De acuerdo con un estudio de 2023, elaborado por NTT Data y MIT Technology Review, la adopción de la Inteligencia Artificial (IA) en empresas latinoamericanas pasó de 58% a 71% en tres años. El incremento de su uso, pone sobre la mesa las vulnerabilidades que las herramientas con IA generativa (tecnología que crea nuevo contenido, como texto, imágenes, videos, audio y música, a partir de datos de entrada) pueden traer para las empresas que comparten datos sensibles ahí.
Cuando un usuario interactúa con herramientas como ChatGPT de OpenAI o Gemini de Google, las plataformas almacenan no solo el texto ingresado, también se quedan con diversos metadatos que pueden incluir la dirección IP, geolocalización aproximada, navegador utilizado y actividad en la aplicación. En el caso de usuarios registrados, se asocian datos como el nombre, correo electrónico y la cuenta de Google en el caso de Gemini. Pero, ¿qué pasa cuando los trabajadores de una empresa exponen datos sensibles en estas plataformas?
"La mayoría de estas herramientas, en sus versiones estándar, almacenan automáticamente todo el contenido ingresado por los usuarios para mejorar el entrenamiento de los modelos, salvo que se configuren ajustes de privacidad", explica Ignacio Munizaga, CEO de Magnet -empresa que entrega servicios directamente relacionados con las transformaciones digitales en las organizaciones-.
“La falta de control total sobre la eliminación de datos y el almacenamiento en servidores externos aumenta la preocupación, haciendo esencial que las empresas establezcan directrices claras y capaciten a sus empleados sobre el uso seguro de estas tecnologías”.
Ivonne Bueno, integrante de la mesa Legal de la Asociación Chilena de Empresas de Tecnologías de la Información (ACTI A.G.)
Esto significa que si un colaborador comparte datos sensibles de negocio, aunque no se mencionen nombres o detalles explícitos, la información puede ser utilizada para ajustar los algoritmos y, en ciertos casos, quedar expuesta a terceros durante procesos de revisión o por vulnerabilidades en la seguridad de la plataforma, dice Munizaga.
Los riesgos de compartir información confidencial
Francisco Rojas, Director Ejecutivo y Líder de Data & AI en Accenture Chile -empresa global de consultoría que ofrece servicios en tecnología-, explica que estos modelos de IA operan sobre la base del aprendizaje a partir de datos masivos. "Cualquier información ingresada puede ser retenida, procesada y, en algunos casos, utilizada para mejorar la precisión del modelo", señala.
En el caso de ChatGPT, las empresas pueden configurar sus cuentas para que los datos no sean utilizados en el entrenamiento del modelo. Sin embargo, esto no impide que las interacciones sean almacenadas temporalmente. Además, OpenAI y Google han confirmado que ciertos empleados pueden revisar conversaciones con fines de moderación, soporte técnico o investigación de incidentes de seguridad, dijo Munizaga. Por su parte, Rojas destacó cuáles son principales riesgos de compartir información sensible:
Entrenamiento involuntario con datos sensibles: Aunque las cuentas empresariales pueden excluirse del entrenamiento del modelo, los datos ingresados en versiones estándar pueden ser usados para mejorar futuras respuestas.
Acceso de terceros a la información: Los términos de uso de estas plataformas establecen que empleados de OpenAI y Google pueden analizar interacciones de los usuarios.
Vulnerabilidad ante ciberataques: Si una de estas plataformas sufre una brecha de seguridad, la información almacenada podría quedar expuesta.
Ivonne Bueno, además, advierte que la filtración de datos en plataformas de IA podría acarrear consecuencias legales y reputacionales devastadoras. "Existen normativas como el Reglamento General de Protección de Datos (GDPR) en Europa, que imponen fuertes sanciones a las empresas que no protejan adecuadamente la información de sus clientes y empleados", explica.
