Publicada

La adopción de herramientas de inteligencia artificial generativa dentro de las organizaciones está creciendo a un ritmo que supera la capacidad de los departamentos de TI y seguridad para mantener una gobernanza efectiva. O, en otras palabras, estamos en la antesala de que los usos ocultos de la IA superen con creces cualquier norma o límite que queramos imponerles.

Así lo reflejan los datos del Cloud and Threat Report: 2026 de Netskope, que muestran cómo el uso de estas tecnologías se está consolidando tanto dentro como fuera de los entornos corporativos gestionados, recreando dinámicas clásicas del shadow IT ahora trasladadas al ámbito de la IA.

Según el informe, el número de usuarios de aplicaciones de IA generativa en entornos empresariales se ha triplicado en el último año, mientras que el volumen de interacciones con estos servicios, medido en prompts enviados, se ha multiplicado por seis. Un crecimiento que, claramente, no se limita a despliegues corporativos controlados.

Por ejemplo, el estudio constata que el 47% de los usuarios de IA generativa accede a estas herramientas a través de cuentas personales o aplicaciones no gestionadas por la organización, lo que reduce de forma directa la visibilidad sobre qué datos se comparten y en qué condiciones.

Además, se produce una paradigmática y muy particular evolución en los patrones de uso. Y es que, aunque el acceso a herramientas de IA mediante cuentas corporativas ha aumentado de forma notable, pasando del 25% al 62% de los usuarios, este avance no ha eliminado el uso de cuentas personales.

Al contrario, crece el porcentaje de empleados que utilizan simultáneamente cuentas corporativas y personales, que pasa del 4% al 9%. Un solapamiento que constata las zonas grises en la gobernanza tecnológica, al combinar entornos vigilados y acotados con otros fuera del alcance de las políticas internas de las empresas.

Las consecuencias de esta fragmentación son cuantificables. Este mismo documento sitúa en 223 las violaciones mensuales de políticas de datos relacionadas con el uso de IA generativa en la organización media, una cifra que se ha duplicado respecto al año anterior.

Además, en el 25% de organizaciones con mayor volumen de incidentes, el número asciende a más de 2.100 violaciones al mes, lo que implica que hasta un 13% de los usuarios de estas compañías incurre de forma recurrente en incumplimientos vinculados a herramientas de IA.

Implicaciones en seguridad y privacidad

Las cifras que recogemos en DISRUPTORES - EL ESPAÑOL detallan, además, el tipo de información implicada en estos incidentes con la inteligencia artificial, donde propiedad interna sale al exterior de manera incontrolada.

Así, una parte significativa de las violaciones detectadas corresponde al envío de código fuente a servicios de IA generativa, seguido de datos regulados y de información considerada propiedad intelectual. O lo que es lo mismo: el uso oculto de IA no se limita a contenidos genéricos o de bajo impacto, sino que afecta a activos críticos para el negocio y el cumplimiento normativo.

En paralelo, el informe señala que el 60% de los incidentes relacionados con amenazas internas involucra aplicaciones personales en la nube, reforzando de este modo la conexión entre el uso no autorizado de servicios digitales y la exposición de datos sensibles. En este contexto, la IA generativa se incorpora a un ecosistema de aplicaciones personales que ya funcionaban como canales informales de trabajo, pero con una capacidad mucho mayor para procesar, transformar y reutilizar información.

Y por si alguien quería descargar de culpa a los inconscientes trabajadores, nada más lejos de la realidad. El informe aclara que el crecimiento sostenido de estos incidentes no se explica por ataques externos ni por campañas maliciosas, sino directamente por esas prácticas cotidianas de los usuarios. E incluso alerta de que las cifras podrían estar infravaloradas en aquellas organizaciones que dependen más de políticas declarativas que de controles técnicos para detectar el uso de IA generativa.

El informe concluye que este fenómeno responde a un desajuste estructural entre la velocidad de adopción de la IA generativa y la capacidad de las organizaciones para gobernarla. Mientras ese desfase persista, el uso no gestionado de herramientas de IA seguirá creando puntos ciegos en la protección del dato, reproduciendo en el ámbito de la inteligencia artificial un problema que las empresas llevan más de una década intentando resolver...