Los costos ocultos de la IA en la sombra: por qué los controles de acceso y auditoría importan ahora

Para los profesionales de seguridad, la IA es un arma de doble filo. Introduce nuevos vectores de riesgo: desde amenazas internas hasta riesgos de terceros y campañas de phishing más sofisticadas. Pero también mejora las herramientas usadas para identificar y contener incidentes. Tal vez lo más importante que puedes hacer para lograr que esa espada corte en la dirección que deseas es entender qué herramientas de IA existen en tu entorno, quién las está usando y qué datos están ingiriendo.

Esa es la conclusión clave del Informe 2025 de IBM sobre el costo de una violación de datos. Basado en más de tres mil entrevistas con personas de más de seiscientas organizaciones, el Informe revela un panorama de la industria donde la mayor división está entre las empresas que tienen visibilidad y control sobre sus implementaciones de IA y aquellas que no.

Empecemos con lo positivo. En el último año, el costo promedio de una filtración de datos en realidad disminuyó un 9 por ciento, a alrededor de $4.4 millones. Eso se debió en gran medida a fuertes reducciones en el tiempo medio de intervención (MTTI) y el tiempo medio de contención (MTTC). Y la IA tuvo mucho que ver con ello. El Informe encontró que las organizaciones que hicieron un uso amplio de la IA en el ámbito de seguridad redujeron su MTTI en aproximadamente 80 días, ahorrando en promedio $1.9 millones.

Pero si miramos el otro lado de la balanza, encontramos que la IA también causa problemas además de resolverlos. El trece por ciento, o un poco más de una de cada ocho organizaciones, dijo que experimentó una violación de datos relacionada con la IA. Entre ellas, el 60 por ciento vio comprometidos sus datos y el 31 por ciento sufrió interrupciones operativas.

La IA en la sombra fue una gran parte del problema. El veinte por ciento de las organizaciones reportó haber descubierto IA en la sombra en sus entornos. Es probable que muchas más estén alojando herramientas de IA sin saberlo y no se den cuenta hasta que alguna provoque un incidente. Y por supuesto que ocurrirá, porque el informe también halló que el 63% de las organizaciones no tiene una política de gobernanza de IA vigente.

Eso no es sostenible. Según Suja Viswesan, vicepresidenta de Productos de Seguridad y Runtime en IBM, la IA va a magnificar el impacto de cualquier brecha en las defensas cibernéticas de tu organización. Y debido al rápido aumento de los riesgos relacionados con la IA, ya no son solo las industrias altamente reguladas las que necesitan mantener una postura estricta de seguridad de datos. Todos deben elevar su nivel de seguridad de datos, especialmente en lo que respecta al cifrado y a la gestión de identidades y accesos (IAM).

Todo empieza con el descubrimiento. Tienes que identificar las herramientas de IA presentes en tu entorno y también descubrir y clasificar los datos que podrían estar ingiriendo. Sin este paso crucial, estarás volando a ciegas.

Pero no puedes quedarte ahí. Tienes que asegurar el uso de la IA, monitoreando los prompts y las salidas en tiempo real. Y debes ser capaz de vincular las herramientas y los datos de IA con la identidad. El acceso humano a las herramientas de IA debe seguir el principio de privilegio mínimo. Pero lo mismo aplica para el acceso de la IA a datos sensibles. Es posible que las políticas tradicionales de IAM, como los Controles de Acceso Basados en Roles (RBAC), no estén a la altura del reto de asegurar las Identidades No Humanas (NHI). En su lugar, los Controles de Acceso Basados en Atributos (ABAC) y las Analíticas avanzadas de Comportamiento de Usuarios y Entidades (UEBA) pueden ser necesarias para supervisar a los agentes de IA.

Aquí en Cyera, estamos comprometidos a crear un mundo donde la IA segura y confiable ayude a las empresas a crecer, a las comunidades a prosperar y a las personas a perseguir sus pasiones con tranquilidad. Cyera es la empresa de seguridad de datos de más rápido crecimiento en el mundo porque fue la primera en resolver el problema de descubrir los datos de las empresas con velocidad y escala, y de clasificarlos con precisión.

No conformes con simplemente proteger los datos en reposo, tomamos nuestro diseño nativo de IA y lo usamos para resolver el DLP. Al descubrir y proteger los datos en tránsito con una precisión sin igual, Omni DLP de Cyera reduce drásticamente los falsos positivos, brindando a los equipos de seguridad un respiro del cansancio por alertas y más tiempo para priorizar los problemas que realmente importan.

Ahora subimos la apuesta nuevamente. Con AI Guardian de Cyera, las empresas pueden adoptar con confianza herramientas de IA, ya sea IA integrada como Microsoft Copilot, herramientas de terceros como ChatGPT o aplicaciones de IA internas creadas sobre plataformas como Amazon Bedrock.

AI Guardian consta de dos productos: AI Security Posture Management (AISPM) y AI Runtime Protection. El primero identifica todas las herramientas de IA en tu entorno, los datos a los que dichas herramientas acceden y qué identidades las están utilizando. El segundo monitorea el uso de la IA y protege los datos sensibles en tiempo real, bloqueando indicaciones abusivas y evitando la filtración de datos a través de las salidas de la IA. También registra las interacciones con la IA para ayudar a los equipos de seguridad a investigar desalineación de políticas, uso indebido o alucinaciones.

AI Guardian ayuda a las organizaciones a resolver el problema de la IA en la sombra y garantiza que tu madurez en IA vaya a la par de tus aspiraciones en IA. Para ver cómo Cyera puede ayudarte a sacar la IA de las sombras, programa una demostración hoy en cyera.com.