Ciberseguridad 
Los empleados están adoptando herramientas de Inteligencia Artificial (IA) para mejorar su productividad, pero rara vez consideran las implicaciones de seguridad de hacerlo. Cuando un empleado
Publicado el mayo 13, 2026
Imagine que un representante de servicio al cliente de su organización cargue datos confidenciales de clientes en una herramienta de IA para redactar correos electrónicos más rápidamente. Cuando un empleado utiliza una herramienta de IA sin la autorización de TI, se conoce como IA no supervisada, y estos casos son cada vez más frecuentes. Entre los empleados que utilizan IA en el trabajo, el 78% informa usar herramientas que no fueron autorizadas formalmente por su organización, según el Índice de Tendencias Laborales 2024 de Microsoft. Si bien los equipos de seguridad han desarrollado estrategias para abordar los casos tradicionales de TI no supervisada, la IA no supervisada introduce nuevos riesgos que requieren un enfoque más moderno. La principal diferencia entre la TI no supervisada y la IA no supervisada es que la IA no supervisada no solo transfiere y almacena datos confidenciales, sino que también los procesa de manera activa y potencialmente los retiene.
Siga leyendo para saber más sobre TI no supervisada, IA no supervisada, y cómo detectar y gestionar casos de IA no supervisada de forma eficaz.
¿Qué es la TI no supervisada?
La TI no supervisada se refiere a cualquier software o servicio en la nube que los empleados usen sin el conocimiento o la autorización de TI. Esto puede incluir el uso de cuentas de correo electrónico personales para compartir archivos de trabajo, la instalación de extensiones para navegadores no autorizadas o la conexión de dispositivos personales a la red de la empresa. Dado que estas acciones eluden los procesos formales de autorización, los equipos de seguridad no las revisan antes de su uso. Aunque el uso de TI no supervisada se debe principalmente a una mayor productividad y no por intención maliciosa, puede introducir distintos riesgos de seguridad:
- Visibilidad limitada: cuando los equipos de TI desconocen la existencia de aplicaciones no autorizadas, no pueden supervisar su uso ni proteger los datos de la empresa. Cualquier vulnerabilidad de seguridad en esas aplicaciones puede convertirse en un punto de entrada oculto a una red.
- Cumplimientos normativos: el software no autorizado rara vez cumple con los criterios de tratamiento de datos establecidos en normativas, como el RGPD o la HIPAA. Si los datos se manejan de manera inadecuada, las organizaciones pueden enfrentar graves sanciones y multas.
- Superficie de ataque ampliada: cada aplicación no autorizada constituye un posible vector de ataque para los ciberdelincuentes. A medida que crece la TI no supervisada, especialmente en entornos en la nube, proteger el perímetro de la organización se vuelve más difícil.
¿Qué es la IA no supervisada?
La IA no supervisada se refiere al uso de herramientas o aplicaciones de IA sin el conocimiento o autorización de TI. Los ejemplos comunes incluyen empleados que utilizan IA generativa para redactar comunicaciones internas con datos confidenciales o desarrolladores que ejecutan código a través de herramientas de IA usando cuentas personales. Lo que hace que la IA no supervisada sea especialmente desafiante es que los empleados no siempre eluden de manera intencional las medidas de seguridad. Muchas aplicaciones modernas incorporan funciones de IA de forma predeterminada, por lo que es posible que los empleados ni siquiera se den cuenta de que las están utilizando.
La IA no supervisada introduce riesgos que van más allá de lo que muchas organizaciones están preparadas para afrontar:
- Fugas de datos no rastreables: cuando los empleados utilizan herramientas de IA a través de cuentas personales, las organizaciones no suelen tener acceso a los registros de interacción, incluso en plataformas que ofrecen registro en el nivel empresarial. No existe un registro de auditoría que indique qué datos se introdujeron, cómo se procesaron o si se conservaron.
- Implicaciones para la seguridad de la identidad: la IA no supervisada introduce nuevos riesgos de seguridad que los modelos de seguridad tradicionales no fueron diseñados para manejar, principalmente con el aumento de agentes autónomos de IA. Cuando los empleados crean cuentas en plataformas externas de inteligencia artificial, las organizaciones pierden el control sobre cómo esas identidades acceden a datos confidenciales.
Diferencias clave entre la TI no supervisada y la IA no supervisada
La TI no supervisada y la IA no supervisada comparten la misma causa raíz: los empleados utilizan herramientas para trabajar de manera más productiva, pero difieren en la forma en que introducen el riesgo.
Procesamiento y uso compartido de datos
Con el uso de TI no supervisada, los datos suelen seguir un proceso estructurado, como la carga de archivos o el intercambio de documentos. Estas acciones crean patrones previsibles que las herramientas de seguridad pueden detectar. La IA no supervisada, por otro lado, opera a través de entradas conversacionales no estructuradas. Los empleados introducen datos confidenciales en indicaciones que se procesan en tiempo real y se transmiten a través del tráfico HTTPS estándar, lo que dificulta distinguir este tráfico de la actividad normal.
