
Tus empleados ya están filtrando tus secretos a ChatGPT — y prohibirlo solo lo empeoró
Estaba sentado frente a un CISO de una gran firma de servicios financieros cuando dijo algo que me quedó rondando durante semanas. Se recostó, se frotó las sienes y dijo: "Bloqueamos ChatGPT en todos los dispositivos que gestionamos. Actualizamos la política de uso aceptable. Enviamos tres correos electrónicos a toda la empresa. Y el martes pasado descubrí que todo nuestro equipo de fusiones y adquisiciones ha estado pegando términos de operaciones en Claude desde sus teléfonos personales durante el almuerzo."
No estaba enfadado. Estaba agotado. Había hecho todo lo que el manual de ciberseguridad le decía que hiciera, y no había funcionado.
Esa conversación cristalizó algo que venía observando en cada proyecto empresarial que mi equipo en Veriprajna había asumido: prohibir la IA generativa no impide que la gente la use — solo hace que la oculten. Y el uso oculto es infinitamente más peligroso que el uso visible. Los datos cuentan la misma historia. El cuarenta y seis por ciento de los empleados dice que seguiría usando herramientas de IA incluso si su empresa se las prohibiera explícitamente. El treinta y ocho por ciento admite que ya ha compartido datos de trabajo confidenciales con plataformas de IA públicas sin decírselo a nadie. El volumen de datos que fluye hacia las aplicaciones de IA generativa se ha multiplicado por treinta año tras año. Esto no es un problema de política. Es un problema arquitectónico.
La noche en que Samsung lo cambió todo
En mayo de 2023, tres ingenieros de la división de semiconductores de Samsung hicieron algo completamente racional. Estaban depurando código propietario de fabricación de chips — un trabajo complejo y de alto riesgo donde una segunda opinión podía ahorrar días de esfuerzo. Así que pegaron su código en ChatGPT.
Uno subió código fuente para bases de datos de medición de semiconductores. Otro compartió la lógica de un programa para identificar defectos de rendimiento — el tipo de datos que impacta directamente en el precio de las acciones de Samsung. Un tercero subió la grabación de una reunión interna para generar el acta.
Ninguno de ellos intentaba dañar a la empresa. Intentaban hacer bien su trabajo. Trataban a ChatGPT como tratarías a una calculadora: metes algo, obtienes algo, sigues adelante. Lo que no comprendían del todo era que los términos de servicio de OpenAI en aquel momento permitían que las entradas se conservaran — potencialmente utilizadas para entrenar el modelo, definitivamente almacenadas en servidores fuera del control de Samsung.
Recuerdo leer la cobertura de la noticia y sentir un nudo en el estómago. No porque la filtración fuera sorprendente — llevaba tiempo advirtiendo a los clientes sobre exactamente este escenario — sino porque la respuesta de Samsung fue tan predecible. Emitieron una prohibición para toda la empresa. Amenazaron con el despido por infracciones. Blindaron la red.
Y yo sabía, con absoluta certeza, que no funcionaría.
¿Por qué prohibir la IA siempre resulta contraproducente?
Esto es lo que la mayoría de los equipos de seguridad hacen mal: modelan la amenaza como si los empleados fueran adversarios. Levanta un muro más alto, y el problema desaparece. Pero las personas que filtran datos a ChatGPT no son adversarios. Son tus mejores talentos.
Piensa en quién usa realmente las herramientas de IA en el trabajo. No es la persona que pasa el día sin esforzarse. Es el ingeniero que está bajo presión para entregar el viernes. La analista que necesita resumir cuarenta páginas de diligencia debida para la mañana. El desarrollador que sabe que la IA puede detectar en segundos un error que a él le llevaría una hora encontrar manualmente.
Cuando prohíbes la herramienta, le estás diciendo a tu gente más productiva: "Sé más lento. Sé menos eficaz. Mira cómo tus competidores te superan, y acéptalo." Por supuesto que no cumplen. Simplemente se cambian a sus teléfonos personales. Usan puntos de acceso 4G para eludir la red corporativa. Encuentran una de las más de 317 aplicaciones de IA generativa distintas que Netskope ha rastreado en entornos empresariales — porque incluso si bloqueas OpenAI, Google y Anthropic, hay cientos de alternativas más pequeñas y menos seguras esperando.
Cuando la seguridad se percibe como un obstáculo en lugar de un facilitador, tus empleados más concienzudos se convierten en tus principales infractores de las políticas.
