No todos los riesgos de seguridad de los datos que involucran al navegador web provienen de adversarios externos. Una gran parte proviene de empleados o contratistas bien intencionados que cometen errores. La exposición accidental de datos ha aumentado enormemente, coincidiendo con la explosión de herramientas de inteligencia artificial generativa basadas en web, aplicaciones SaaS, aplicaciones web y almacenamiento en la nube.
Las medianas empresas son particularmente vulnerables, ya que normalmente carecen de las capacidades integrales de prevención de pérdida de datos (DLP) de las grandes empresas y, en cambio, operan principalmente basándose en la confianza y la capacitación. En los últimos 12 meses, El 52% de las organizaciones ha sufrido pérdida de datos confidenciales. debido a información privilegiada, ya sea intencional o accidental, y el 43% tuvo uno o más incidentes de pérdida de datos relacionados con el uso de IA generativa.
La pérdida de datos a través de herramientas de inteligencia artificial generativa es un nuevo vector para un problema importante existente: los empleados envían datos confidenciales a cuentas o aplicaciones inapropiadas a través de un navegador cuando no deberían hacerlo. Por supuesto, la IA generativa es sólo uno de los muchos canales posibles por los que los empleados podrían transmitir información confidencial sin saberlo. También hay aplicaciones web y SaaS no aprobadas. Otros pueden compartir documentos confidenciales en un correo electrónico personal o en una cuenta de almacenamiento en la nube.
La lista continúa, pero todos estos incidentes tienen algo en común: la mayoría de ellos ocurren a través de un navegador web, donde el trabajador del conocimiento promedio pasa ahora aproximadamente el 85% de su tiempo. “Actualmente se están produciendo muchas TI en la sombra, ya sea IA generativa o cualquier otra herramienta”, afirmó Monique Lance, gerente senior de marketing de productos de Palo Alto Networks. «En una organización típica del mercado medio, alrededor del 85% al 90% de las nuevas aplicaciones que se utilizan no están aprobadas formalmente por TI, por lo que no se pueden proteger adecuadamente. No tienes esa visibilidad o controles de última milla, por lo que no sabes qué están compartiendo pantalla o qué están copiando y pegando en otras aplicaciones, y así sucesivamente».
En muchas organizaciones, los empleados utilizan periódicamente sus propias plataformas en la nube y aplicaciones web. Esto no se debe necesariamente a que quieran eludir explícitamente los controles de TI, sino a que están acostumbrados a ellos y a menudo perciben que estas aplicaciones son más fáciles de usar. A menudo lo son. Es un ejemplo perfecto de dónde la experiencia del usuario y la seguridad de los datos comienzan a competir entre sí: implemente controles de seguridad extremadamente rígidos, como incluir en la lista blanca solo un puñado de aplicaciones y sitios web aprobados, y los empleados pueden verse tentados a encontrar soluciones alternativas riesgosas para poder trabajar de manera eficiente.
La IA generativa, donde casi todo el uso de aplicaciones genAI se realiza a través de un navegador web, es ahora uno de los principales puntos de falla. A pesar de las posibles ganancias de productividad, casi el 72 % de las interacciones generativas de IA ocurren en cuentas no corporativas.1 Por ejemplo, los empleados copian y pegan información de forma rutinaria en conversaciones con herramientas genAI, y esa información puede incluir datos corporativos confidenciales que potencialmente podrían resurgir si se usan en la capacitación de modelos o durante una fuga de datos si la plataforma se ve comprometida.
El problema es que una vez que los datos confidenciales se derraman en un servidor externo, ya sea uno que pertenezca a un proveedor de genAI, SaaS o de aplicaciones web, terminan fuera de los controles y políticas de seguridad internos, dejando esos datos confidenciales fuera de su control y exponiéndolos.
No ayuda que muchas organizaciones también tengan una protección separada y no unificada, especialmente para la prevención de pérdida de datos. Como dijo Lance: «Existe DLP para correo electrónico, DLP para endpoints, DLP para datos en reposo y DLP para datos en movimiento. Pero aquí, en el navegador, obtienes todo el DLP que necesitas para una protección completa en la última milla».
Otro vector de riesgo son los dispositivos no administrados, donde un empleado o contratista externo podría descargar un documento confidencial a través de su propio navegador en un dispositivo personal o dispositivo de almacenamiento local. Es posible que este dispositivo no esté protegido adecuadamente y que los atacantes lo comprometan, lo que significa que las amenazas que residen en el dispositivo pueden obtener acceso a esos datos confidenciales.
Para abordar estos riesgos internos de manera efectiva, los equipos del mercado medio recurren a navegadores seguros capaces de brindar una visibilidad profunda y aplicar controles granulares del usuario durante las sesiones de navegación del usuario, con el objetivo de evitar filtraciones intencionales o no intencionales sin agregar fricción a la experiencia del usuario. Por ejemplo, el DLP empresarial nativo del navegador impulsado por IA inspecciona el contenido en busca de datos confidenciales a medida que se ingresan en la aplicación y bloquea la actividad potencialmente problemática en tiempo real, sin importar el sitio web o la aplicación web. De esa manera, todo lo que sucede en el navegador se registra, monitorea y se hace visible para los equipos de seguridad en lugar de tener que consolidar datos de registro de una multitud de sistemas puntuales.
1Informe de seguridad de datos SaaS y IA empresarial de LAYERX 2025. Informe de seguridad de datos SaaS y IA empresarial 2025. https://go.layerxsecurity.com/the-layerx-enterprise-ai-saas-data-security-report-2025
Fuente