Visibilidad y auditabilidad
La actividad de TI no supervisada suele generar registros de auditoría mediante el uso de aplicaciones, transferencias de archivos o monitorización de red, para que los equipos de seguridad puedan investigar incidentes de seguridad. Por el contrario, la IA no supervisada a menudo carece de visibilidad centralizada, ya que muchas plataformas de IA no proporcionan a las organizaciones registros de interacción detallados. Cuando los empleados emplean herramientas externas de IA, especialmente a través de cuentas personales, las organizaciones pueden tener acceso limitado o nulo a los datos de interacción, lo que dificulta determinar cómo se utiliza o almacena la información.
Riesgo de retención de datos
El uso de TI no supervisada introduce riesgos relacionados con el almacenamiento no autorizado de datos, con datos confidenciales que acaban fuera de sistemas autorizados en ubicaciones identificables. La IA no supervisada introduce un tipo diferente de riesgo. En las plataformas de IA de nivel de consumo, los datos ingresados en las indicaciones se pueden usar para entrenar modelos futuros de forma predeterminada, aunque la mayoría de las plataformas de nivel empresarial deshabilitan esta opción. El riesgo es mayor cuando los empleados usan cuentas personales en herramientas de consumo, eludiendo las protecciones de datos que proporcionan las licencias empresariales.
| Shadow IT | Shadow AI | |
|---|---|---|
| Scope | Any unauthorized software or cloud service | Unauthorized AI tools, models and applications |
| Data processing | Structured transfers and uploads | Unstructured, conversational inputs via natural language prompts |
Detection |
Detectable through DLP and network monitoring tools | Mainly invisible to traditional DLP tools since it appears as normal HTTPS traffic |
| Auditability | Typically available through network analysis and logs | Limited, if any; none if employees use personal accounts to access AI tools |
| Data retention risk | No equivalent risk | Sensitive data may be used to train third-party AI models |
| Level of autonomy | Tools require human action | AI agents can act autonomously across multiple systems on behalf of users |
| Governance | More established policies | Largely ungoverned |
Cómo detectar y gestionar la IA no supervisada
Debido a que la IA no supervisada expone datos confidenciales de maneras que son difíciles de detectar, las organizaciones deben adoptar un enfoque proactivo para gestionarla. Las herramientas tradicionales utilizadas para gestionar la TI no supervisada no abordan los mismos riesgos asociados con los empleados que ingresan datos confidenciales en plataformas de IA o que otorgan acceso a la IA a sistemas internos. Aunque muchas organizaciones se apresuran a prohibir por completo las herramientas de IA, esto suele resultar contraproducente, ya que lleva a los empleados a buscar herramientas no autorizadas sin que se tenga control sobre ellas. Las organizaciones deben centrarse en la gobernanza mediante las siguientes medidas:
- Crear una política de uso aceptable de la IA: establezca directrices claras que definan qué herramientas de IA están autorizadas, qué datos se pueden compartir y las consecuencias de un uso indebido.
- Elaborar un catálogo interno de aplicaciones de IA: proporciona a los empleados una lista de herramientas de IA verificadas que pueden usar para que no busquen alternativas no autorizadas y potencialmente riesgosas.
- Implementar soluciones de IA de nivel empresarial: las soluciones de IA de nivel empresarial ofrecen un mayor control sobre el manejo y el almacenamiento de datos en comparación con las herramientas de IA destinadas al público general.
- Realizar auditorías regulares de cumplimiento de IA: monitorear qué herramientas de IA se están utilizando e identificar riesgos de seguridad emergentes.
- Capacitar a los empleados en el uso de la IA: la educación continua genera conciencia organizacional que los empleados pueden no comprender completamente solo leyendo una política. Las organizaciones con programas de capacitación activos ayudan a los empleados a entender cómo usar la IA de manera segura.
Toma el control de la IA no supervisada
La IA no supervisada se propaga rápidamente, opera a través de canales que son difíciles de monitorear e introduce riesgos que las herramientas de seguridad tradicionales no fueron diseñadas para detectar. Una gobernanza eficaz requiere visibilidad sobre cada identidad — humana y de máquina — que interactúa con los sistemas de IA y los datos a los que acceden. A medida que los agentes de IA se integran en los flujos de trabajo de las empresas, las identidades de máquina de las que dependen (es decir, claves de API, tokens de cuentas de servicio y secretos de infraestructura) requieren el mismo control que las cuentas de usuarios humanos. Un agente de IA con permisos excesivos y sin registro de auditoría representa el riesgo más peligroso de la IA no supervisada.
Con una solución de gestión de acceso privilegiado (PAM) de confianza cero como Keeper®, las organizaciones pueden obtener visibilidad y control centralizados sobre los usuarios, los sistemas y las identidades. Ya sea que el riesgo provenga de aplicaciones no autorizadas o de un uso no autorizado de IA, Keeper ayuda a garantizar que todos los accesos estén estrechamente monitorizados y protegidos.
Comience su prueba gratuita de KeeperPAM hoy mismo para asegurarse de que todas las identidades de su entorno se administren correctamente.
