La inteligencia artificial dejó de ser una promesa futura para convertirse en una herramienta cotidiana dentro de las organizaciones. Sin embargo, junto con su adopción acelerada, emergen riesgos que muchas veces pasan desapercibidos. Uno de los más relevantes es el fenómeno conocido como shadow AI o inteligencia artificial oculta: el uso no controlado de herramientas de IA por parte de los colaboradores, fuera del radar de las áreas de tecnología, seguridad y compliance.
Ese fue uno de los ejes centrales de la conversación con Luciano Moreira da Cruz, Chief Transformation and Strategy Officer de Cloud Legion, durante su participación en Future Talks, el programa de streaming producido por ITSitio. Brasileño de origen pero radicado en Argentina desde hace más de dos décadas, el ejecutivo se define como “un poco argentino-brasileño”, con “el corazón dividido” después de 23 años en el país.
La inteligencia artificial oculta dentro de las empresas
Para Luciano Moreira da Cruz, uno de los principales desafíos en la adopción de la inteligencia artificial dentro de las empresas es el fenómeno del shadow AI, es decir, el uso de herramientas de IA por parte de los colaboradores sin conocimiento ni supervisión de las áreas de tecnología, seguridad, privacidad o compliance. “El gran problema de la inteligencia artificial oculta es que nuestros colaboradores están utilizando inteligencia artificial sin que las áreas responsables estén al tanto de que eso está sucediendo”, explicó en Future Talks.
Este uso no controlado suele responder a la necesidad de resolver tareas de manera rápida, pero puede derivar en riesgos significativos. Según detalló, los empleados pueden utilizar sus propias suscripciones o recurrir a herramientas encontradas en internet que aparentan ser soluciones legítimas. “Capaz que alguien busca una herramienta rápida y termina usando un motor que dice ser inteligencia artificial, pero en realidad está diseñado para robar información”, advirtió.
El peligro radica en que, desde la perspectiva del usuario, estas plataformas funcionan como una IA real. “Es un prompt frente al usuario, él cree que realmente es una inteligencia artificial y le están sustrayendo un montón de datos importantes”, señaló. Esto puede afectar tanto a información estratégica como a datos personales.
Moreira da Cruz puso especial énfasis en áreas sensibles como recursos humanos, donde el riesgo se amplifica. “Empiezan a utilizar plataformas de inteligencia artificial sin ningún tipo de control o homologación por parte de las áreas de seguridad”, explicó, y remarcó que muchas veces no se sabe si esas herramientas cuentan con certificaciones, cumplen normativas o respetan estándares de protección de datos personales.
Fuga de datos y riesgos invisibles
Moreira da Cruz ejemplificó el problema con una situación concreta: una asistente que sube el acta de una reunión estratégica a una herramienta de IA para generar un resumen. “¿Qué inteligencia artificial está usando? No lo sabemos. Puede ser una plataforma sin ningún tipo de certificación o, peor aún, algo diseñado para robar información”, alertó.
El mismo escenario se replica en áreas como recursos humanos, donde se manejan datos personales. Según explicó, muchas veces se utilizan plataformas sin saber si cumplen normas de privacidad, protección de datos o estándares de compliance. “Ese desconocimiento es lo que hace que el riesgo sea tan alto”, remarcó.
¿Sirven las soluciones corporativas como Copilot o Gemini?
Frente a este escenario, muchas empresas optan por soluciones corporativas como Microsoft Copilot o Gemini dentro de Google Workspace. Sin embargo, para Moreira da Cruz, estas herramientas no resuelven el problema por sí solas. “No es la bala de plata”, afirmó. Aunque cuentan con certificaciones y auditorías, “eso no garantiza que no haya fugas”.
El factor humano sigue siendo determinante. “El usuario es muy creativo cuando quiere romper cosas. Construir es difícil, romper es fácil”, sostuvo, citando incluso una frase de Edgar Allan Poe: “No existe ingenio humano que el ingenio humano no pueda romper”.
