Con un 44 por ciento de las empresas de más de 250 empleados utilizando inteligencia artificial (IA) generativa, España se sitúa por encima de la media europea en términos de adopción, según Eurostat. Los profesionales la emplean para ahorrar tiempo en tareas cotidianas y para asistirles durante sus videoconferencias, más o menos confidenciales.
Ahora bien, el poder de la IA casi hace olvidar el uso que esta hace de los datos. Por ello, los CIO y CISO deben organizarse para hacer frente a los riesgos de fuga de información sensible y a las exigencias de cumplimiento normativo. ¿Cómo garantizar la eficacia de los empleados sin perder el control de la seguridad?
Nuevos y eficaces asistentes de reuniones en línea
Hoy en día, la IA generativa se utiliza de forma masiva para colaborar: traducción de intercambios, resúmenes automáticos o generación de actas de reuniones forman parte de los usos habituales. Y sus beneficios son numerosos. Durante una reunión, ya no es necesario que un empleado se dedique a tomar notas: la IA transcribe las discusiones e identifica los momentos clave y las decisiones tomadas durante el intercambio. De este modo, los equipos pueden tomar distancia sobre lo hablado y detectar rápidamente las acciones a emprender.
Estas funciones a veces están directamente integradas en las plataformas colaborativas. Sin embargo, con frecuencia, los empleados también recurren a herramientas de IA generativa de uso general.
Los principales riesgos de seguridad: ‘shadow AI’ y fugas de datos
Según el informe Cisco Cybersecurity Readiness Index 2025, más del 80 por ciento de las empresas españolas han sufrido incidentes de seguridad relacionados con la IA en el último año. Este repunte se explica por varios factores.
En primer lugar, la expansión de esta tecnología representa una oportunidad única para los ciberdelincuentes. Recientemente, se han multiplicado los ataques de extracción de datos mediante prompt injection o jailbreaking (manipulación de las instrucciones del modelo). Estos métodos suelen combinarse y suponen una amenaza real para la seguridad de la información.
El ataque reciente a Microsoft Copilot es un caso emblemático de exfiltración de datos mediante la manipulación del comportamiento de un asistente de IA, sin ninguna acción por parte del usuario. Una vulnerabilidad detectada permitió a atacantes inyectar instrucciones maliciosas en correos electrónicos, que la IA interpretaba como comandos legítimos. El resultado: Copilot podía extraer datos sensibles e incluirlos en un resumen automático sin que el usuario interviniera.
Este tipo de ataque demuestra que la IA ya no se limita a responder: actúa en entornos estratégicos. En consecuencia, esto obliga a repensar los mecanismos de seguridad no solo en torno a los datos, sino también en torno a los propios agentes inteligentes.
Por otro lado, para una gran mayoría de las empresas citadas en el informe de Cisco, las principales violaciones de seguridad también se deben a la falta de control sobre las aplicaciones de IA. En efecto, la shadow AI constituye otro riesgo que no debe pasarse por alto. Al igual que el shadow IT, que consiste en utilizar software y aplicaciones no aprobadas por el departamento de TI, la shadow AI consiste en utilizar inteligencias artificiales generativas gratuitas, no validadas internamente. Esta práctica genera importantes vulnerabilidades internas: los empleados tienden a copiar y pegar información sensible –a veces procedente de reuniones– para generar informes, presentaciones o traducciones.
Según un estudio de Gartner en 2024, el 73 por ciento de las empresas afirma que se utiliza IA generativa fuera de los procesos oficiales de TI, principalmente mediante herramientas como ChatGPT, Copilot o Gemini. Este fenómeno escapa en gran parte a la supervisión de los departamentos de TI y de seguridad, y expone los datos estratégicos a múltiples amenazas. Además, cuando estas herramientas son extraeuropeas, la organización tiene escasa visibilidad sobre la gestión de datos, la seguridad de los modelos y el cumplimiento de las normas europeas.
Riesgos de seguridad de la IA
Por tanto, ¿cómo afrontar los riesgos de seguridad de la IA?
- Evaluar los riesgos. El riesgo cero no existe en ciberseguridad, y las organizaciones –incluso las más críticas– desean poder utilizar IA en entornos controlados. Para ello, el análisis de riesgos vinculado al uso de asistentes de IA es fundamental. Consiste en cartografiar los flujos de información confidencial y anticipar escenarios de amenaza como los mencionados anteriormente (inyección de prompts, shadow AI, fugas por plugins de terceros…). En definitiva, esta preparación permitirá actualizar los planes de gestión de crisis e integrar posibles fallos vinculados a la IA.
- Sensibilizar y supervisar el uso de la IA. Establecer un marco de gobernanza claro permitirá controlar mejor los usos, a través de sesiones de sensibilización interna y la adopción de políticas de uso y referencias de seguridad. Es útil formar regularmente a los equipos sobre buenas prácticas para evitar desviaciones y fomentar una adopción responsable. Asimismo, resulta clave instaurar una gobernanza compartida entre CIO, CISO y unidades de negocio para equilibrar innovación y seguridad.
- Priorizar soluciones soberanas y conformes. Para limitar los riesgos sin perder en productividad, es fundamental utilizar herramientas colaborativas que integren módulos de IA diseñados para proteger los datos. A diferencia de las soluciones genéricas, algunas plataformas seguras –como Tixeo– garantizan que los contenidos compartidos, resumidos o transcritos no salgan del entorno de la organización ni se utilicen para entrenar modelos. Este enfoque permite mantener el control sobre los flujos de comunicación y reducir el riesgo de fuga o explotación maliciosa de la información, además de reforzar el cumplimiento de normativas europeas como el Reglamento General de Protección de Datos y la AI Act.
De hecho, la AI Act, aplicable en la Unión Europea, impone normas estrictas en materia de seguridad, transparencia y gestión del riesgo para el uso empresarial de la IA. Adoptar herramientas basadas en los principios de privacy by design y alojadas en entornos soberanos (on-premise, cloud privado o cloud europeo certificado) se convierte en una condición esencial para combinar eficacia y seguridad. El objetivo: permitir a los equipos colaborar con asistentes fiables, sin abrir brechas invisibles en el sistema de información.
Conclusión
En conclusión, el rápido auge de la IA generativa en los entornos colaborativos exige una respuesta ágil por parte de las organizaciones. Tal y como recomienda el Instituto Nacional de Ciberseguridad (Incibe), es imprescindible integrar la gestión de la IA en las políticas de ciberseguridad de la empresa, identificando los usos autorizados, los datos implicados y los riesgos asociados. Al dotarse de soluciones conformes y soberanas, las empresas pueden convertir la IA en un verdadero motor de rendimiento… sin poner en riesgo la seguridad.





