**El 66% de las entidades financieras identifica uso no autorizado de IA por parte de empleados**
—
### 1. Introducción
El sector financiero está experimentando una rápida transformación digital, impulsada en gran parte por la adopción de tecnologías en la nube e inteligencia artificial (IA). Sin embargo, este avance también conlleva riesgos asociados al uso no controlado de herramientas tecnológicas. Según los últimos resultados del Enterprise Cloud Index (ECI) 2024 de Nutanix, el 66% de las organizaciones financieras ha detectado el uso no autorizado de aplicaciones de IA por parte de sus empleados, lo que plantea importantes desafíos de seguridad, cumplimiento normativo y gestión de riesgos.
—
### 2. Contexto del Incidente o Vulnerabilidad
El informe ECI, centrado en la industria financiera, analiza el progreso de estas instituciones en la adopción de infraestructuras híbridas y multicloud y su integración con soluciones de IA. El principal hallazgo: mientras la implementación de IA se acelera, existe un alto porcentaje de uso no regulado (“Shadow AI”) dentro de las organizaciones. Este fenómeno se produce cuando empleados utilizan herramientas de IA generativa o analítica sin aprobación ni supervisión del área de TI o ciberseguridad, exponiendo a las empresas a brechas de datos, pérdida de control sobre información confidencial y posibles incumplimientos legales, especialmente en sectores tan regulados como el financiero.
—
### 3. Detalles Técnicos (CVE, vectores de ataque, TTP MITRE ATT&CK, IoC…)
Aunque no se trata de una vulnerabilidad específica recogida en una CVE, el uso no autorizado de IA se enmarca como una amenaza interna y un vector de riesgo creciente. Desde la perspectiva MITRE ATT&CK, este comportamiento se asocia con técnicas como T1086 (PowerShell), T1204 (User Execution) y T1567 (Exfiltration Over Web Service), ya que los empleados pueden emplear herramientas de IA en la nube para procesar, almacenar o filtrar datos fuera del perímetro corporativo.
Los Indicadores de Compromiso (IoC) más relevantes incluyen:
– Tráfico inusual hacia dominios de IA pública (ChatGPT, Bard, Copilot, Claude, etc.).
– Uso de APIs de IA desde endpoints corporativos no autorizados.
– Descarga e instalación de paquetes de IA (Python, R, etc.) no aprobados por el equipo de TI.
– Exfiltración de datos sensibles a través de prompts o cargas en plataformas de IA.
El riesgo se agrava cuando los empleados manipulan datos financieros, personales o estratégicos, ya que la transferencia o procesamiento en plataformas externas puede suponer una violación directa de normativas como el GDPR o la NIS2.
—
### 4. Impacto y Riesgos
El informe de Nutanix refleja que la exposición al “Shadow AI” afecta ya a dos tercios de las organizaciones financieras encuestadas, lo que multiplica los riesgos de:
– **Fuga de datos sensibles**: especialmente información personal identificable (PII), secretos comerciales o datos bancarios.
– **Incumplimiento regulatorio**: la transferencia de datos a plataformas de IA públicas puede vulnerar el GDPR, la NIS2 y la Ley de Protección de Datos local.
– **Pérdida de control sobre activos digitales**: al procesar información fuera de los controles de seguridad internos.
– **Superficie de ataque ampliada**: nuevas puertas de entrada para ataques de ingeniería social, phishing o explotación de APIs.
– **Riesgo reputacional y económico**: sanciones regulatorias (hasta 20 millones de euros o el 4% de la facturación global según GDPR), pérdida de confianza y posibles litigios.
Un dato especialmente relevante es que el 45% de los encuestados considera que la “Shadow AI” es el principal riesgo emergente para la seguridad de la información en los próximos 12 meses.
—
### 5. Medidas de Mitigación y Recomendaciones
Para mitigar estos riesgos, los expertos recomiendan:
– **Inventario y control de aplicaciones de IA**: mediante herramientas de CASB (Cloud Access Security Broker) y DLP (Data Loss Prevention) para monitorizar y bloquear el acceso no autorizado a servicios de IA.
– **Políticas de uso aceptable**: definir directrices claras sobre el uso de IA generativa y analítica en el entorno corporativo.
– **Formación y concienciación**: programas específicos para empleados sobre los riesgos y buenas prácticas en el uso de IA.
– **Restricción de permisos y segmentación de red**: limitar el acceso a datos sensibles y monitorizar el tráfico hacia plataformas cloud externas.
– **Auditoría y análisis forense**: implementar soluciones de SIEM y EDR que permitan detectar patrones anómalos relacionados con IA.
Además, se recomienda integrar controles de seguridad específicos en los frameworks de gobernanza cloud y realizar revisiones periódicas de cumplimiento normativo.
—
### 6. Opinión de Expertos
CISOs y responsables de ciberseguridad coinciden en que el fenómeno “Shadow AI” representa una extensión natural del “Shadow IT”, pero con un potencial disruptivo superior por la velocidad de adopción y la dificultad de control en entornos multicloud. Según Marta López, CISO de una entidad bancaria española: “No se trata solo de prohibir, sino de habilitar entornos seguros para el uso de IA. La clave está en la visibilidad y el control, no en la restricción absoluta”.
—
### 7. Implicaciones para Empresas y Usuarios
Las organizaciones financieras deben adaptar sus estrategias de ciberseguridad a un entorno donde la innovación tecnológica es esencial, pero no puede ir en detrimento de la seguridad y el cumplimiento. Para los usuarios, la concienciación sobre el uso adecuado de la IA es crucial para evitar incidentes y sanciones. Las empresas que consigan un equilibrio entre aprovechamiento de la IA y control de riesgos serán las mejor posicionadas en el mercado.
—
### 8. Conclusiones
El uso no autorizado de IA en el sector financiero es una realidad creciente que exige una respuesta técnica y organizativa ágil. La detección temprana, la formación y la integración de controles en la nube serán fundamentales para minimizar los riesgos asociados a la “Shadow AI” y cumplir con las normativas vigentes. El reto para los equipos de ciberseguridad será evolucionar al ritmo de la tecnología, sin perder de vista la protección del dato y la resiliencia organizativa.
(Fuente: www.cybersecuritynews.es)
