La adopción de la IA generativa se da en las organizaciones con demasiada urgencia, impulsada por la presión competitiva, así como el potencial de automatización y de mejoras operativas. La impredecibilidad inherente de la IA generativa, como indican los investigadores de amenazas de Proofpoint, se amplifica con esta velocidad de adopción empresarial, mientras que la gobernanza de la seguridad, los controles y los marcos de políticas se quedan muy atrás.

“El comportamiento de la IA generativa depende de los datos y el contexto: dos instrucciones similares pueden dar resultados muy diferentes; las respuestas están moldeadas según se ha entrenado el modelo, con sus sesgos y lagunas; así como pueden reflejar y amplificar el comportamiento humano, sea bueno o malo, por lo que los defensores necesitan ajustarse en consecuencia”, explican desde Proofpoint.

Según una encuesta de McKinsey, en 2025 el 88% de las organizaciones emplea IA en al menos una función empresarial. Sin embargo, solo el 24% posee marcos sólidos de gobernanza en cuanto a riesgos de IA, de acuerdo con una investigación de IBM. Esa brecha significa que la mayoría de las empresas podría estar exponiéndose a riesgos, desde compartir datos sensibles a través de instrucciones y resultados, acceder a modelos y datos de entrenamiento corruptos, sufrir ataques de ingeniería social automatizada a escala o deepfakes, u obtener resultados incorrectos debido a alucinaciones de la IA, entre otros.

Cuando las empresas dependen en gran medida de la IA generativa para decisiones críticas, pueden surgir dependencias peligrosas. A pesar de la magnitud de estos desafíos, existen capas de seguridad que pueden implementarse desde el inicio para controlar los posibles riesgos, como indica Proofpoint a continuación:

·       Implementar controles de lo que puede entrar en las herramientas de IA generativa. Código fuente con información confidencial, datos de clientes, documentos de estrategia interna y datos personales regulados deben estar entre las categorías prohibidas. Las soluciones de prevención de pérdida de datos o similares sirven asimismo para reducir el riesgo de exposición accidental o maliciosa, al igual que plataformas de IA empresariales con anonimización de prompts, eliminación de metadatos y transparencia en retención o registro de datos.

·       Monitorizar el uso de la IA a través de correo electrónico, nube y plataformas de colaboración. Esta nueva superficie de comportamiento del usuario debe ser visible para los equipos de seguridad, incluyendo datos de herramientas, envíos de prompts, registros de salida y actividad de plugins. Los expertos tienen que permanecer atentos a patrones anómalos, expandir la supervisión de riesgos internos y el uso de la nube para incluir la actividad impulsada por IA.

·       Validar tanto las entradas a los modelos de IA como sus salidas. Esto implica sanear archivos entrantes para eliminar posibles instrucciones incrustadas, macros o prompts ocultos. También validar la salida con herramientas independientes o revisión humana, especialmente si influyen en decisiones sensibles, cumplimiento o configuraciones.

·       Aplicar el principio de mínimo privilegio y controles de acceso a las integraciones de IA. Las herramientas de IA generativa se integran a menudo con otros sistemas internos, como almacenes de datos, APIs y plataformas en la nube. Para reducir el daño potencial, se recomienda realizar un control de acceso basado en roles limitado, auditar regularmente los permisos y revisar a qué sistemas acceden las herramientas de IA que sean estrictamente necesarios.

·       Establecer gobernanza en torno a las implementaciones de IA. La seguridad sostenible se basa en políticas sólidas, procesos claros y supervisión continua, ya sea con una herramienta, un servicio o un plugin. Este enfoque convierte la IA en un recurso manejable, permitiendo la innovación a la vez que se mantiene el control.

·       Capacitar a las personas sobre el uso seguro de la IA. El elemento humano sigue siendo la parte más importante de la defensa. Para crear una primera línea de protección efectiva, debe darse a los empleados una guía clara sobre lo que pueden y no pueden hacer con las herramientas de IA generativa. También incluir el uso de esta tecnología en la formación existente sobre seguridad y cumplimiento, a fin de promover una cultura en la que se verifique primero para confiar después.

Con un enfoque centrado en las personas y en los agentes, que detecte el uso en la sombra y amenazas, fortalezca la seguridad de los datos, vigile las integraciones para prevenir un uso indebido y compruebe contenidos en busca de actividad maliciosa, Proofpoint defiende que “aunque la IA sea arriesgada, también puede ser segura”.