Empecé a llamar a esto la "Brecha del Pegado" en las conversaciones con mi equipo. Los datos salen del portátil corporativo seguro, viajan a un dispositivo personal y se pegan en un servicio de nube pública. Ningún cortafuegos los intercepta. Ningún CASB los registra. Son invisibles. Y está sucediendo ahora mismo, en cada organización que intentó resolver este problema con un memorando de política.
Las cifras son abrumadoras: un aumento del 485 % en código fuente propietario pegado en herramientas de IA. El setenta y dos por ciento del uso empresarial de IA se produce a través de cuentas personales, completamente fuera de la visibilidad de TI. Esto no es un goteo. Es una inundación, y los diques están hechos de papel.
En qué me equivoqué respecto a los niveles "empresariales" de IA
Seré honesto — cuando OpenAI lanzó ChatGPT Enterprise, pensé que podría ser suficiente. Cero retención de datos. Sin entrenamiento con datos empresariales. Cumplimiento de SOC 2. Marcaba todas las casillas.
Luego empezamos a hacer una diligencia más profunda para nuestros clientes, y aparecieron las grietas.
Incluso los acuerdos empresariales suelen incluir una breve ventana de retención de datos — a menudo de treinta días — para la supervisión de abusos. Son treinta días en los que tus indicaciones más sensibles residen en los servidores de otra persona. Y "otra persona" es una empresa con sede en EE. UU., lo que nos lleva a un problema que quita el sueño a los CISO europeos.
La CLOUD Act de EE. UU. — la Ley de Clarificación del Uso Legal de Datos en el Extranjero — permite a las fuerzas del orden estadounidenses obligar a las empresas tecnológicas estadounidenses a entregar datos almacenados en sus servidores, independientemente de dónde estén ubicados físicamente esos servidores. Si un banco alemán usa Azure OpenAI con un centro de datos en Fráncfort, los datos podrían estar "en reposo" en la UE, pero la entidad jurídica que los controla sigue estando sujeta a órdenes judiciales estadounidenses. Durante la inferencia — cuando el modelo procesa realmente tus datos — todavía puede enrutarse a través de infraestructura controlada por EE. UU.
Vi cómo una sala llena de responsables de cumplimiento palidecía mientras se lo explicaba. Habían firmado el acuerdo empresarial pensando que habían resuelto el problema de la soberanía. Ni siquiera lo habían rozado.
Escribí sobre este problema de arquitectura — y el modelo de amenaza completo — en nuestro whitepaper interactivo sobre la IA en la Sombra y los LLM privados empresariales. Nació precisamente de estas conversaciones.
La trampa del envoltorio
Por esa misma época, mi bandeja de entrada empezó a llenarse de propuestas de consultoras de IA. "¡Te construiremos una solución de IA personalizada!" La mayoría eran envoltorios — una interfaz bonita atornillada sobre la API de OpenAI, quizás con una indicación de sistema que decía "Eres un asistente legal servicial."
Asistí a una demostración en la que el proveedor mostraba con orgullo una "plataforma de IA propietaria" para el análisis de contratos. Hice una sola pregunta: "¿A dónde van los datos cuando un usuario sube un contrato?" Silencio. Luego: "Bueno, van a la API de OpenAI, pero tenemos un BAA en vigor."
Eso no es una solución. Es un intermediario que añade latencia a tu fuga de datos.
Un envoltorio no resuelve el problema de la soberanía de los datos. Solo embellece la interfaz de la salida de datos.
Los envoltorios fallan a las empresas de tres formas concretas. Primero, son trivialmente replicables — si tu "solución de IA" es una indicación más una clave de API, tu becario puede reconstruirla en una tarde. Segundo, carecen de una integración profunda con tus datos reales, y tienen dificultades con los matices de la terminología específica de la empresa, las bases de código heredadas o los controles de acceso. Tercero — y esto es lo letal — siguen enviando tus datos a través de la internet pública a un proveedor externo. El riesgo de seguridad no ha cambiado. Solo le has añadido un logotipo.
¿Qué significa realmente "ser dueño de la inteligencia"?

Hubo un momento concreto en el que nuestro enfoque en Veriprajna cristalizó. Estábamos trabajando con un cliente de un sector regulado — no puedo decir cuál, pero piensa en "el tipo de datos cuya filtración sale en las noticias de la noche." Su equipo jurídico acababa de cancelar un prometedor piloto de IA porque dependía de una API pública. El equipo de ingeniería estaba furioso. La unidad de negocio amenazaba con actuar por su cuenta y construir su propia solución con cuentas personales.
