Los robots invisibles de tu oficina
En marzo de 2023, ingenieros de Samsung copiaron códigoconfidencial en ChatGPT. El chatbot respondió en segundos y, con eso, ocurrió la fuga: la empresa prohibió enseguida el uso de IAs públicas. Así nació un término que ya se ha vuelto común: Shadow AI, el uso de inteligencia artificial "sin permiso" del área de tecnología.
Para los ojos de los trabajadores de las empresas la IA ahorra tiempo y los hace más productivos. Además, en lugar de esperar los despliegues oficiales, pueden generar soluciones a sus problemas digitales en cuestión de minutos, pero todo esto implica varios riesgos:
Lo primero tiene que ver con la seguridad y privacidad. Un prompt puede contener código fuente o datos de clientes que luego acaben almacenados quién sabe dónde. Lo peor es que muchos de esos prompts salen desde cuentas personales, fuera de los registros de la empresa.
El punto anterior conlleva directamente riesgos de cumplimiento y legales. Por ejemplo, un profesional de la salud que sube datos de pacientes viola las leyes de Protección de Datos Personales.
Además, la utilización de modelos abiertos en materias propias de una empresa puede generar conclusiones incorrectas, principalmente por la falta de contexto que el modelo tendrá. Los riesgos del Shadow AI son variados y complejos.
La buena noticia es que lo anterior ya ha impulsado el desarrollo de guías para que las organizaciones adviertan estas conductas y sus riesgos, y tomen medidas preventivas. El Marco de Riesgos de IA del NIST y la norma ISO/IEC 42001 pautan inventarios, métricas y controles durante todo el ciclo de vida del modelo. Sobre ellos, las empresas más avanzadas en esta materia aplican cuatro palancas:
Políticas claras que indiquen qué datos y qué modelos están autorizados.
Capacitación continua con casos reales de fuga para concienciar.
Alternativas seguras: versiones empresariales de ChatGPT o modelos internos fáciles de usar.
Vigilancia técnica: paneles que alerten de prompts sensibles en tiempo real.
Por lo tanto, más que prohibir, se trata de alumbrar. La Shadow AI es un espejo: muestra lo que la gente necesita para ser productiva. Si la organización ofrece rutas seguras y escucha a sus usuarios, convertirá un riesgo difuso en ventaja competitiva.
En conclusión, las compañías que vean la IA clandestina solo como amenaza, gastarán su energía en guerras invisibles. Las que la integren con gobernanza equilibrada protegerán sus datos y liberarán la creatividad de su plantilla. ¿Seguirás a oscuras o encenderás la luz?
Gonzalo Riederer.
Socio de Auditoría PwC Chile