En términos reputacionales, una filtración de datos puede erosionar la confianza de clientes e inversionistas, impactar la imagen de marca y provocar la pérdida de contratos estratégicos. "El daño puede ser irreversible", afirmó Rojas.
Capacitación continua: La clave para prevenir riesgos
La tecnología por sí sola no puede proteger la información si los colaboradores no entienden cómo funciona. Por eso, los expertos coinciden en que la capacitación interna es la primera línea de defensa para evitar filtraciones de datos.
Para aprovechar estas herramientas de forma segura, las organizaciones deben priorizar la concienciación y la formación de sus empleados sobre los peligros de compartir información sensible en estas plataformas, comenta Bueno.
Es esencial establecer políticas claras sobre qué datos pueden ingresarse y cómo utilizar la IA de manera segura, considerando opciones como versiones internas con servidores protegidos. “Además de la documentación y las directrices, las capacitaciones prácticas y simulaciones son fundamentales para internalizar los riesgos. Finalmente, la seguridad debe integrarse en la cultura organizacional, involucrando a todos los colaboradores y no solo al equipo de TI, para maximizar los beneficios de la IA y minimizar los incidentes”, señaló.
“No basta con enviar una circular con recomendaciones”, afirma el vocero de Magnet. “Las empresas deben implementar talleres prácticos, simulaciones de uso inseguro y guías de referencia rápida que ayuden a los colaboradores a comprender cómo funcionan estas plataformas y cuáles son los riesgos reales”. Además, Rojas señaló que un programa de capacitación efectivo debe abordar tres pilares fundamentales:
Conciencia sobre el funcionamiento de la IA: Explicar que las plataformas no tienen memoria activa, pero pueden retener datos temporalmente o a través de ajustes de personalización.
Protocolos de uso seguro: Definir qué herramientas están aprobadas, qué tipo de información se puede compartir y cuáles son las consecuencias por mal uso.
Supervisión y auditoría: Implementar sistemas de Data Loss Prevention (DLP) que detecten patrones de uso indebido y controles de acceso basados en autorización.
“El monitoreo continuo es clave”, agrega Francisco Rojas. “Las empresas deben contar con herramientas que permitan identificar intentos de compartir información confidencial y aplicar ajustes en tiempo real”, insistió.
Consecuencias legales y reputacionales de no adaptarse
El impacto de una filtración no se limita a lo económico. Dependiendo del tipo de información expuesta, las consecuencias pueden ir desde demandas legales hasta la pérdida de la confianza de clientes e inversionistas.
"En el caso de datos personales, la filtración puede infringir normativas como el Reglamento General de Protección de Datos (GDPR) o las futuras leyes de protección de datos que se están discutiendo en Chile", explica Rojas.
Por su parte, Bueno agrega que, si la información expuesta pertenece a socios estratégicos, se podrían vulnerar acuerdos de confidencialidad y propiedad intelectual. También insistió en que la nueva normativa de protección de datos personales, que entrará en vigor en 2026, impondrá sanciones a las organizaciones que no cumplan con sus disposiciones.
“Estas sanciones, que podrían alcanzar las 20.000 UTM, serán aplicadas por la futura Agencia de Protección de Datos Personales y se sumarán a las posibles demandas civiles por daños y perjuicios. Además, las empresas se enfrentarán a un grave daño reputacional en caso de filtración de datos, lo que generará desconfianza entre los consumidores y podría resultar en una disminución de las ventas”.
Ivonne Bueno, integrante de la mesa Legal de la Asociación Chilena de Empresas de Tecnologías de la Información (ACTI A.G.)
Pero más allá de las consecuencias legales, la pérdida de reputación suele ser el golpe más difícil de revertir, afirmaron los especialistas. "Una vez que la confianza se rompe, es extremadamente complicado recuperarla. Y en un mercado cada vez más competitivo, esa pérdida puede costarle a una empresa su posición privilegiada", advirtió Rojas.
