En un mundo donde la inteligencia artificial (IA) se ha convertido en una herramienta indispensable para la innovación y la productividad, ha surgido un fenómeno que preocupa a los expertos en ciberseguridad: el Shadow AI. Este término, que evoca al conocido Shadow IT, se refiere al uso no autorizado de herramientas de IA por parte de empleados en una organización. Aunque estas herramientas pueden ofrecer beneficios inmediatos en términos de eficiencia, también representan un riesgo significativo para la seguridad de los datos y la integridad de las empresas.
Shadow AI, un problema creciente
El Shadow AI representa un problema para la ciberseguridad empresarial. Esto es así porque herramientas de IA como chatbots, generadores de texto, creadores de imágenes y más, a menudo son utilizadas por los trabajadores de las empresas para aumentar la productividad y eficiencia en sus labores. En principio, es la principal razón por la que se ha desarrollado la IA. Sin embargo, el uso de estas herramientas sin la supervisión adecuada puede tener consecuencias graves para la seguridad y la integridad de los datos de las empresas.
ASÍ REVOLUCIONAN LOS AGENTES DE IA EL TRADING DE CRIPTOMONEDAS
Su origen tiene que ver con la rápida evolución y proliferación de herramientas de IA generativa. Desde el lanzamiento de ChatGPT por OpenAI en noviembre de 2022, el número de productos que utilizan IA generativa ha aumentado exponencialmente.
Según datos recientes, existen alrededor de 50.000 herramientas de IA disponibles. Un número que sigue creciendo a un ritmo de aproximadamente 1.000 nuevas herramientas cada mes. Todas estas nuevas herramientas prometen ayudar a automatizar más de 16.000 tareas laborales, lo que ha incentivado a los empleados a buscar soluciones no aprobadas para mejorar su productividad y eficiencia.
¿Cómo el Shadow AI puede afectar negativamente la ciberseguridad?
Shadow AI introduce una serie de riesgos significativos para la ciberseguridad de las empresas. El riesgo de fuga de datos es uno de los más preocupantes. Por ejemplo, los empleados pueden compartir información sensible, como documentos legales, datos de recursos humanos, código fuente y estados financieros, con aplicaciones de IA públicas. Estas aplicaciones pueden exponer accidentalmente esta información, lo que puede llevar a brechas de datos, daños de reputación y preocupaciones de privacidad.
Los riesgos de cumplimiento son otro aspecto importante. Al alimentar datos de plataformas públicas, las organizaciones pierden el control sobre cómo se gestionan, almacenan y comparten dichos datos. Lo que puede provocar incumplimientos de regulaciones de la industria y de privacidad, llevando a multas y complicaciones legales. En Europa, con la inminente implementación de la EU AI Act y el RGPD, el cumplimiento de las normativas de privacidad y seguridad de datos es más crucial que nunca.
Vulnerabilidad y riesgos de supervisión
Otro riesgo es la vulnerabilidad a ciberataques. Las herramientas de IA de terceros pueden tener vulnerabilidades de seguridad in-built que los actores maliciosos pueden explotar para acceder a la red de la empresa. Estas herramientas a menudo carecen de los estándares de seguridad de los sistemas internos de la organización, lo que puede introducir nuevas vías de ataque. Por ejemplo, una empresa puede verse afectada por un hackeo a la plataforma de IA que usen sus empleados, debido a que los hackers pueden tener acceso a datos de la empresa usando la plataforma de IA como intermediario.
La falta de supervisión también es un problema importante. Sin una gobernanza adecuada, los modelos de IA pueden generar resultados sesgados, incompletos o erróneos. Algo que puede acarrear daños a la organización, ya que los empleados podrían producir resultados que contradigan los generados por los sistemas oficiales de la empresa, llevando a errores, ineficiencias y retrasos costosos.
ARQUEOLOGÍA DE INTERNET: UNA FUNCIÓN DEL PASADO CON MUCHO FUTURO
Riesgos del Shadow AI en innovación, I+D y aspectos legales
Más allá de todo lo dicho anteriormente, el Shadow AI no solo representa una amenaza para la ciberseguridad, también puede tener un impacto negativo en la innovación, el desarrollo e investigación (I+D) y los aspectos legales de las organizaciones.
En términos de innovación y I+D, el uso no autorizado de herramientas de IA puede llevar a la creación de productos o servicios subóptimos. Si los modelos de IA utilizados no son confiables o están mal entrenados, pueden generar ideas o soluciones que no son viables o que incluso pueden resultar perjudiciales. La falta de control sobre el origen y la calidad de los datos utilizados en estos modelos puede comprometer la integridad de los proyectos de I+D.
En el ámbito legal, el Shadow AI puede exponer a las organizaciones a una serie de riesgos. Por ejemplo, el uso de herramientas de IA no autorizadas puede llevar a la violación de derechos de autor, ya que estas herramientas pueden acceder a propiedad intelectual de otras empresas. También pueden generar resultados sesgados que violen las leyes antidiscriminación o producir resultados erróneos que se compartan con clientes. En todos estos casos, las organizaciones pueden enfrentar penalizaciones y resultar responsables de las violaciones y daños causados.
