--- title: Fundamentos de seguridad en IA: qué sale mal de verdad y cómo evitarlo description: Una guía práctica sobre riesgos de seguridad en IA para equipos de negocio. Exposición de datos, inyección de prompts, evaluación de proveedores y las diferencias reales entre la seguridad personal y la empresarial. date: February 5, 2026 author: Robert Soares category: ai-strategy --- En abril de 2023, ingenieros de Samsung hicieron algo que miles de empleados hacen todos los días. Pegaron código en ChatGPT. Uno estaba depurando un fallo. Otro transcribió una reunión y se la dio a la IA para sacar notas de resumen. Un tercero optimizó una secuencia de pruebas. En pocas semanas, Samsung prohibió ChatGPT en toda la empresa. El código contenía información propietaria sobre semiconductores. Una vez enviado, pasó a formar parte de los datos de entrenamiento de OpenAI. Samsung no pudo recuperarlo. El daño fue permanente, invisible y totalmente evitable. Este incidente resume todo lo que es complicado de la seguridad en IA. La herramienta funcionó exactamente como estaba diseñada. Los empleados la usaron para resolver problemas reales. Nadie pretendía hacer daño. Aun así, datos sensibles salieron del edificio y no pueden volver jamás. ## Cómo se ve realmente la exposición de datos La filtración de Samsung es famosa porque implicó a una empresa grande. Pero una investigación de finales de 2025 encontró que el 34,8% de todas las entradas de empleados en ChatGPT contienen datos sensibles. Más de un tercio de cada consulta. No es un caso extremo. Es la línea base. La IA en la sombra impulsa buena parte de esta exposición. Cuando TI no ofrece herramientas de IA aprobadas, los empleados se buscan las suyas. Una encuesta reciente encontró que más del 60% de los trabajadores dependen de herramientas personales de IA, sin gestión, en lugar de alternativas aprobadas por la empresa. Estas herramientas operan fuera del monitoreo corporativo. Sin registros. Sin supervisión. Sin controles de prevención de pérdida de datos. Los datos que se filtran siguen patrones predecibles: **Código fuente y archivos de configuración.** Los desarrolladores pegan código para obtener ayuda al depurar. Esos archivos a menudo contienen claves de API, credenciales de bases de datos y detalles internos del sistema. **Información de clientes.** Equipos de soporte resumen tickets. Comerciales analizan datos de posibles clientes. Marketing genera contenido personalizado. Todo puede contener nombres, correos, historiales de compra o datos financieros. **Comunicaciones internas.** Transcripciones de reuniones, mensajes de Slack e hilos de correo se le dan a la IA para resumir. Esas conversaciones revelan estrategia, temas de personal e inteligencia competitiva. **Datos financieros.** Hojas de cálculo, previsiones y registros de transacciones se analizan con herramientas de IA que nunca se revisaron para cumplimiento. La mayoría de los empleados no tiene idea de que esto sea arriesgado. Ven una herramienta útil, no un vector de exfiltración de datos. Esa brecha de percepción es donde fallan los programas de seguridad. ## Inyección de prompts: el vector de ataque para el que nadie estaba preparado La seguridad tradicional se centra en perímetros de red y controles de acceso. La IA introduce algo distinto. Los ataques de inyección de prompts manipulan sistemas de IA ocultando instrucciones en los datos que procesan. El ataque funciona porque la IA no puede distinguir de forma fiable entre instrucciones legítimas e instrucciones maliciosas incrustadas en el contenido. Un atacante inserta texto oculto en un documento, una web o un correo. Cuando la IA procesa ese contenido, ejecuta las instrucciones del atacante en lugar de, o además de, las órdenes del usuario. El investigador de seguridad simonw, escribiendo en [Hacker News](https://news.ycombinator.com/item?id=35572290), identificó el problema central: "for a security issue like this we need a 100% reliable solution, or people WILL figure out how to exploit it." Esa solución fiable todavía no existe. En la misma discusión, el usuario bawolff planteó el problema de arquitectura sin rodeos: "Black box we don't really understand executing shell scripts in response to untrusted user input." Cuando conectas la IA a herramientas que pueden enviar correos, modificar bases de datos o acceder a sistemas de archivos, les estás dando esas capacidades a cualquiera que pueda influir en lo que la IA lee. Un PDF malicioso, una página web comprometida, incluso un correo cuidadosamente redactado en la bandeja de entrada de alguien. Todo se convierte en un vector de ataque potencial. Ya han aparecido explotaciones reales. Investigadores demostraron inyección de prompts contra Bing Chat a las pocas semanas de su lanzamiento. GitHub Actions que usaban agentes de IA resultaron vulnerables a ataques ocultos en descripciones de pull requests. Los servidores MCP (Model Context Protocol), que amplían capacidades de la IA, han mostrado