Estaba en una llamada con mi arquitecto principal, y dijo algo sencillo: "¿Por qué discutimos qué API usar? Deberíamos simplemente ejecutar el modelo nosotros mismos."
Fue entonces cuando nos comprometimos por completo con lo que ahora llamo Deep AI — desplegar modelos de lenguaje grandes de código abierto directamente dentro de la propia infraestructura del cliente. No envolver el modelo de otro. No alquilar inteligencia por token. Realmente ser dueño de ella.
Así es como se ve en la práctica. Tomas un modelo de pesos abiertos de alto rendimiento — Llama 3 de Meta, por ejemplo, donde la versión de 70B parámetros rivaliza con GPT-4 en muchos benchmarks — y lo despliegas en instancias de GPU dentro de la Nube Privada Virtual del cliente. Los pesos del modelo residen en hardware que el cliente controla. El motor de inferencia se ejecuta detrás del cortafuegos corporativo. Cuando un desarrollador le da al modelo una indicación con código propietario, ese código viaja desde su portátil a un servidor interno, se procesa en memoria y regresa. Nunca toca la internet pública. Nunca aterriza en un servidor de terceros.
Combinamos esto con lo que llamamos RAG Privado — Generación Aumentada por Recuperación construida sobre bases de datos vectoriales desplegadas dentro del mismo entorno seguro. Los documentos de la empresa se ingieren, se incrustan y se almacenan localmente. Y, algo crítico, el sistema respeta los controles de acceso existentes. Si no tienes permiso para ver un documento en SharePoint, la IA tampoco lo recuperará para responder a tu pregunta. Ese problema de "autorización plana" — donde un chatbot revela accidentalmente datos confidenciales a cualquiera que pregunte — sencillamente no existe en esta arquitectura.
¿Cómo conviertes un modelo en bruto en algo de grado empresarial?
Una de las lecciones más difíciles que aprendimos pronto: desplegar un modelo es quizás el treinta por ciento del trabajo. Hacerlo seguro para que miles de empleados lo usen a diario — ese es el otro setenta.
Los modelos de lenguaje en bruto son impredecibles. Tratarán con gusto temas que no deberían, generarán contenido que viola la política de la empresa o responderán a ingeniosas inyecciones de indicaciones diseñadas para eludir los protocolos de seguridad. Necesitas guardrails — esencialmente un cortafuegos para las indicaciones.
Implementamos NVIDIA NeMo Guardrails como una capa programable alrededor del modelo. Antes de que una indicación llegue al modelo, se escanea. Si alguien escribe un número de la Seguridad Social o un número de tarjeta de crédito, el guardrail lo intercepta. Si alguien le pregunta a un bot de RR. HH. sobre contraseñas de bases de datos, el sistema reconoce la incongruencia de intención y se niega. Si alguien intenta un ataque de jailbreak — esos trucos de "ignora todas las instrucciones anteriores" — la capa de defensa lo intercepta.
Recuerdo una prueba de penetración que realizamos en uno de nuestros primeros despliegues. Nuestro equipo rojo pasó dos días intentando extraer datos de entrenamiento o eludir las restricciones de temas. Se pusieron creativos — indicaciones anidadas de juego de roles, instrucciones codificadas, de todo. Los guardrails aguantaron. Mi arquitecto me envió una captura de pantalla del registro de intentos bloqueados a las 2 de la madrugada con un solo mensaje: "El muro es sólido." Fue una buena noche.
Para el desglose técnico completo de esta arquitectura — la pila de inferencia, la configuración de la base de datos vectorial, la implementación de los guardrails — consulta nuestro análisis técnico en profundidad sobre la seguridad de la IA empresarial.
"Pero las GPU son caras y las API son baratas"

Esta es la objeción que escucho con más frecuencia de los directores financieros, y es errónea de una forma que vale la pena desentrañar.
Sí, los precios de las API parecen baratos en la superficie — fracciones de céntimo por token. Pero las aplicaciones empresariales de RAG son voraces consumidoras de tokens. Para responder a una sola pregunta, el sistema podría recuperar diez páginas de contexto como tokens de entrada. Multiplica eso por mil empleados que hacen diez preguntas al día, y estás ante entre 1.000 y 3.000 dólares al día. Eso es potencialmente un millón de dólares al año, y escala linealmente. Si la adopción se duplica, la factura se duplica.
