El uso de IA en la sombra se ha convertido en una de las brechas de seguridad más peligrosas para las organizaciones, creando nuevas vulnerabilidades y dando oportunidades a los atacantes para explotar herramientas no aprobadas o inseguras.
Microsoft identificó que el 78% de los empleados ya estaba utilizando sus propias herramientas de IA (BYOAI – Bring Your Own AI) en el trabajo. Esta cifra supera la proyección de Forrester, que había estimado que el 60% de la fuerza laboral adoptaría herramientas de IA sin aprobación de TI en 2024, según el último reporte de Ciberamenazas 2025 de Sendmarc.
Esta tendencia es particularmente fuerte en las pequeñas y medianas empresas (pymes), donde alcanza el 80%. La razón principal es que la IA permite escalar tareas y automatizar procesos en equipos más pequeños, lo que impulsa su adopción sin supervisión.
“La adopción acelerada de IA sin control está ampliando la superficie de ataque en todas las industrias. Nuestro compromiso es ayudar a las organizaciones a recuperar visibilidad y control, fortaleciendo la identidad del correo electrónico y reduciendo los puntos ciegos que los atacantes explotan”, dice Guido Luciani, Regional Manager de Sendmarc para Latam.
Los peligros de TI e IA en la sombra:
Según datos de IBM, los ataques relacionados con el uso de IA en la sombra afectaron al 20% de las organizaciones, generando un costo promedio de US$ 670.000 por cada infracción. Estos incidentes expusieron información de identificación personal (PII) en el 65% de los casos y propiedad intelectual en el 40%.
Las herramientas utilizadas pueden variar desde ChatGPT hasta aplicaciones más específicas. En un caso reciente, un empleado de Disney instaló una herramienta de arte generativo no autorizada que contenía malware. Esto provocó una filtración masiva que expuso 44 millones de mensajes internos de Slack y otorgó a los atacantes acceso a credenciales almacenadas en una cuenta no segura de 1Password.
Asimismo, ingenieros de Samsung filtraron código fuente patentado al cargarlo en ChatGPT sin autorización, lo que llevó a la compañía a prohibir el uso de GenAI en sus dispositivos y redes internas. Ambos casos generaron preocupaciones globales sobre los riesgos asociados con los grandes modelos de lenguaje (LLMs) y el almacenamiento de datos enviados por los usuarios.
Los especialistas advierten que la combinación de TI y herramientas de IA no autorizadas presenta serios riesgos. A medida que estas aplicaciones se propagan más rápido de lo que las organizaciones pueden protegerlas, el potencial de disrupción solo crece.
Recomendaciones para mitigar el uso de IA no autorizada
Los expertos de Sendmarc señalan que mitigar los riesgos de la IA en la sombra requiere un enfoque integral. En la era de la GenAI, proteger la identidad del correo electrónico es más importante que nunca. Recomiendan combinar la concientización del usuario con medidas de autenticación sólidas, como DMARC, para evitar que correos falsos o maliciosos lleguen a las bandejas de entrada.
También es clave establecer políticas claras sobre el uso de software y herramientas no autorizadas, y ofrecer alternativas seguras y aprobadas para evitar que los empleados recurran a soluciones que los pongan en riesgo.
Finalmente, Sendmarc recuerda que la implementación de DMARC (Domain-based Message Authentication, Reporting, and Conformance) es una medida esencial para prevenir la suplantación de identidad, el spoofing, el phishing y el uso indebido del dominio por correo electrónico.
Sendmarc llega de la mano de SISTEC, lo que permite a las organizaciones peruanas acceder a soluciones automatizadas de gestión DMARC, que simplifican la autenticación del correo, eliminan los errores de configuración manual y garantizan una implementación completa en menos de 90 días. Mas información en https://partner.sendmarc.com/impersonation/x9i12ntp
