Sergio Herce, experto en IA y ciberseguridad, alerta a las pymes: "Los empleados que usan IA pueden abrir una brecha de seguridad en la empresa"

• Cómo la gente abusa de los chatbots de compañías para usar IA gratis y estafarlas
• Freepik, la bala española en la IA, cambia de nombre (y de rumbo) para el giro que viene
• Así puedes informarte del juicio mascarillas o las últimas novedades sobre el alquiler en Google: agrega a El Confidencial como tus medios preferidos

Sergio Herce, experto en IA y ciberseguridad de SDi, advierte de un riesgo creciente, pero a menudo poco tenido en cuenta, para las pymes: el uso cotidiano de herramientas de inteligencia artificial por parte de empleados puede exponer documentos internos, datos de clientes e información estratégica sin control corporativo.

La alerta llega en un momento de fuerte avance tecnológico, después de que el modelo Mythos Preview, desarrollado por Anthropic, haya reabierto el debate sobre la capacidad de la IA para localizar vulnerabilidades de software en apenas unos minutos. Sin embargo, para muchas pequeñas y medianas empresas, el peligro más inmediato no siempre procede de un ataque externo sofisticado, sino de prácticas internas mal gestionadas.

Herce señala que el problema aparece cuando un trabajador utiliza servicios de IA con una cuenta personal y carga archivos de la compañía para resumirlos, analizarlos o mejorar una tarea. “Los empleados que usan inteligencia artificial pueden abrir una brecha de seguridad en la empresa”, advierte el especialista.

El riesgo del uso sin control

Ese comportamiento encaja con el fenómeno conocido como shadow IT, es decir, el uso de tecnologías fuera del perímetro de supervisión de la empresa. En el caso de la IA, el impacto puede ser especialmente delicado porque permite procesar información sensible con rapidez y sin que la organización sepa dónde termina ese contenido.

“Se pierde completamente la gobernanza del dato”, explica Sergio Herce a este medio. El riesgo no se limita a documentos aislados: pueden quedar expuestos informes financieros, bases de datos de clientes, planes comerciales o información estratégica. Además, el experto recuerda que la inteligencia artificial también ha elevado la calidad de las campañas de ingeniería social, con correos mejor redactados, suplantaciones de voz y ataques más automatizados.

Otro error habitual en las pymes es compartir una misma cuenta de herramientas de IA entre varios empleados. Esta práctica permite que distintas personas accedan al historial completo de conversaciones y, por tanto, a datos que quizá no deberían ver. “Solo con mirar el menú puedes ver datos financieros o estratégicos de otro compañero”, avisa Herce.

Formación y copias de seguridad

La conexión de sistemas de IA a bases de datos, programas de gestión o ERP sin controles adecuados añade otra capa de riesgo. Sin una política clara de permisos, un usuario podría consultar datos salariales, expedientes de clientes o información confidencial ajena a sus funciones. Por eso, Herce insiste en aplicar el principio de mínimo privilegio: cada trabajador debe acceder solo a lo imprescindible para desempeñar su labor.

TE PUEDE INTERESAR

Por qué Anthropic, gran rival del OpenAI (y Trump), ha desatado el miedo con su última IA

M. MC.

La defensa, según el especialista, no exige empezar por una arquitectura compleja. Las pymes deben priorizar actualizaciones, protección de identidades, auditorías, copias de seguridad verificadas y formación práctica para sus equipos. “No se puede usar la IA sin gobierno”, resume Herce, antes de subrayar otra idea clave: “Si tuviera que resumir la seguridad en dos cosas, serían formación y copias de seguridad”.