vulnerabilidades críticas en aproximadamente el 10% de las implementaciones escaneadas. El usuario noodletheworld capturó el estado actual en [Hacker News](https://news.ycombinator.com/item?id=43632112): "there is no solution currently, other than only use trusted sources...this idea of arbitrary content going into your prompt...can't be safe. It's flat out impossible." Esto no es alarmismo. Es una evaluación técnica correcta. Las arquitecturas actuales de IA no tienen la capacidad de imponer límites estrictos entre instrucciones y datos. Hasta que eso cambie de forma fundamental, cualquier sistema de IA con acceso a contenido no confiable y a herramientas potentes representa un riesgo de seguridad. ## Evaluar la seguridad de proveedores de IA No todos los servicios de IA tienen el mismo riesgo. La diferencia entre ofertas de consumo y empresariales es grande, pero el marketing suele ocultar las distinciones reales. Empieza por las políticas de datos de entrenamiento. Por defecto, OpenAI usa conversaciones de ChatGPT gratuito para mejorar sus modelos. Su nivel empresarial explícitamente no lo hace. "By default, we do not use your business data for training our models," afirma su [documentación de privacidad empresarial](https://openai.com/enterprise-privacy/). Otros proveedores varían. Exige confirmación por escrito. El cifrado importa, pero los detalles importan más. Busca cifrado AES-256 en reposo y TLS 1.2+ en tránsito. Más importante aún: entiende quién tiene las claves. El cifrado gestionado por el proveedor es lo estándar. Las claves gestionadas por el cliente dan más control, pero aumentan la complejidad operativa. La residencia de datos se vuelve crítica para industrias reguladas. ¿Dónde se almacenan tus datos? ¿Pueden cruzar fronteras? El RGPD exige protección adecuada para datos que salen de la UE. Salud y servicios financieros afrontan restricciones geográficas adicionales. Examina con cuidado las políticas de retención. ¿Cuánto tiempo conserva el proveedor tus prompts y respuestas? ¿Puedes borrarlos? ¿Qué pasa con el historial de conversaciones cuando cierras una cuenta? Algunos proveedores retienen datos indefinidamente para “investigación de seguridad”. Eso puede chocar con tus requisitos de minimización de datos. Las integraciones con terceros multiplican el riesgo. La brecha de noviembre de 2025 que afectó a usuarios de OpenAI entró por Mixpanel, un proveedor externo de analítica. La brecha expuso nombres de usuario, direcciones de correo y datos de uso. Tu seguridad solo es tan fuerte como el socio de integración más débil de tu proveedor. Los derechos de auditoría y las certificaciones de cumplimiento aportan una garantía parcial. Informes SOC 2 Tipo II, certificación ISO 27001 y declaraciones de cumplimiento del RGPD indican prácticas de seguridad de base. No garantizan que esas prácticas funcionen. Pide los informes reales, no solo las promesas del marketing. ## Seguridad personal vs. empresarial: diferencias reales La brecha entre planes de IA para consumo y para empresas importa más de lo que la mayoría imagina. Los planes de consumo (gratuitos o suscripciones de bajo costo) suelen: - Usar tus conversaciones para entrenar el modelo salvo que tú lo desactives explícitamente - Guardar el historial de conversaciones indefinidamente - No ofrecer opciones de autenticación empresarial - Carecer de controles administrativos y registro de auditoría - Ofrecer pocas o ninguna certificación de cumplimiento - Enrutar datos por infraestructura compartida sin aislamiento Los planes empresariales, por lo general: - Excluyen los datos de la empresa del entrenamiento del modelo por defecto - Ofrecen retención configurable con capacidad de borrado - Soportan SSO, SCIM y gestión de identidad empresarial - Incluyen paneles de administración, analítica de uso y registros de auditoría - Mantienen certificaciones de cumplimiento (SOC 2, ISO 27001, HIPAA BAA donde aplique) - Ofrecen infraestructura dedicada o aislamiento lógico La diferencia práctica aparece en la responsabilidad. Cuando un empleado pega datos de clientes en ChatGPT gratuito y esos datos influyen en salidas futuras del modelo, tu exposición legal es considerable. Esos mismos datos enviados a través de un plan empresarial correctamente configurado se mantienen aislados, registrados y eliminables. El costo acompaña a la capacidad. Las suscripciones empresariales de IA cuestan entre 20 y 60 dólares por usuario al mes en niveles básicos. Funciones avanzadas como instancias dedicadas, modelos personalizados o controles reforzados de cumplimiento elevan el precio. Compara ese costo con las multas regulatorias y los gastos de respuesta a incidentes que estás evitando. ## Construir controles de seguridad prácticos Las políticas, por sí solas, no evitan la exposición de datos. Samsung tenía políticas. También tenía ingenieros con plazos encima usando la herramienta más rápida disponible. Los controles técnicos crean fricción de un modo que las políticas no pueden igualar. **Despliega herramientas de IA empresariales de forma proactiva.