No es nada nuevo decir que la Inteligencia Artificial ha irrumpido en prácticamente todos los sectores con una velocidad impresionante. Desde asistentes virtuales usados en el día a día, hasta modelos incorporados en herramientas de productividad y análisis. Su capacidad potencial para optimizar procesos y presentar conocimiento ha fascinado a negocios y usuarios por igual. Sin embargo, quizá la pronta adopción y el entusiasmo puedan presentarnos nuevos escenarios con problemáticas capaces de impactar en aspectos de suma importancia.
De acuerdo al Artificial Intelligence Index Report 2025 de la Universidad de Stanford.
El uso de la IA en las empresas se está acelerando: el 78% de las organizaciones encuestadas informaron que utilizarían IA en 2024, en comparación con el 55% del año 2023.
Se podría trabajar sobre distintos aspectos críticos en los que la Inteligencia Artificial pueda tener un gran impacto: como la toma de decisiones, la educación, la optimización de procesos, la empleabilidad entre muchos otros. Sin embargo esta publicación se centrará en uno de los principales problemas que puede acarrear el creciente número de información sensible que compartimos con los modelos de IA generativa.
Riesgos de confidencialidad en el ecosistema de la IA generativa
Quizá hemos normalizado el hecho de compartir información importante con las plataformas de Inteligencia Artificial, centrando nuestro pensamiento en los beneficios de estas tecnologías aportan y posicionándolos por sobre los riesgos que acarrea. A veces sin comprender el alcance, permanencia o naturaleza de los datos en los modelos de Inteligencia Artificial utilizados. Podríamos mencionar varios ejemplos para visualizar diferentes posicionamientos, medidas cautelares y dimensionar el alcance del intercambio de información. Sin embargo, uno de los casos emblema podría ser el ocurrido con la empresa Samsung.
Era el año 2023, Samsung tomó una decisión crucial: prohibir a sus empleados el uso de ChatGPT. ¿La razón? Empleados habían ingresado información altamente confidencial, como código fuente y detalles de productos en desarrollo. Este incidente muestra con claridad la facilidad con la que la propiedad intelectual más valiosa de una empresa puede filtrarse de manera irrevocable hacia un modelo de terceros, fuera de su control.
El mecanismo de esta exposición de datos se encuentra en la naturaleza del aprendizaje de los grandes modelos de lenguaje (LLM). Estos modelos no solo procesan la información para dar una respuesta, sino que pueden utilizar las entradas de los usuarios para ampliar y refinar sus propios datos de entrenamiento En consecuencia, el código fuente propietario de Samsung no solo fue expuesto, sino que probablemente se convirtió en parte integral del conjunto de datos global de ChatGPT, potencialmente accesible para el aprendizaje futuro del modelo y, por ende, para el público general de forma abstracta.
Haciendo un análisis de herramientas ampliamente utilizadas, podemos darnos cuenta del patrón seguido al colocar la privacidad como una opción asociada a los planes premium o de pago. Por ejemplo en la siguiente tabla enumero las características de varios planes presentes al momento de hacer esta publicación:
| Plan | Los datos son usados para entrenamiento del modelo | Opciones de control de usuario o política aplicada |
|---|---|---|
| Open AI ChatGPT Gratis | Si | Exclusión voluntaria disponible. |
| Open AI Chat GPT Plan Enterprise | No | Aplica su compromiso de seguridad. |
| Copilot Chat (Gratuito) | No | Las opciones de control dependen de la configuración de la cuenta de Microsoft y de la privacidad de Windows. |
| Microsoft 365 Copilot | No | Copilot hereda la configuración existente de seguridad, cumplimiento y privacidad de Microsoft 365. |
| Gemini for Apps (Free y Pro) | Si | Por defecto Gemini usa las interacciones para entrenar a su modelo |
| Gemini for Google Workspace | No | Puede restringir el acceso a datos sensibles con controles de DLP integrados. |
| Claude Free y Claude Pro | No | Conversaciones de usuarios pueden entrenar el modelo pero únicamente si el usuario las envía para dar su opinión (feedback), si son marcadas por violar las políticas de uso, o si el usuario autoriza explícitamente su uso. |
Posibles impactos de compartir información clave
- Filtración de información confidencial
Aunque muchas IA no almacenan datos personales de forma permanente, los registros temporales pueden ser accesibles por parte de los desarrolladores del modelo o vulnerables a ataques. Si un modelo de IA es comprometido, los datos previamente compartidos podrían filtrarse. - Uso no autorizado de datos para entrenamiento
Algunas herramientas de IA utilizan las interacciones de los usuarios para mejorar su rendimiento. Sin una adecuada política de consentimiento, los datos sensibles podrían acabar siendo parte del conjunto de entrenamiento, lo cual plantea graves dudas éticas y legales. - Incumplimiento normativo
Para empresas sujetas a normativas como el GDPR en Europa o la LFPDPPP en México, introducir información personal en plataformas de IA sin garantías claras de privacidad puede derivar en multas y sanciones.
