La inteligencia artificial (IA) se ha convertido en el centro de las inversiones empresariales, con un gasto global que este año superará los 500.000 millones de dólares. Sin embargo, casi el 90 % de las herramientas de IA analizadas han sido víctimas de brechas de datos, lo que evidencia la fragilidad en su gestión.
La reacción habitual ante estos riesgos suele ser binaria: o se habilita la IA sin restricciones o se desconecta completamente para evitar problemas. Sin embargo, este planteamiento simplista no sirve en un entorno tan complejo y dinámico como el actual.
Un ejemplo reciente lo ofreció el Parlamento Europeo, que decidió desactivar las funciones integradas de IA en los dispositivos de sus empleados por motivos de ciberseguridad. Esta medida, pensada y proporcionada, no supuso un apagado total, ya que se mantuvieron herramientas esenciales como el correo electrónico y el calendario, demostrando un equilibrio entre precaución y operatividad.
La cuestión es especialmente crítica con las herramientas de IA autónomas que pueden actuar sin supervisión directa, aumentando los riesgos de seguridad. Frente a este panorama, ¿cómo pueden las organizaciones beneficiarse del avance de la IA sin perder el control?
Por qué el sí o no es una elección equivocada
Ante la incertidumbre, muchas organizaciones optan por prohibir totalmente el uso de la IA o permitir su adopción sin controles rigurosos. Ninguna de estas opciones es sostenible a largo plazo.
Según un estudio de Illumio, el 55 % de los responsables de seguridad consideran las amenazas basadas en IA como un gran riesgo, aunque sólo un 19 % muestra preocupación por el uso no autorizado de modelos de lenguaje. Esto revela un peligro inminente derivado de la expansión descontrolada de herramientas de IA no supervisadas.
Los modelos tradicionales de seguridad no funcionan bien con la IA, ya que están diseñados para actores humanos capaces de juzgar y detectar anomalías, mientras que la IA sigue estrictamente las instrucciones recibidas, sin cuestionarlas ni interpretar el contexto, lo que puede ser peligroso si las órdenes son incorrectas o si el sistema es vulnerado.
De la prevención a la contención
Durante mucho tiempo, la seguridad informática se ha centrado en proteger el perímetro externo, con poca contención interna. Eso ya no es viable, especialmente con la velocidad y escala de la IA. La resiliencia requiere no sólo prevenir, sino también contener eficazmente las brechas.
Esto implica implementar controles internos estrictos que verifiquen continuamente cada intento de acceso o movimiento, independientemente de su origen, limitando el alcance de posibles incidentes, sean internos o externos.
La actuación del Parlamento Europeo ilustra cómo aplicar una contención equilibrada a gran escala: aislar el problema sin paralizar las operaciones esenciales, una estrategia madura para gestionar riesgos.
Cómo gestionar el riesgo de IA de manera avanzada
Superar la dicotomía implica adoptar una visión más estratégica y estructurada. Sólo el 23 % de las organizaciones cuentan con políticas de seguridad específicas para los riesgos derivados del uso de IA, un déficit que debe subsanarse.
Primero, es fundamental tener visibilidad total sobre qué hacen los sistemas de IA, con qué se conectan y qué datos manejan, mediante mapas actualizados y en tiempo real de las comunicaciones internas.
En segundo lugar, es necesario controlar y limitar la conectividad de la IA, restringiendo las interacciones a lo estrictamente necesario para minimizar riesgos y facilitar la supervisión.
Esto conduce a definir directrices granulares en lugar de decisiones absolutas: qué herramientas pueden acceder a qué datos, qué sistemas pueden comunicarse y bajo qué condiciones se permite esa interacción.
Finalmente, hay que diseñar mecanismos para contener cualquier actividad inesperada o maliciosa de los sistemas de IA, limitando el impacto potencial a zonas definidas dentro de la organización.
La relevancia para los líderes empresariales
La IA ya forma parte integral de muchas operaciones clave, impulsando la productividad y la toma de decisiones, por lo que desactivarla por completo no es viable. Sin embargo, dejarla funcionar sin límites claros puede acarrear graves consecuencias.
La falsa alternativa entre innovación y seguridad crea tensiones que frenan el desarrollo empresarial. Un enfoque maduro basado en controles flexibles y precisos permite incorporar la IA de forma segura, manteniendo la continuidad y capacidad de respuesta frente a incidentes.
En definitiva, no se trata de elegir entre encender o apagar la IA, sino de gestionar con precisión qué sucede en ese espacio intermedio.
