La tecnología de IA pasó de ser un juguete experimental a un elemento básico en el lugar de trabajo en menos de tres años. Eso ya lo sabíamos. Lo que nadie esperaba era la rapidez con la que superaría a las categorías tradicionales de SaaS, no solo en adopción, sino también en riesgo.
Nuestro nuevo Informe sobre seguridad de datos de IA empresarial y SaaS 2025, basado en la telemetría de navegación real de los clientes empresariales de LayerX, muestra algo sorprendente: la IA ya no es una tecnología emergente. Ahora es el mayor punto ciego para la exfiltración de datos en la empresa moderna.
Y a diferencia del correo electrónico o el intercambio de archivos, donde los equipos de seguridad han desarrollado años de gobernanza, la mayor parte del uso de IA ocurre en la sombra; fuera del SSO, fuera de la visibilidad y fuera del control empresarial.
Adopción de IA a una velocidad vertiginosa
Empecemos con el titular: El 45 % de los empleados empresariales ya utilizan herramientas de IA generativa. Esto representa casi la mitad de la fuerza laboral, en menos de tres años desde su aparición. En comparación, categorías de SaaS como el intercambio de archivos o las videoconferencias tardaron más de una década en alcanzar una penetración similar.
Aún más sorprendente: el 92 % del uso total de IA empresarial se concentra en una sola herramienta: ChatGPT. Esto la convierte no solo en la categoría de mayor crecimiento, sino también en la más concentrada. Una única plataforma orientada al consumidor se ha convertido en el estándar de facto para la IA empresarial.
Por sí sola, la adopción a esta escala no es una sorpresa. La sorpresa surge cuando se observa cómo Los empleados lo están utilizando.
La sorprendente ruta de los datos: copiar y pegar, no subir
La mayoría de los CISO se preocupan por la carga de archivos. Y con razón: El 40% de los archivos cargados en las herramientas GenAI contienen datos PII o PCI confidenciales. Eso es casi la mitad de todas las cargas.
Pero el verdadero impacto está en otra parte. Nuestros datos muestran que la mayoría de los datos confidenciales no salen de la empresa mediante cargas. Salen a través de... copiar / pegar.
- El 77% de los empleados pegan datos en las indicaciones de GenAI
- El 82% de esas pastas provienen de cuentas personales
- En promedio, los empleados pegan 14 datos por día en cuentas no corporativas y al menos 3 de esas actividades contienen datos confidenciales.
Esto convierte al humilde portapapeles, un canal sin archivos y desestructurado a menudo ignorado, en el principal vector de exfiltración de datos confidenciales. Las herramientas GenAI por sí solas representan el 32 % de todas las transferencias de datos corporativos a personales.
Las herramientas DLP tradicionales, diseñadas para la monitorización centrada en archivos, ni siquiera registran esta actividad. Esto significa que las empresas no solo están retrasadas en la gobernanza de la IA, sino que están ciegas.
Las cuentas personales son las que mandan
Las empresas han invertido millones en seguridad de identidad, federación y SSO. Sin embargo, según nuestros datos, estos controles apenas alcanzan la categoría de IA.
- El 67% del uso de IA se realiza a través de cuentas personales no administradas
- El 71% de los inicios de sesión de CRM y el 83% de los inicios de sesión de ERP no están federados
- Incluso las cuentas "corporativas" suelen tener solo contraseña, lo que las hace funcionalmente indistinguibles de los inicios de sesión personales.
¿La moraleja? Corporativo ≠ seguro. Se accede a los sistemas que albergan los datos financieros y de clientes más sensibles, como CRM, ERP y ahora IA, como si fueran aplicaciones para consumidores. Existen controles de identidad, pero los empleados simplemente los eluden.
Gobernanza: No se encuentra en ninguna parte
El hallazgo más contraintuitivo de nuestra investigación es el siguiente: cuanto más se integra la IA en los flujos de trabajo empresariales, menos gobernanza existe en torno a ella.
Los empleados introducen datos confidenciales en avisos. Suben archivos a cuentas de usuario. Inician sesión con identidades no administradas. Y todo esto ocurre al margen de la supervisión autorizada.
Comparemos esto con el correo electrónico, donde décadas de DLP, archivado y federación han creado al menos algún tipo de barreras de seguridad. La IA, en comparación, es el Salvaje Oeste.
Y, sin embargo, la IA ya no está “emergiendo”. Ya representa 11% de toda la actividad empresarial, rivalizando con categorías que han definido la productividad empresarial durante décadas. Las empresas están operando a ciegas en su categoría de mayor crecimiento.
Qué deberían hacer los CISO a continuación
Con base en estos datos, estas son las tres prioridades más urgentes:
- Trate la IA como una categoría empresarial de primera clase.
