Durante años, los líderes de seguridad han tratado la inteligencia artificial como una tecnología «emergente», algo para vigilar pero aún no es crítico. Un nuevo Informe de seguridad de datos de IA y SaaS de Enterprise Por la compañía de seguridad de AI y el navegador Layerx demuestra cuán anticuado se ha vuelto esa mentalidad. Lejos de una preocupación futura, la IA ya es el canal no controlado más grande para la exfiltración de datos corporativos: Bigger que Shadow SaaS o el intercambio de archivos no administrado.
Los hallazgos, extraídos de la telemetría de navegación de la empresa del mundo real, revelan una verdad contradictoria: el problema con la IA en las empresas no son las incógnitas de mañana, son los flujos de trabajo diarios de hoy. Los datos confidenciales ya fluyen a ChatGPT, Claude y Copilot a tasas asombrosas, principalmente a través de cuentas no administradas y canales invisibles de copia/pegar. Las herramientas tradicionales de DLP, construidas para entornos sancionados y basados en archivos, ni siquiera se ven en la dirección correcta.
De «emergente» a esencial en tiempo récord
En solo dos años, las herramientas de inteligencia artificial han alcanzado los niveles de adopción que tomaron décadas para lograr las reuniones de correo electrónico y en línea para lograrlo. Casi uno de cada dos empleados empresariales (45%) ya usa herramientas de IA generativas, con ChatGPT solo alcanzando la penetración del 43%. En comparación con otras herramientas SaaS, la IA representa el 11% de toda actividad de la aplicación empresarial, rivalizando con aplicaciones de productividad de la oficina y productividad de la oficina.
El giro? Este crecimiento explosivo no ha sido acompañado por la gobernanza. En cambio, la gran mayoría de las sesiones de IA ocurren fuera del control empresarial. El 67% del uso de IA ocurre a través de cuentas personales no administradas, dejando a CISOS ciegos a quién está usando qué y qué datos fluyen dónde.
Los datos confidenciales están en todas partes, y se mueve de la manera incorrecta
Quizás el hallazgo más sorprendente y alarmante es cuántos datos sensibles ya fluyen a las plataformas de IA: el 40% de los archivos cargados en las herramientas Genai contienen datos PII o PCI, y los empleados están utilizando cuentas personales para casi cuatro de cada diez de esas cargas.
Aún más revelador: los archivos son solo una parte del problema. El canal de fuga real es copiar/pegar. El 77% de los empleados pegan datos en herramientas Genai, y el 82% de esa actividad proviene de cuentas no administradas. En promedio, los empleados realizan 14 pastas por día a través de cuentas personales, con al menos tres que contienen datos confidenciales.
Eso hace que copie/pegue en Genai el vector #1 para datos corporativos que dejan el control empresarial. No es solo un punto ciego técnico; Es cultural. Los programas de seguridad diseñados para escanear archivos adjuntos y bloquear las cargas no autorizadas se pierden por completo la amenaza de más rápido crecimiento.
El Mirage de Identidad: Corporativo ≠ Seguro
Los líderes de seguridad a menudo asumen que las cuentas «corporativas» equivalen para asegurar el acceso. Los datos demuestran lo contrario. Incluso cuando los empleados usan credenciales corporativas para plataformas de alto riesgo como CRM y ERP, pasan por alto abrumadoramente SSO: el 71% de CRM y el 83% de los inicios de sesión ERP no son federados.
Eso hace que un inicio de sesión corporativo sea funcionalmente indistinguible de uno personal. Ya sea que un empleado firme en Salesforce con una dirección de Gmail o con una cuenta corporativa basada en contraseña, el resultado es el mismo: sin federación, sin visibilidad, sin control.
El punto ciego de mensajería instantánea
Si bien la IA es el canal de fuga de datos de más rápido crecimiento, la mensajería instantánea es la más tranquila. El 87% del uso de chat empresarial ocurre a través de cuentas no administradas, y el 62% de los usuarios pegan PII/PCI en ellas. La convergencia de Shadow Ai y Shadow Chat crea un punto ciego dual donde los datos confidenciales se filtran constantemente en entornos no supervisados.
Juntos, estos hallazgos pintan una imagen marcada: los equipos de seguridad se centran en los campos de batalla equivocados. La guerra para la seguridad de los datos no está en servidores de archivos o SaaS sancionados. Es en el navegador, donde los empleados combinan cuentas personales y corporativas, cambian entre herramientas sancionadas y sombras, y mueven datos confidenciales con fluidez en ambos.
Repensar la seguridad empresarial para la era de la IA
Las recomendaciones del informe son claras y poco convencionales:
- Trate la seguridad de la IA como una categoría de empresa central, no una emergente. Las estrategias de gobernanza deben poner la IA a la par con el correo electrónico y el intercambio de archivos, con monitoreo de cargas, indicaciones y copiar/pegar flujos.
- Cambiar de DLP centrado en el archivo a la acción centrado en la acción. Los datos dejan la empresa no solo a través de las cargas de archivos, sino también a través de métodos sin archivos, como copiar/pegar, chat e inyección. Las políticas deben reflejar esa realidad.
- Restringir cuentas no administradas y hacer cumplir la federación en todas partes. Las cuentas personales y los inicios de sesión no federados son funcionalmente las mismas: invisibles. Restringir su uso, ya sea completamente bloqueándolos o aplicar las rigurosas políticas de control de datos con el contexto, es la única forma de restaurar la visibilidad.
- Priorizar categorías de alto riesgo: AI, chat y almacenamiento de archivos. No todas las aplicaciones SaaS son iguales. Estas categorías exigen los controles más ajustados porque son de alta adopción y alta sensibilidad.
El resultado final para cisos
La sorprendente verdad revelada por los datos es esta: la IA no es solo una revolución de la productividad, es un colapso de gobernanza. Las herramientas que más aman a los empleados también son los menos controlados, y la brecha entre la adopción y la supervisión se está ampliando todos los días.
Para los líderes de seguridad, las implicaciones son urgentes. Esperar para tratar la IA como «emergente» ya no es una opción. Ya está integrado en flujos de trabajo, ya lleva datos confidenciales, y ya sirve como vector líder para la pérdida de datos corporativos.
El perímetro empresarial ha cambiado nuevamente, esta vez al navegador. Si los CISO no se adaptan, la IA no simplemente dará forma al futuro del trabajo, dictará el futuro de las violaciones de datos.
El nuevo informe de investigación de Layerx Proporciona el alcance completo de estos hallazgos, ofreciendo a CISO y equipos de seguridad visibilidad sin precedentes sobre cómo se está utilizando AI y SaaS dentro de la empresa. Basándose en la telemetría del navegador del mundo real, el informe detalla donde los datos confidenciales se filtran, qué puntos ciegos conllevan el mayor riesgo, y qué pasos prácticos pueden tomar los líderes para asegurar los flujos de trabajo impulsados por la IA. Para las organizaciones que buscan comprender su verdadera exposición y cómo protegerse, el informe ofrece la claridad y la orientación necesarias para actuar con confianza.