Aun así, destacó que la clave está en la configuración y el gobierno de la IA. “Vos podés limitar la base de conocimiento de un agente, definir que solo use documentación interna y que no salga a internet”, explicó. El desafío es que tanto usuarios como empresas todavía están aprendiendo.
Curva de aprendizaje y cambio cultural
Para el ejecutivo, el problema no es solo tecnológico, sino cultural. “Estamos en plena curva de aprendizaje, no solo de los usuarios, sino también de las empresas”, afirmó. En ese contexto, mencionó la norma ISO/IEC 42001, el primer estándar internacional para sistemas de gestión de inteligencia artificial.
“Recién en 2023 se lanzó este framework y hay muy pocas empresas que lo están evaluando”, señaló. La norma aborda principios como ética, privacidad y uso responsable de la IA. Para Moreira da Cruz, el foco debe estar en preparar a los profesionales de TI, seguridad y compliance, pero también en educar a los usuarios. “Hoy el usuario sigue siendo el eslabón más débil de la seguridad”, insistió.
Suplantación de identidad y manipulación de la verdad
Más allá del ámbito corporativo, Moreira da Cruz advirtió sobre riesgos más amplios asociados a la inteligencia artificial. Uno de ellos es la suplantación de identidad. “Con audios, imágenes o videos, se puede hacer pasar por otra persona”, explicó. Si bien hoy los casos todavía son limitados, considera que el potencial de daño es enorme.
Otro riesgo clave es la manipulación de la información. Cada vez más personas reemplazan los buscadores tradicionales por asistentes de IA para informarse sobre política, economía o actualidad. “Hoy hay ataques que consisten en inyectar información falsa para crear una nueva realidad”, alertó.
IA, geopolítica y manipulación a gran escala
Según explicó, no se trata solo de ciberdelincuentes aislados. “Hablo de estados con recursos para manipular información a gran escala”, afirmó. No es necesario hackear plataformas como OpenAI o Google: basta con inundar internet de contenido falso o sesgado. “La IA aprende de lo que recolecta. Si le das basura, te va a devolver basura”, resumió.
En ese sentido, sostuvo que “el que tiene más plata puede inyectar más información y manipular la verdad”, ya que la IA tiende a darle más peso a lo que aparece con mayor volumen.
Regulación, ética y el rol humano detrás de la IA
Frente a este escenario, Moreira da Cruz destacó la importancia de los marcos regulatorios y del uso ético de la tecnología, como los impulsados por la Unión Europea. Sin embargo, se mostró escéptico sobre su cumplimiento. “En Argentina existe la ley de protección de datos personales y ni el 30% de las empresas tiene registradas sus bases de datos”, señaló.
También puso el foco en las personas que trabajan detrás de la IA. “Ese es el boom del mañana”, afirmó. Entrenadores de modelos, ingenieros de prompts y especialistas en sesgos serán perfiles cada vez más demandados. “Son los que prueban cómo responde la IA y hasta dónde se la puede manipular”, explicó.
Entre el entusiasmo y la advertencia
A pesar de los riesgos, Moreira da Cruz se muestra entusiasmado con este mundo. “A mí me divierte”, confesó. Para él, la tecnología es solo un medio. “Los malos de la película siempre somos los seres humanos”, sostuvo. También destacó los usos positivos de la IA, especialmente en medicina, investigación y desarrollo de medicamentos.
Desde Cloud Legion, ya cuentan con casos concretos de implementación y certificaciones bajo la norma 42001. Sin embargo, reconoce que el uso actual de la IA sigue siendo incipiente.
Para el ejecutivo, el camino recién empieza. La inteligencia artificial evoluciona, el poder computacional crece y los incidentes ya se acumulan. “Es genial y preocupante al mismo tiempo”, concluyó, en referencia a una tecnología que promete cambiarlo todo, siempre y cuando sepamos cómo —y para qué— utilizarla.
Leer más
- Cloud Legion: su Chief Transformation & Strategy Officer recibe el premio Microsoft MVP en seguridad e IA
- Ciberataques a la industria manufacturera generan pérdidas millonarias y operaciones paralizadas
- Latinoamérica vuelve a liderar los ciberataques globales y Argentina se mantiene entre los países más golpeados