La preocupación por la privacidad de los datos en el ámbito de la Inteligencia Artificial se ve respaldada por recursos como la AI Incident Database (Base de Datos de Incidentes de IA). Esta base de datos documenta y analiza fallos y usos indebidos de sistemas de IA, ofreciendo una perspectiva crucial sobre los riesgos inherentes al compartir información sensible. Más allá del conocido caso de Samsung, donde la introducción de código fuente confidencial en ChatGPT ilustró la vulnerabilidad de la propiedad intelectual, existen otros incidentes igualmente preocupantes. Por ejemplo, el Incidente 1101 revela cómo la aplicación Meta AI permitió la publicación inadvertida de chats personales, exponiendo conversaciones privadas de usuarios que no eran conscientes de su naturaleza pública. Estos ejemplos subrayan la necesidad de una extrema cautela al interactuar con modelos de IA, comprendiendo a fondo sus políticas de privacidad y el destino final de los datos que les confiamos.
Shadow AI, un nuevo riesgo empresarial, ¿es la prohibición el mejor el camino?
La respuesta corporativa de Samsung ilustra el complejo dilema al que se enfrentan empresas. Inicialmente, la compañía prohibió por completo el uso de ChatGPT a sus empleados. Posteriormente, invirtió en el desarrollo de su propia IA interna, denominada “Gauss”. Finalmente, en un intento por equilibrar la necesidad de seguridad con las ganancias de productividad que estas herramientas ofrecen, Samsung decidió relajar la prohibición, pero implementando nuevos y estrictos protocolos de seguridad.
De acuerdo con el sitio de IBM, el concepto de Shadow AI o IA en la sombra, se refiere al uso no autorizado de cualquier herramienta de IA por parte de empleados o usuarios finales sin la aprobación o supervisión formal del departamento de tecnología. En la actualidad la Shadow AI se ha vuelto una problemática bastante común
Quizá una mejor opción a la prohibición completa del uso de estas herramientas para afrontar la problemática sea una regulación y concientización del uso de inteligencias artificiales en las organizaciones así como la posibilidad de brindar herramientas que otorguen buenos resultados a nivel productivo y a nivel seguridad.
Recomendaciones
Para directores y ejecutivos:
- Evaluar plataformas de IA con criterios de seguridad, privacidad y cumplimiento legal.
- Establecer una gobernanza de IA robusta, con políticas claras sobre el uso aceptable.
- Combatir el “Shadow AI” capacitando al personal.
- Adoptar una postura de “Confianza Cero” (Zero Trust) para la IA: No confiar inherentemente en los modelos de IA, ni siquiera en los internos.
Para el usuario general:
- Evitar compartir contraseñas, documentos confidenciales o identificadores personales.
- Leer las políticas de privacidad antes de usar herramientas de IA.
- Optar por plataformas que ofrecen modos privados o locales.
La confianza no debe ser ciega
El “costo oculto” de esta tecnología revolucionaria es la suma de los compromisos de privacidad, seguridad, propiedad intelectual y ética que los usuarios, tanto individuos como corporaciones, asumen, con frecuencia sin un consentimiento plenamente informado. La inteligencia artificial es una herramienta poderosa, pero como cualquier tecnología, su valor depende de cómo la utilicemos. En un mundo donde los datos son el activo más valioso, usarlos con responsabilidad y precaución es clave para evitar que el entusiasmo por la innovación se convierta en una brecha de seguridad.
Referencias
Standford HAI – Artificial Intelligence Index Report 2025 – Recuperado el 10 de julio de 2025
IBM – Shadow AI – Recuperado el 10 de julio de 2025
Bloomberg – Samsung Bans – Recuperado el 10 de julio de 2025
Open AI – Uso de datos – Recuperado el 10 de julio de 2025
Microsoft – Planes de Copilot – Recuperado el 10 de julio de 2025
Google Support Gemini – Centro de privacidad – Recuperado el 10 de julio de 2025
Gemini para Google Workspace – Seguridad y privacidad – Recuperado el 10 de julio de 2025
Base de datos de incidentes en IA – Recuperado el 10 de julio de 2025