Los modelos autoalojados funcionan de forma diferente. Pagas por el hardware — alquiler o compra de GPU — y la electricidad. Un único nodo bien configurado puede gestionar miles de solicitudes por segundo. Hasta que saturas ese nodo, el coste marginal del siguiente token es efectivamente cero. Para una empresa de tamaño mediano que procesa mil millones de tokens al mes, hemos visto que el autoalojamiento resulta entre un 50 y un 70 por ciento más barato que los costes equivalentes de API, con la privacidad como bonificación gratuita.
Y hay costes ocultos en las API que nunca aparecen en la factura. Límites de tasa que provocan interrupciones durante los despliegues a toda la empresa. Discontinuaciones de modelos que te obligan a volver a probar cada indicación y flujo de trabajo cuando el proveedor retira una versión. Con un modelo autoalojado, nada cambia a menos que decidas actualizarlo. Obtienes estabilidad. Obtienes previsibilidad. Dejas de preocuparte por lo que el comité de precios de OpenAI decida el próximo trimestre.
A escala empresarial, el autoalojamiento no es la opción cara. Es la que no te lleva a la quiebra cuando la adopción triunfa.
¿Por qué no lo hace ya todo el mundo?
La gente me pregunta esto, y la respuesta honesta es: es difícil. No conceptualmente — la lógica es sencilla — sino operativamente. Necesitas personas que entiendan la orquestación de GPU con Kubernetes, que puedan configurar vLLM para un rendimiento óptimo, que sepan cómo construir canalizaciones de recuperación conscientes del RBAC, que puedan implementar guardrails lo bastante estrictos para prevenir el uso indebido pero lo bastante flexibles para no frustrar a los usuarios.
La mayoría de las empresas no tiene ese equipo. La mayoría de las consultoras de IA tampoco — saben cómo llamar a una API, no cómo desplegar una pila de inferencia. Esa es la brecha que cubrimos en Veriprajna. No vendemos acceso a un modelo. Construimos la capacidad de ejecutar modelos de forma independiente. Cuando nos vamos, el cliente es dueño de todo — los pesos del modelo ajustado, los índices vectoriales, la infraestructura de orquestación. Es suyo. Ese es el objetivo de todo.
La otra cosa que ralentiza la adopción es la inercia. El CISO que bloqueó ChatGPT siente que hizo algo. Admitir que la prohibición no funcionó significa admitir que el último año de aplicación de políticas fue puro teatro. Esa es una conversación difícil de tener con un consejo de administración. Pero la alternativa — fingir que el problema no existe mientras los empleados pegan código fuente en cuentas de IA personales — es peor. No es cuestión de si ocurrirá la próxima filtración a escala de Samsung. Es cuándo, y si te ocurrirá a ti.
La señal oculta en la IA en la Sombra
Esto es lo que creo que la mayoría de la gente pasa por alto sobre la epidemia de la IA en la Sombra: no es solo un problema de seguridad. Es una señal. Una señal ruidosa e inconfundible de que tu plantilla está desesperada por mejores herramientas y dispuesta a arriesgar sus empleos para conseguirlas.
El cuarenta y seis por ciento de los empleados dice que desafiaría una prohibición explícita. Eso no es rebeldía por rebeldía. Son personas que te dicen, a través de sus actos, que la IA se ha vuelto esencial para su forma de trabajar. La pregunta no es si tu organización usará IA generativa. Esa decisión ya se ha tomado — por tus empleados, sin tu permiso, en sus dispositivos personales, durante el almuerzo.
La única pregunta que queda es si vas a proporcionar una forma segura de hacer lo que ya están haciendo de forma insegura.
La IA en la Sombra es tu plantilla votando con sus pulsaciones de teclado. Han elegido la IA. Ahora eliges tú: visible y segura, o invisible y desangrando datos.
Hemos superado la era en la que "no" era una estrategia de IA aceptable. Los modelos de código abierto son lo bastante buenos. La infraestructura de despliegue es lo bastante madura. La economía funciona. Lo único que se interpone entre la mayoría de las empresas y una capacidad de IA soberana es la disposición a dejar de fingir que la prohibición funciona.
No necesitas prohibir la IA. Necesitas ser su dueño.