El gran problema de las filtraciones de datos: cómo las herramientas de IA empresarial están filtrando información sensible

La adopción empresarial de herramientas impulsadas por IA ha abierto un nuevo frente en la seguridad de datos: la filtración involuntaria de información a través de empleados que pegan datos sensibles en chatbots, herramientas de búsqueda con IA y asistentes de codificación, a menudo sin darse cuenta de que los datos están saliendo del control de la organización.

TechRadar informa que el problema ha alcanzado proporciones de crisis a medida que las empresas despliegan herramientas de IA como ChatGPT, Claude, Copilot y Gemini entre sus empleados sin los controles de gobierno de datos correspondientes. A diferencia de las filtraciones de datos tradicionales causadas por atacantes externos, este tipo de fuga es típicamente accidental: un empleado pega datos de clientes en un prompt, un desarrollador sube código propietario a un asistente de codificación con IA, o un vendedor le pide a una IA que analice una hoja de cálculo confidencial.

La magnitud. Investigaciones de múltiples empresas de seguridad sugieren que la mayoría de las empresas ahora tienen datos sensibles fluyendo a través de modelos de IA de terceros sin una supervisión adecuada. Los vectores comunes de filtración incluyen:

  • Entrada directa en prompts: Los empleados pegan información personal identificable, datos financieros o secretos comerciales en interfaces de chat de IA cuyos términos de servicio permiten el entrenamiento con las entradas.
  • Herramientas de búsqueda de IA empresarial: Plataformas como Microsoft Copilot y Glean indexan documentos internos y pueden mostrar información más allá de lo que los usuarios están autorizados a ver, violando principios de acceso de “necesidad de saber”.
  • Asistentes de codificación con IA: Los desarrolladores suben código fuente propietario a servicios de finalización de código en la nube, exponiendo propiedad intelectual a los pipelines de entrenamiento de modelos.
  • Proliferación de integraciones SaaS: Los plugins y extensiones de IA conectados a herramientas SaaS empresariales heredan tokens de OAuth con un alcance mucho mayor del que el flujo de trabajo requiere.

Presión regulatoria. El problema está atrayendo la atención regulatoria. La Ley de IA de la UE y la Ley de Resiliencia Operativa Digital (DORA) exigen que las instituciones financieras y los operadores de infraestructuras críticas demuestren que sus integraciones de herramientas de IA no crean vías no autorizadas de exposición de datos. La Unidad de Ciberseguridad y Tecnologías Emergentes de la SEC está examinando activamente las representaciones de gobierno de IA realizadas por entidades reguladas.

Los expertos recomiendan que las organizaciones implementen sistemas de clasificación a nivel de prompt y aplicación en tiempo real que inspeccionen los datos antes de que lleguen a un modelo de IA, segmenten los permisos de las herramientas de IA al mínimo acceso necesario, y creen registros auditables de todos los datos que fluyen a través de los pipelines de IA. Un documento de política sin aplicación técnica, señalan, no evita que los datos salgan.

Fuente: TechRadar, Knostic, Wiz

Traducido por Alessandra

Scroll to Top