La inmensa mayoría de las empresas ya hacen uso de alguna herramienta de IA generativa. ya sea para redactar documentos, analizar información o resolver dudas.
Según el informe Security Report Iberia 2025’ de Check Point Software Technologies, entre el 97% y el 99% ya utilizan herramientas basadas en esta tecnología.
Asimismo, más de la mitad (51%) de las redes empresariales utilizan activamente servicios de IA cada mes, de acuerdo con el estudio ‘AI Security Report’, elaborado también por dicha compañía de ciberseguridad.
De este modo, podemos decir que esta tecnología se ha convertido ya en una compañera de trabajo más. Sin embargo, muchas de las empresas que utilizan IA generativa lo hacen sin ser del todo conscientes de que una práctica aparentemente tan inocua como ésta podría estar poniendo en riesgo los datos que manejan.
“La IA se ha integrado en casi todas las empresas de forma acelerada, pero muchas veces sin establecer reglas claras para su uso. Esto ha generado un riesgo significativo: herramientas empleadas sin autorización, decisiones automatizadas que no pasan por revisión humana y una mayor vulnerabilidad ante ciberataques que también se apoyan en inteligencia artificial. Cuando no se gestiona de forma segura, esta tecnología puede abrir la puerta a fugas de información crítica, incumplimientos legales y daños irreversibles en la reputación de la compañía”, advierte Rafael López, ingeniero de seguridad especializado en protección de correo electrónico de Check Point Software.
Riesgos de un mal uso de la IA generativa
Hay varios riesgos a los que se expone nuestra empresa por el mal uso de las herramientas IA generativa.
“El principal peligro es que la información deje de estar bajo control de la empresa. Al introducir contratos, planes de negocio o código en modelos públicos, esos datos pueden ser almacenados o reaprovechados sin consentimiento, con el riesgo de que acaben expuestos a terceros”, explica López.
En este sentido, el informe ‘AI Security Report’ desvela que 1 de cada 80 prompts introducidos en los chats de las distintas plataforma de IA generativa conlleva un riesgo elevado de filtración. Y alrededor del 7,5% de ellos incluyen información sensible.
“Además de la pérdida de confidencialidad, este tipo de prácticas puede acarrear sanciones por incumplimiento normativo y la pérdida de ventaja competitiva frente a competidores o ciberdelincuentes”, avisa.
¿Cómo aprovechan la IA los hackers?
El experto indica que los ciberdelincuentes utilizan técnicas como la denominada prompt injection para extraer información sensible de las plataformas de IA generativa. “Consiste en ‘engañar’ al modelo de IA para que revele información que debería permanecer protegida. Los atacantes formulan instrucciones específicas que fuerzan al sistema a saltarse sus restricciones de seguridad y acaban accediendo a claves, datos internos o información corporativa introducida previamente por empleados”, explica.
También recurren a la llamado data poisoning, una técnica con la que se busca alterar los datos de entrenamiento para manipular los resultados del modelo.
“Ambos métodos ponen de manifiesto que, si no se aplican medidas de control y aislamiento, la propia IA puede transformarse en un canal involuntario de fuga de datos”, afirma.
De igual modo, señala que el uso de la IA generativa ha revolucionado las técnicas de suplantación e ingeniería social.
“Hoy, los ciberdelincuentes pueden generar correos electrónicos de phishing en tiempo real con redacción impecable, crear audios que imitan la voz de un directivo para engañar a un empleado o producir vídeos deepfake capaces de hacer pasar a alguien por otra persona en reuniones virtuales. Esto ha hecho mucho más sofisticadas y creíbles estafas como el fraude del CEO o el engaño a proveedores”, alerta.
“Además, en la dark web ya se comercializan modelos de IA diseñados específicamente para el fraude, como FraudGPT o WormGPT, que permiten a actores maliciosos sin grandes conocimientos técnicos ejecutar estafas y campañas de hacking con gran eficacia”, asegura el experto de Check Point.
¿Cómo protegernos?
López recalca que “la mejor defensa empieza por establecer una política clara sobre cómo se debe usar la IA en el entorno laboral”.
“Es imprescindible que las compañías limiten su utilización a versiones empresariales de estas herramientas, que ofrecen mayores garantías de seguridad, y que formen a sus empleados para evitar errores como compartir información sensible en modelos públicos”, expone.
Además, insiste en que se debe reforzar la supervisión con auditorías periódicas y soluciones de ciberseguridad basadas en IA que son capaces de detectar todo tipo de amenazas en tiempo real, desde intentos de phishing hasta suplantaciones mediante deepfakes.
Y también recuerda que “es clave actualizar los procesos de verificación de identidad para hacer frente a un escenario en el que texto, voz y vídeo ya no garantizan por sí mismos autenticidad”.
“Sólo con este enfoque integral se puede aprovechar la innovación de la IA sin quedar expuestos a sus riesgos”, concluye.
