Empresas de EE. UU.: Abuso de IA es Rampante, Cúpula Directiva No Exenta
Un estudio reciente del proveedor de seguridad de IA CalypsoAI revela una tendencia generalizada y creciente de uso indebido de herramientas de IA dentro de las organizaciones estadounidenses, que se extiende desde el personal de nivel de entrada hasta los más altos escalones de la cúpula directiva (C-suite). Los hallazgos, detallados en el “Informe de Amenazas Internas de IA” de la firma, pintan un cuadro de una “realidad oculta” donde los empleados de todos los niveles están aprovechando las herramientas de IA “a menudo sin culpa, vacilación ni supervisión”.
Quizás lo más sorprendente son las revelaciones sobre el liderazgo sénior. La mitad de los ejecutivos encuestados indicaron una preferencia por los gerentes de IA sobre los humanos, sin embargo, un significativo 34% admitió que no podía distinguir de manera fiable entre un agente de IA y un empleado real. Agravando esto, más de un tercio de los líderes empresariales, el 38%, confesó no saber siquiera qué es un agente de IA. De manera alarmante, el 35% de los ejecutivos de la cúpula directiva reconocieron haber enviado información propietaria de la empresa a herramientas de IA para completar tareas.
Esta disposición a flexibilizar o romper reglas por la conveniencia de la IA no se limita a la cúpula ejecutiva. La encuesta, que consultó a más de 1.000 trabajadores de oficina a tiempo completo en EE. UU. de 25 a 65 años en junio, encontró que el 45% de todos los empleados confía más en la IA que en sus colegas humanos. Más de la mitad, el 52%, afirmó que usaría la IA para simplificar su trabajo, incluso si violara la política de la empresa. Entre los ejecutivos, esta cifra se disparó al 67%, lo que indica un desprecio generalizado por los protocolos establecidos.
El problema es particularmente agudo en sectores altamente regulados. En la industria financiera, el 60% de los encuestados admitió haber violado las reglas de IA, y un tercio adicional utilizó la IA para acceder a datos restringidos. Dentro de la industria de la seguridad, el 42% de los empleados utilizó conscientemente la IA en contra de la política, y el 58% expresó una mayor confianza en la IA que en sus compañeros de trabajo. Incluso en el sector de la salud, solo el 55% de los trabajadores siguió consistentemente la política de IA de su organización, y el 27% expresó preferencia por reportar a un supervisor de IA sobre uno humano.
Donnchadh Casey, CEO de CalypsoAI, enfatizó la urgencia de estos hallazgos. “Las amenazas externas a menudo reciben la atención”, explicó, “pero el riesgo inmediato y de crecimiento más rápido está dentro del edificio, con empleados de todos los niveles usando la IA sin supervisión”. Señaló su sorpresa por la rapidez con la que los líderes de la cúpula directiva están eludiendo sus propias reglas. “Los líderes sénior deberían establecer el estándar, sin embargo, muchos están liderando el comportamiento arriesgado”, observó Casey, señalando que los ejecutivos a veces están adoptando herramientas de IA más rápido de lo que los equipos responsables de asegurarlas pueden responder. Concluyó que esto representa tanto un desafío de liderazgo como de gobernanza.
Justin St-Maurice, consejero técnico de Info-Tech Research Group, se hizo eco de este sentimiento, comparando el fenómeno con la “IA en la sombra” que se convierte en la “nueva TI en la sombra”. Los empleados recurren a herramientas no autorizadas porque la IA ofrece beneficios tangibles: “descarga cognitiva” al asumir tareas mundanas, y “aumento cognitivo” al acelerar el pensamiento, la escritura y el análisis. St-Maurice destacó el poderoso atractivo de estos beneficios, señalando que más de la mitad de los trabajadores usarían la IA incluso si estuviera prohibida, un tercio la ha utilizado en documentos sensibles y casi la mitad de los equipos de seguridad encuestados admitieron haber pegado material propietario en herramientas públicas. Sugirió que esto no es necesariamente deslealtad, sino más bien un síntoma de que la gobernanza y la habilitación están rezagadas con respecto a las prácticas laborales contemporáneas.
Los riesgos son innegables. Cada aviso de IA sin supervisión conlleva el potencial de que la propiedad intelectual, las estrategias corporativas, los contratos sensibles o los datos de los clientes se filtren al dominio público. St-Maurice advirtió que simplemente bloquear los servicios de IA sería contraproducente, llevando a los usuarios a la clandestinidad para buscar acceso alternativo. En su lugar, aboga por un enfoque más práctico: la habilitación estructurada. Esto implica proporcionar una puerta de enlace de IA sancionada, integrarla con la gestión de identidades, registrar las indicaciones y salidas, aplicar la redacción para campos sensibles y publicar reglas claras y concisas. Tales medidas deben combinarse con una capacitación breve y basada en roles y un catálogo de modelos y casos de uso aprobados, ofreciendo a los empleados una vía segura hacia los beneficios de la IA.
Casey estuvo de acuerdo, enfatizando que cualquier solución efectiva debe abarcar tanto a las personas como a la tecnología. Advirtió que una reacción inicial de bloquear la IA por completo es a menudo contraproducente, ya que los empleados suelen eludir tales reglas para obtener ventajas de productividad. Una estrategia superior, argumentó, implica proporcionar acceso organizacional a la IA mientras se monitorea y controla simultáneamente su uso, interviniendo cuando el comportamiento se desvía de la política. Esto requiere políticas claras y aplicables combinadas con controles en tiempo real que aseguren la actividad de la IA dondequiera que ocurra, incluida la supervisión de los agentes de IA que operan a escala con datos sensibles. Al asegurar la IA en sus puntos de despliegue y donde realiza trabajos críticos, las empresas pueden habilitar su uso sin sacrificar visibilidad ni control.