El 45 % de los empleados en grandes organizaciones ya utiliza herramientas de inteligencia artificial como ChatGPT, pero la mayoría lo hace desde cuentas personales y sin supervisión corporativa. Así lo alerta LayerX en su nuevo Enterprise AI and SaaS Data Security Report 2025, un estudio que pone cifras a un fenómeno cada vez más visible: el auge de la IA en los entornos empresariales y el consiguiente aumento de los riesgos de filtración de datos.
En apenas dos años, las herramientas de IA generativa han pasado de ser experimentales a convertirse en parte del día a día de muchas organizaciones. Según LayerX, ChatGPT concentra el 92 % del uso corporativo de IA y su nivel de adopción ya rivaliza con el de categorías clásicas como el correo electrónico o las videoconferencias.
El problema es que esta rápida integración se está produciendo fuera del perímetro de seguridad tradicional: el 67 % de los accesos a plataformas de IA se realiza con cuentas personales y el uso de identidades no federadas afecta incluso a aplicaciones críticas como CRM, ERP o almacenamiento en la nube.
“Las soluciones DLP tradicionales, centradas en archivos y entornos sancionados, no están preparadas para gestionar esta nueva realidad en la que los datos fluyen a través del navegador y de herramientas no controladas por la organización”, subraya el informe.
Copiar, pegar… y filtrar datos
El estudio identifica el copy/paste como el principal canal de exfiltración de información sensible. El 77 % de los empleados pega contenido en herramientas de IA —sobre todo en ChatGPT—, y más del 80 % de estas acciones se produce desde cuentas no gestionadas.
De media, cada usuario realiza 14 pegados al día desde cuentas personales, de los cuales al menos tres contienen datos confidenciales (PII o PCI). Esto convierte a la IA generativa en el primer vector de fuga de datos, responsable del 32 % de las transferencias desde entornos corporativos a personales.
El informe advierte de una crisis de identidad digital dentro de las empresas. Aunque muchas organizaciones han invertido en autenticación y Single Sign-On (SSO), el 83 % de los accesos a sistemas ERP y el 71 % a CRM aún se realiza sin federación. En la práctica, estos logins “corporativos” son tan inseguros como los personales, lo que deja a las compañías sin capacidad de rastrear el flujo de información sensible.
LayerX describe este escenario como un nuevo tipo de “shadow IT” en el que convergen SaaS, IA y cuentas personales, generando un perímetro cada vez más difuso.
Un reto urgente para los CISO
Entre las recomendaciones dirigidas a los responsables de seguridad, LayerX propone:
- Tratar la IA generativa como una categoría corporativa crítica, sujeta a las mismas políticas de protección de datos que el correo o el almacenamiento.
- Bloquear el uso de cuentas personales y reforzar el SSO en todas las aplicaciones de negocio.
- Extender las políticas de DLP más allá de los archivos, cubriendo también flujos de texto, prompts y acciones de copiar/pegar.
- Priorizar las categorías de mayor riesgo, especialmente las de IA, mensajería y plataformas de intercambio de archivos.
- El navegador, nuevo perímetro de seguridad
Para LayerX, el navegador se ha convertido en el auténtico punto de control del trabajo digital, concentrando correo, colaboración, almacenamiento y ahora también IA. Sin visibilidad ni control en este nivel, advierte la compañía, las organizaciones seguirán expuestas a fugas invisibles de información.
“La IA ha pasado de ser experimental a esencial”, concluye el informe. “Pero sin una gobernanza adecuada, también se ha convertido en el principal canal de exposición de datos corporativos”.
