ChatGPT, más allá de la productividad

La inteligencia artificial es la tecnología de moda en los entornos corporativos. Según un reciente estudio de Salesforce, entre noviembre de 2024 y junio de 2025 se ha incrementado el uso diario de IA en trabajos de oficina en un 233%. Seis de cada diez dicen utilizar IA tradicional, mientras que el 40% utilizan agentes. Entre quienes emplean diariamente estas herramientas ha mejorado la productividad en un 64% y la satisfacción con su empleo en un 81%. El informe añade que no solo se está automatizando tareas, sino que se está utilizando para realizar otras labores para las que antes no se contaba con las habilidades necesarias. Incluso se está evaluando si podría tener más implicaciones: otro estudio, este de Jabra y The Happiness Research Institute, plantea que, más allá de la satisfacción laboral o la mejora en los resultados, hay también un incremento en las oportunidades de crecimiento laboral, de aprendizaje y desarrollo profesional.

Lo positivo de estas cifras no siempre revela las faltas detrás de su aplicación. De acuerdo a un informe de GAD3 para Planeta Formación y Universidades, aunque un 93% de participantes en España decía conocer alguna herramienta de IA, solo la mitad las utilizaba en entornos laborales, mientras que dos de cada tres lo hacían a nivel personal. Esto revela una falta de competencias profesionales indicativa de un problema mayor: solo una de cada diez personas decía haber sido formada en su empresa para su utilización. Emplear ChatGPT —o la herramienta que sea— sin unas nociones básicas de cómo hacerlo, de los riesgos o problemas que puede haber en su uso, puede llevar a situaciones que van desde contenidos incorrectos o inapropiados al mal uso de los datos corporativos, pasando por un problema reputacional para toda la compañía.

IA en la sombra

“Muchos empleados acceden de forma independiente a herramientas de IA generativa a través de navegadores o aplicaciones de terceros, a menudo eludiendo la supervisión de TI”, explica Corey Nachreiner, CSO de WatchGuard Technologies. “Esto genera riesgos de shadow IT —o un nuevo riesgo de shadow AI— y brechas de visibilidad para los equipos de seguridad”.Nachreiner cita varios de los casos de uso más habituales: investigación de temas en general, redacción de correos electrónicos, lluvia de ideas o redacción de textos, programación, resumen de documentos y automatización de tareas. “Sin embargo, algunos usuarios pueden incluir de forma no intencionada o por desconocimiento datos corporativos sensibles en sus prompts, o incluso fragmentos de código interno al utilizar generación de código con IA, o confiar en el código generado por IA sin una validación de seguridad adicional. Esto supone tanto un riesgo de filtración de datos corporativos como otros riesgos de seguridad”, incide. Más allá de la posibilidad de robo de información y la ampliación de la superficie de amenazas, el uso no controlado de estas herramientas puede llevar a problemas en el cumplimiento de las distintas normativas aplicables a entornos corporativos, como el RGPD, NIS2 o DORA; y a una menor capacidad de control sobre los activos de la compañía. “TI pierde la capacidad de aplicar la gobernanza y de hacer seguimiento del uso”.

Para evitar esto, en Correos cuentan con un entorno de trabajo altamente controlado que impide el uso de software no corporativo, como explica su CIO, Chabe Alcantarilla. “Nuestros sistemas de navegación segura proporcionan visibilidad sobre el uso de recursos externos no autorizados”, lo que incluye herramientas de IA. “Desde la dirección de IT se ha gestionado de manera temprana la llegada de la inteligencia artificial. Contar con plataformas tecnológicas para la monitorización y el control del riesgo en el endpoint ha facilitado la detección anticipada del uso incipiente de recursos de IA, lo que permitió tomar decisiones antes de que se produjera una utilización masiva y sin control”, profundiza. Entre las medidas puestas en marcha para paliar la problemática, el organismo apostó por la realización de estudios y monitorizaciones, junto con el despliegue de herramientas tecnológicas específicas y la formación y concienciación del personal.

En el caso de la empresa Damm, la compañía basa su estrategia en “un uso responsable y supervisado de herramientas de IA generativa”, como define su CISO, Ester Valverde. “En Damm tenemos la voluntad de ofrecer a todas los/las empleados/as las herramientas necesarias para desempeñar las funciones de su puesto de trabajo de manera eficiente y segura, minimizando así el uso indebido de aplicaciones no autorizadas en la compañía”. La cervecera ha integrado Copilot para favorecer un entorno seguro, en el que se garantice la protección de la información corporativa, y cuenta con un programa de formación y concienciación en ciberseguridad, que refuerce “la seguridad y la confianza en nuestras soluciones tecnológicas internas”. Además de los riesgos citados por Nachreiner, Valverde y Alcantarilla suman la problemática de que se dupliquen herramientas o procesos, lo que puede llevar a incompatibilidades y falta de soporte.

La CIO de Correos habla, también, de costes ocultos o ineficiencias operativas. “La falta de supervisión podría impactar en la gestión IT, con consecuencias importantes en el plano legal, ético, operativo y de ciberseguridad para la empresa”.  “Sin supervisión, la IA deja de ser un aliado estratégico para convertirse en un riesgo crítico”, añade Nachreiner. “La clave está en establecer políticas claras, controles de acceso, auditoría continua y soluciones de seguridad que unifiquen la protección de datos, identidades y aplicaciones”.

Controlando el uso en la sombra de IA

Tanto Nachreiner como Valverde y Alcantarilla coinciden que una de las claves para evitar problemas en el empleo de herramientas inteligentes es el diseño de una política clara de IA, en la que se le explique a la plantilla bien cuándo y cómo utilizarla. “Como mínimo, no deberían poder compartir datos corporativos sensibles con herramientas de IA públicas y gratuitas que puedan recopilar esa información a cambio de su uso sin coste”, incide el CSO de Watchguard.

Suministrar plataformas seguras y aprobadas o usar controles técnicos para monitorizar y bloquear el resto de herramientas forman parte esencial de esa estrategia. “La gestión de este tema no resulta sencilla”, comparte Alcantarilla. “En nuestra organización, tras identificar un uso incipiente de la inteligencia artificial, decidimos abordarlo desde diversas perspectivas y hemos obtenido resultados satisfactorios”, resume, planteando una estrategia similar: definición de políticas claras sobre el uso de IA, creación de un catálogo de herramientas aprobadas, monitoreo para la detección temprana de conductas de riesgo y capacitación y sensibilización del personal.

Este último punto resulta esencial, en tanto el factor menos predecible suele ser el factor humano. En esta línea, Valverde completa: “Es fundamental que cualquier respuesta generada por IA sea revisada y supervisada por la propia persona, aplicando su conocimiento y criterio profesional. En última instancia, la responsabilidad de garantizar la calidad y fiabilidad del trabajo recae en cada individuo, ya que se puede ver afectada la reputación corporativa”, apunta. “En Damm integramos la IA en los procesos de negocio de forma controlada, permitiendo que aporte valor sin comprometer la seguridad de nuestro entorno”. “En WatchGuard, defendemos un enfoque equilibrado que pasa por aprovechar la innovación mientras protegemos los activos críticos”, añade Nachreiner. “La IA generativa puede ser una herramienta poderosa, pero sin una supervisión adecuada se convierte en una responsabilidad”.