La Paradoja de la IA en la Empresa

Nestor Contreras

4 min read
La Paradoja de la IA en la Empresa
Photo by Emiliano Vittoriosi / Unsplash

Hola, desde el equipo de Meerida Ciberseguridad hoy quisiera abordar un tema interesante que está generando más humo que soluciones reales en el panorama empresarial: la gestión de la Inteligencia Artificial (IA).

Para el 2025 se espera un uso de IA cinco veces mayor que el año anterior. Una cifra que debería entusiasmarnos, pero que, paradójicamente, está sembrando el pánico en muchas organizaciones.

Fuente: https://blog.box.com/boxs-state-ai-enterprise-report

El problema fundamental, como bien se señala, es que para muchos directivos, IA es sinónimo de ChatGPT. Esta simplificación está llevando a reacciones viscerales y, francamente, contraproducentes: bloquear el acceso a nivel de red interna. Desde nuestro criterio como expertos en ciberseguridad, debo ser categórico: bloquear la IA es una mala idea y, lo que es peor, no funciona.

El Efecto Bumerán: Firewalls y la "Shadow AI"

Intentar ponerle puertas al campo digital mediante firewalls para frenar la IA no solo es ineficaz, sino que aumenta los problemas de seguridad informática. ¿Por qué? Porque fomenta el fenómeno de la "Shadow AI" o "inteligencia artificial a escondidas". Si tus empleados necesitan o quieren usar estas herramientas para ser más productivos (y créeme, ya lo están haciendo), encontrarán la manera. Bloquear el acceso oficial solo los empuja a usar alternativas que pueden ser mucho menos seguras, convirtiéndose en una autopista para la fuga de datos.

El informe "State of AI in the Enterprise" de Box lo deja claro: la mayoría de los empresarios ven la IA como un motor de transformación o una ventaja competitiva crucial. Sin embargo, la realidad es que la mayoría de las empresas están en pañales, usando la IA de forma superficial para tareas básicas como redactar correos o resumir textos, mientras temen escenarios apocalípticos de filtraciones.

La Solución Inteligente: Inversión y Estrategia, no Prohibición

La forma efectiva de evitar la filtración de datos no es el bloqueo, sino la inversión en versiones de pago de estas herramientas. Modelos como ChatGPT Plus, Pro, Enterprise, o las soluciones de Anthropic, vienen con contratos que especifican que los datos del usuario NO se utilizarán para entrenamiento y garantizan su confidencialidad. El costo de estas herramientas es, a menudo, irrisorio comparado con otros gastos operativos (¿cuánto cuestan las sillas ergonómicas de tu oficina?) y, sobre todo, comparado con el coste de una brecha de seguridad.

Además, no olvidemos la potencia. Las versiones de pago son significativamente superiores. Hablamos de saltos exponenciales en capacidad, comparar un GPT4O gratuito con 41 puntos de "inteligencia" frente a un Open AI 4 mini high con 70 puntos no es solo el doble de bueno; el retorno de la inversión es mucho mayor porque la inteligencia no escala linealmente.

Desmitificando la Fuga de Datos en LLMs

Existe una concepción errónea sobre cómo se producen las "fugas" en los Grandes Modelos de Lenguaje (LLMs). No es que alguien copie y pegue datos confidenciales en un prompt y estos se integren mágicamente al modelo para que cualquiera los consulte. Entrenar un LLM es un proceso extremadamente costoso (entre 30 y 50 mil millones de dólares, pudiendo escalar a 500 millones) y largo (meses). Estos modelos no almacenan datos exactos, sino referencias estadísticas a su estructura.

Es curioso cómo herramientas como Microsoft Teams u Outlook, que también gestionan y retienen datos sensibles, no generan la misma alarma. Esta preocupación desmedida hacia la IA parece, en parte, alimentada por un empoderamiento reciente de los responsables de seguridad, a menudo en respuesta a incidentes de ransomware, que ha derivado en una cultura de prohibición que merma la competitividad.

La IA es una Habilidad, no una App

Usar Microsoft Copilot no es tener una estrategia de IA; es simplemente usar una herramienta. La IA es una habilidad que debe permear toda la organización. Como bien indica el informe de Box, la mayoría de las empresas están optando por elevar el nivel de su fuerza laboral actual mediante la educación. Todos los que usan una computadora deben aprender sobre IA. Habilidades como el Prompt Engineering y la comprensión de las políticas de datos son cruciales. Una política de datos simple, que defina qué información puede moverse y hacia dónde, es un primer paso esencial.

El Verdadero Riesgo de Seguridad y Cómo Mitigarlo

Sí, existe un problema de seguridad real con la IA, pero no es la filtración de datos en el sentido tradicional que muchos temen. El verdadero talón de Aquiles es el cifrado en tránsito. Los datos en los prompts viajan, por defecto, en texto plano hacia los servidores del proveedor del modelo, siendo legibles para ellos.

¿La solución?

  1. Para la mayoría de los casos: La protección es legal y contractual al usar los planes de pago que mencionamos. Estos contratos establecen las garantías de privacidad.
  2. Para necesidades de alto secreto: Existen soluciones on-premise (que corren en tus propios servidores) como Mistral Large Enterprise o versiones "destiladas" de otros modelos. Requieren inversión, sí, pero ofrecen un control granular.

En lugar de bloquear, lo que se necesita es implementar estrategias de seguridad informática robustas y certificaciones como la ISO 27001, que aborden el uso de la IA de forma integral.

En conclusión bloquear la inteligencia artificial es un error estratégico que solo conduce a la obsolescencia y la incompetencia. Las empresas deben abrazar la IA, educar a su personal, invertir en las herramientas adecuadas y desarrollar políticas claras. Es hora de dejar atrás el miedo infundado y abordar la IA con inteligencia y previsión. La seguridad y la innovación pueden y deben ir de la mano.

Read more