. Me apasiona el desarrollo de soluciones tecnológicas y disfruto compartiendo mi conocimiento a través de contenido educativo. Desde GptZone, mi enfoque está en ayudar a empresas y profesionales a integrar la IA en sus procesos de forma accesible y práctica, siempre buscando simplificar lo complejo para que cualquiera pueda aprovechar el potencial de la tecnología.