Personalidades como Etay Maor, CEO de Etay Maor Chief Security Strategist de Cyber Threats Research Lab (CTRL) en Cato Networks, advierte sobre los riesgos del Shadow AI:
El auge de las aplicaciones de inteligencia artificial en la sombra plantea un desafío único para las organizaciones. Si bien estas herramientas pueden permitir que los empleados sean innovadores y productivos, su uso puede generar importantes riesgos para la privacidad de los datos.

¿Cómo evitar los problemas derivados del Shadow AI?
Todo esto nos lleva a preguntarnos cómo evitar los problemas del Shadow AI. Pues bien, para mitigar los riesgos asociados con el Shadow AI, las empresas deben adoptar una estrategia multifacética que combine políticas robustas, formación de empleados y controles de seguridad.
AGENTES DE IA EN VIDEOJUEGOS BLOCKCHAIN Y EL FUTURO DE LA ECONOMÍA
Políticas de gobernanza de IA robustas
Establecer una política de IA comprensiva es fundamental. Esta política debe detallar qué herramientas de IA están aprobadas para su uso dentro de la organización, cómo los empleados pueden solicitar acceso a nuevas herramientas y qué prácticas son aceptables y cuáles no. Además, debe incluir directrices sobre privacidad de datos, seguridad y consideraciones éticas. Según una encuesta de ISACA, solo el 15% de las organizaciones tienen una política de IA formal, lo que subraya la importancia de implementar estas políticas.
Formación de empleados en el uso seguro y responsable de la IA
Es crucial que los empleados sean conscientes de los riesgos asociados por el uso de plataformas de IA no autorizadas. Los empleados deben entender que la entrada de datos sensibles, como información personal identificable (PII), detalles financieros, código fuente u otra información propietaria en estas plataformas puede resultar peligrosa.
Controles de acceso granulares y cumplimiento de políticas
Monitorear y rastrear el uso de aplicaciones de IA es esencial. Las empresas deben implementar controles de acceso granulares y bloquear el acceso a aplicaciones de IA innecesarias. Es importante asegurar que las políticas de seguridad se cumplan estrictamente en todos los dispositivos, plataformas y redes. Las herramientas de seguridad unificadas, como los sistemas SASE (Secure Access Service Edge), pueden proporcionar visibilidad en las aplicaciones y flujos de red, detectar el uso no autorizado de datos sensibles y prevenir el despliegue de aplicaciones de Shadow AI potencialmente riesgosas.
Auditorías de seguridad frecuentes
Las auditorías de seguridad proactivas pueden ayudar a identificar y abordar riesgos. Las empresas deben evaluar regularmente el uso de herramientas de IA dentro de la organización y asegurarse de que solo se implementen plataformas autorizadas, seguras, cumplidas y éticas. Las auditorías deben verificar que el acceso, almacenamiento y procesamiento de datos cumplan con los estándares de seguridad y cumplimiento necesarios. Además, deben asegurarse de que los modelos de IA funcionen correctamente, estén libres de sesgos y cumplan con las leyes de protección de datos.
Ciclo OODA para la gobernanza
Los equipos de seguridad pueden aprovechar el ciclo OODA (Observe, Orient, Decide and Act) del modelo mental de la Fuerza Aérea de los Estados Unidos para implementar una gobernanza de Shadow AI comprensiva. Observe implica obtener una visión de todo el Shadow AI en la organización, lo que requiere una plataforma que tenga visibilidad en todos los flujos de red. Orient permite saber quién es el usuario, su ubicación, su dispositivo y el tipo de aplicación al que está accediendo. Decide implica implementar una política para el Shadow AI. Por ejemplo, bloquear aplicaciones sombreadas independientemente del usuario, la ubicación o el dispositivo. Act implica la capacidad de aplicar un control granular sobre el Shadow AI.

Una gran herramienta que debe usarse con cuidado
Pese a los riesgos, el Shadow AI también puede ser un indicador de la creatividad y la innovación de los empleados. En una encuesta realizada por Salesforce, se descubrió que el 52% de los empleados informaron que su uso de IA generativa había aumentado respecto a cuando comenzaron a usarla. Este dato sugiere que, aunque el Shadow AI presenta desafíos, también puede ser una oportunidad para las empresas dispuestas a abordar dichos desafíos de manera proactiva y estratégica.
En resumen, el Shadow AI es una amenaza creciente para la ciberseguridad, la innovación y el cumplimiento legal. Sin embargo, con políticas robustas, formación adecuada, controles de seguridad y auditorías frecuentes, las empresas pueden minimizar los riesgos y aprovechar los beneficios de la IA generativa de manera segura y responsable.

