La inteligencia artificial generativa se ha convertido en una aliada para muchas empresas, especialmente en tareas de desarrollo y productividad. Sin embargo, el uso de plataformas no autorizadas, especialmente aquellas desarrolladas fuera de los marcos normativos occidentales, empieza a encender las alarmas. Un reciente informe de Harmonic Security pone el foco en una tendencia creciente: el uso de herramientas GenAI creadas en China dentro de organizaciones de EE.UU. y Reino Unido, muchas veces al margen del control de los equipos de seguridad.
El estudio, basado en un análisis de comportamiento durante 30 días a unos 14.000 usuarios, revela que el 7,95 % de los empleados utilizó al menos una aplicación china de IA generativa como DeepSeek, Kimi Moonshot, Manus, Baidu Chat o Qwen. Estas plataformas, gratuitas y fácilmente accesibles desde el navegador, ofrecen potentes capacidades que resultan muy atractivas para desarrolladores y otros perfiles técnicos. El problema es que su uso implica importantes riesgos de seguridad y privacidad.
Según los datos recopilados, 1.059 usuarios subieron más de 17 MB de información a estas herramientas, generando 535 incidentes de exposición de datos sensibles. DeepSeek, la más usada, concentró el 85 % de estas filtraciones. Los tipos de información comprometida incluyen:
- Código fuente, credenciales y lógica propietaria (32,8 %)
- Documentos relacionados con fusiones y adquisiciones (18,2 %)
- Información personal identificable (17,8 %)
- Datos financieros (14,4 %)
- Información de clientes (12 %)
- Documentos legales (4,9 %)
Uno de los aspectos más preocupantes es la falta de transparencia de estas plataformas en cuanto al uso de los datos: muchas no aclaran sus políticas de retención o admiten que pueden reutilizar la información subida para entrenar sus modelos. Esto plantea serias implicaciones legales y de cumplimiento, sobre todo en organizaciones que manejan datos protegidos o propiedad intelectual.
Para Harmonic, los entornos con una alta densidad de ingenieros y desarrolladores son los más expuestos, ya que estos perfiles suelen buscar ayuda en GenAI para escribir o revisar código sin valorar los riesgos de compartir detalles internos, claves API o arquitecturas propietarias con modelos alojados en el extranjero.
El informe concluye que bloquear estas herramientas no es una solución eficaz, ya que los empleados suelen encontrar formas de eludir las restricciones impuestas. En lugar de adoptar una postura meramente prohibitiva, se recomienda un enfoque más integral que combine varias medidas: formar a los usuarios sobre los riesgos asociados al uso de plataformas no autorizadas; ofrecer alternativas aprobadas que respondan a las necesidades reales de desarrollo y negocio; y aplicar políticas y controles efectivos que eviten la fuga de información sensible.
“La sombra de la IA ya está dentro de las organizaciones. Ignorarla no es una opción. Se necesita un enfoque equilibrado que combine tecnología, gobernanza y formación”, concluye el estudio.