** Si no ofreces alternativas aprobadas, los empleados encontrarán alternativas no aprobadas. El problema de la IA en la sombra es, en el fondo, un problema de oferta. Se resuelve con mejor oferta. **Implementa prevención de pérdida de datos (DLP) para flujos de trabajo con IA.** Las herramientas de prevención de pérdida de datos pueden supervisar y bloquear contenido sensible antes de que llegue a servicios de IA. Las soluciones modernas reconocen tráfico típico de herramientas de IA y aplican políticas específicas. **Usa aislamiento del navegador para el acceso a IA.** Los navegadores empresariales pueden enrutar el acceso a herramientas de IA por entornos controlados donde los datos corporativos no llegan al portapapeles. **Crea listas de permitidos, no listas de bloqueo.** Bloquear ChatGPT por dominio es trivial de eludir. Aprobar herramientas específicas de IA con la configuración correcta es más defendible. **Registra todo.** Los planes empresariales de IA ofrecen registros de uso. Recógelos. Intégralos con tu SIEM. Establece líneas base. Investiga anomalías. **Capacita específicamente sobre riesgos de IA.** La concienciación de seguridad genérica no cubre los riesgos únicos de las herramientas de IA. Muestra a los empleados cómo se ve una exposición de datos. Demuestra la inyección de prompts. Haz los riesgos concretos. **Establece procedimientos de respuesta a incidentes para exposición en IA.** Si datos sensibles llegan a una herramienta de IA, ¿cuál es tu respuesta? ¿Quién investiga? ¿Qué se reporta? Defínelo antes de necesitarlo. ## Los límites de las soluciones actuales Una evaluación honesta exige reconocer lo que todavía no podemos resolver. La inyección de prompts no tiene una solución completa. La mitigación ayuda. Una arquitectura cuidadosa ayuda más. Pero como señaló el usuario TeMPOraL en [Hacker News](https://news.ycombinator.com/item?id=43632112): "Prompt injection, being equivalent to social engineering, will always be a problem." La arquitectura fundamental de los modelos de lenguaje actuales hace extremadamente difícil separar de forma fiable instrucciones y datos. La verificación de resultados de la IA sigue siendo en gran parte manual. Cuando la IA genera código, contratos o comunicaciones con clientes, las personas deben verificar exactitud y adecuación. Automatizar esa verificación, como mucho, está en pañales. Eliminar datos de modelos ya entrenados es impracticable. Si tus datos contribuyeron al entrenamiento, extraerlos por completo puede ser técnicamente imposible. El código de los ingenieros de Samsung influirá en el comportamiento del modelo indefinidamente. Los marcos de cumplimiento van por detrás de la tecnología. El RGPD no se escribió pensando en modelos de lenguaje a gran escala. Tampoco HIPAA. Los reguladores se están poniendo al día, pero persiste la ambigüedad. “Medidas de seguridad razonables” en una regulación de 2016 significaba algo distinto de lo que significa ahora. ## Qué significa esto de aquí en adelante Los equipos de seguridad afrontan un dilema real. Las herramientas de IA aportan beneficios legítimos de productividad. Bloquearlas por completo empuja a los empleados hacia alternativas sin control. Permitirlas sin controles crea exposición de datos. Ninguno de los extremos funciona. El camino pragmático pasa por una adopción controlada. Ofrece herramientas de IA seguras. Configúralas bien. Supervisa su uso. Forma a los empleados sobre los riesgos. Acepta que queda un riesgo residual. Vigila el panorama regulatorio. Se acercan los plazos de cumplimiento de la Ley de IA de la UE. Las nuevas normas de California sobre toma de decisiones automatizada entraron en vigor en 2026. Más jurisdicciones seguirán. Los programas de seguridad que incorporen ya requisitos específicos de IA se adaptarán con más facilidad a medida que evolucionen las exigencias. Construye relaciones con tus proveedores de IA. La seguridad no es una función que compras una vez. Es una conversación continua sobre configuraciones, políticas y respuesta a incidentes. Los proveedores que no quieran entrar en detalles de seguridad probablemente no pueden ofrecer protección de nivel empresarial. Las organizaciones que naveguen esto bien no serán las que evitaron la IA. Serán las que la integraron de forma deliberada, con políticas claras, controles adecuados y un reconocimiento honesto de lo que podían y no podían prevenir. Ese reconocimiento quizá sea lo más difícil. Estamos acostumbrados a problemas de seguridad con soluciones. Parches. Configuraciones. Formación. El panorama de seguridad en IA incluye riesgos sin arreglo disponible hoy. Vivir con esa incertidumbre y aun así avanzar exige un tipo distinto de pensamiento de seguridad. Quizá ese sea el verdadero cambio. No solo nuevas herramientas que requieren nuevas políticas, sino nuevas categorías de riesgo que requieren una nueva comodidad con la ambigüedad.