GenAI ya no es un experimento. ChatGPT por sí solo alcanza una penetración empresarial del 43%, igualando la adopción de Zoom en una fracción de tiempo. Con el 45% de los empleados utilizando activamente herramientas de IA y representando la IA el 11% de toda la actividad de navegación empresarial, GenAI ahora debe gestionarse con el mismo rigor que los sistemas de correo electrónico e intercambio de archivos. La fase experimental ha terminado. Merece la misma gobernanza y controles que el correo electrónico o el almacenamiento de archivos, con supervisión tanto de las subidas como de las acciones sin archivos, como copiar y pegar. - Tratar los inicios de sesión corporativos no federados como TI en la sombra activa
La investigación revela que incluso cuando los empleados usan credenciales corporativas para aplicaciones críticas como ERP (83 % sin SSO) y CRM (71 % sin SSO), la falta de federación de SSO hace que estos inicios de sesión sean funcionalmente idénticos a las cuentas personales no administradas. Por lo tanto, en lugar de simplemente priorizar el SSO para las nuevas aplicaciones SaaS, reclasificar inmediatamente todas las cuentas no federadas en sistemas críticos como TI en la sombra no administradaSu acción inmediata debería ser realizar una auditoría centrada específicamente en sus sistemas ERP y CRM para identificar todos los puntos de acceso no federados. Trate la remediación de estas brechas con la misma urgencia que la de un servidor expuesto públicamente, ya que representan una vía invisible e incontrolada para el acceso y la exfiltración de datos. - Implementar políticas que tengan en cuenta los datos en lugar de bloquear el acceso a cuentas personales
Una parte significativa de las subidas y pegadas a herramientas GenAI (67 % de cuentas personales) y mensajería instantánea (87 % de cuentas personales) se realiza a través de cuentas no corporativas. Simplemente bloquear el acceso a estos servicios suele ser poco práctico y da lugar a TI en la sombra. Por lo tanto, es necesario pasar de una postura binaria de "bloquear/permitir" a una Política centrada en los datos y consciente del contextoPermitir que los empleados accedan a instancias personales de ChatGPT, Google Drive o WhatsApp Web, pero implementar controles a nivel de navegador que específicamente evitar que se peguen o carguen en ellos datos corporativos confidenciales (identificados por clasificadores)Este enfoque reconoce la realidad de los flujos de trabajo modernos y al mismo tiempo crea un límite de seguridad crucial alrededor de los datos en sí, no de la aplicación. - Cambie los presupuestos de DLP del análisis de red/archivos al control de pegado a nivel de navegador:Los hallazgos muestran que Copiar y pegar ha superado las cargas de archivos como el principal canal de exfiltración de datos.El 77 % de los empleados copia datos en herramientas GenAI y el 62 % en aplicaciones de mensajería instantánea que contienen información personal identificable (PII)/PCI. Las soluciones DLP tradicionales basadas en red ignoran este movimiento de datos sin archivos. Por lo tanto, las organizaciones deberían reorientar su estrategia de protección de datos y la asignación de presupuesto para que dejen de centrarse en la monitorización centrada en archivos. Priorizar la implementación de soluciones de seguridad nativas del navegador o navegadores empresariales seguros que pueden inspeccionar, clasificar y bloquear datos confidenciales dentro de eventos de copiar y pegar antes Se envía a un formulario web, un mensaje de IA o una ventana de chat. La clave está en controlar los datos en el punto de acción (el navegador), no solo los datos en tránsito.
Por qué los datos de LayerX son diferentes
Mientras que otros informes sobre la adopción de IA se basan en encuestas o datos autodeclarados, el nuestro se basa en... telemetría directa del navegador de los propios usuarios empresariales. Esto significa que no hay que hacer conjeturas, solo visibilidad de la actividad del mundo real en aplicaciones autorizadas, no autorizadas y ocultas.
Este punto de vista único revela lo que las encuestas no pueden: que copiar y pegar, no las cargas, es el principal canal de exfiltración; que las cuentas personales dominan incluso los flujos de trabajo críticos para el negocio; y que la IA no es solo un riesgo en el horizonte, es el riesgo que está sucediendo ahora mismo.
Lo más importante es...
Los CISO han dedicado años a desarrollar la gobernanza en torno al correo electrónico, el almacenamiento de archivos y el SaaS autorizado. Mientras tanto, la IA se ha convertido en la categoría empresarial de mayor crecimiento, con casi la mitad de los empleados usándola a diario. Y prácticamente ninguna de sus funciones es segura.
Ésta es la paradoja que revelan nuestros datos: cuanto más indispensable se vuelve la IA, menos supervisión tiene.
El portapapeles es ahora la nueva frontera de las filtraciones de datos empresariales. ChatGPT se ha convertido en el estándar de facto para la IA empresarial. Y las cuentas no administradas están reescribiendo silenciosamente las reglas de la identidad.
El reto para los líderes de seguridad no es si gobernar la IA, sino la rapidez con la que pueden controlarla, antes de que el goteo invisible de fugas de datos se convierta en una inundación.
Descargar el informe completo para descubrir la escala completa de los riesgos de los datos de IA y SaaS.
