Research

El coste real de la IA en la sombra en 2026

Los CISO europeos subestiman el volumen de IA en la sombra entre 4 y 6 veces. Esto es lo que dicen los datos y los tres indicadores que debe medir este trimestre.

ZTZeuslock Team··7 min
Panel oscuro de sala de control mostrando una flota de herramientas de IA generativa no sancionadas accedidas desde navegadores corporativos, con indicadores crecientes de tasa de impacto sobre datos sensibles.

El número que los CISO siguen calculando mal

Pregunte a un responsable de seguridad de una empresa europea de 2.000 empleados cuántas herramientas distintas de IA generativa utiliza su plantilla en una semana cualquiera. La respuesta habitual está entre cinco y ocho. La realidad, en cuanto se instrumenta de verdad el parque de navegadores, se acerca más a treinta. Lo vemos en finanzas, en grupos industriales, en empresas de software, en bancos regionales. La diferencia es constante: los CISO subestiman el volumen de IA en la sombra por un factor de cuatro a seis.

No es un error de redondeo. Es la diferencia entre un riesgo que usted ha modelado y un riesgo que se acumula silenciosamente cada trimestre mientras su comité de gobernanza aprueba el único conjunto de licencias sancionadas de ChatGPT Enterprise.

Qué cuesta realmente la IA en la sombra en 2026

El coste no es teórico. Existe un historial público modesto pero creciente de incidentes que siguen siempre el mismo patrón: un empleado pega algo que no debería en un modelo que no controla, y el dato sale de la organización.

  • Samsung Semiconductor, 2023: tres incidentes distintos en unos veinte días, con ingenieros pegando código fuente propietario y notas internas de reunión en ChatGPT. Samsung respondió prohibiendo sin más la IA generativa de consumo en los equipos corporativos.
  • Amazon, comienzos de 2023: la asesoría jurídica interna advirtió a los empleados que no compartieran información confidencial con ChatGPT tras observar salidas del modelo que se parecían a datos internos de Amazon.
  • Microsoft, 2023 y 2024: avisos internos repetidos que restringían el uso por parte de los empleados de IA generativa de terceros para trabajos confidenciales.

Estos son los incidentes que se hicieron públicos. Los que no salen a la luz se parecen más a un analista junior pegando un borrador de modelo de resultados en un chatbot gratuito un domingo por la tarde, o a una generalista de RR. HH. usando un asistente de traducción para pulir una carta de despido que contiene todos los identificadores del trabajador.

El informe IBM Cost of a Data Breach sitúa el coste medio mundial de una brecha en 4,45 M$. Citamos esa cifra deliberadamente una única vez, porque la conversación útil no es sobre la media, sino sobre lo que usted no llega ni a ver.

La cuestión DeepSeek

Si necesita un ejemplo canónico de "qué podría salir mal" para su próximo comité de riesgos, use DeepSeek. Modelo de alta calidad, gratuito, controlado desde China, con unas condiciones que contemplan explícitamente el uso de las entradas para reentrenamiento e infraestructura que no está sujeta a la jurisdicción europea en ningún sentido relevante.

Cada prompt enviado a un modelo no controlado es una contribución gratuita al corpus de entrenamiento de otro. A veces ese otro es un competidor. A veces es un servicio de inteligencia extranjero. Usted no elige cuál.

El asunto no es que DeepSeek sea singularmente malo. El asunto es que el empleado típico de una mediana o gran empresa europea no distingue entre DeepSeek, ChatGPT, Claude, Gemini, Mistral, Perplexity, Poe y You.com cuando necesita una respuesta en los próximos noventa segundos. Usa lo que carga más rápido en el portátil corporativo. Su trabajo consiste en tomar esa decisión por él, en la red y en el endpoint, antes de que pegue nada.

Los tres indicadores que debe medir este trimestre

No se gobierna lo que no se cuenta. Hay tres números que recomendamos a todo equipo de seguridad europeo empezar a seguir ya. Ninguno requiere un ciclo de compras. Todos le sorprenderán.

1. Inventario de herramientas sancionadas frente a no sancionadas

Lance un descubrimiento honesto a partir de la telemetría del navegador, los logs DNS y las señales del endpoint. La salida objetivo es una lista de dos columnas: herramientas con contrato, herramientas sin contrato. Casi nunca vemos esta lista volver con menos de treinta destinos de IA distintos en una organización de más de 1.000 personas. La cola larga incluye asistentes de código en el navegador, resumidores de nicho, herramientas de PDF asistidas por IA, copilotos para reclutamiento y al menos un modelo del que nadie en seguridad había oído hablar.

2. Prompts diarios por ETC de trabajador del conocimiento

La mediana, en los despliegues que observamos, ronda los veintidós prompts por trabajador del conocimiento y día. Esa cifra es casi inútil aislada, porque la varianza por departamento es enorme. Ingeniería y producto se van por encima de sesenta. Finanzas, pese a infrarreportarse de forma sistemática en encuestas, se sitúa cómodamente por encima de la mediana cuando se mide de verdad. Legal y RR. HH. son más bajos en volumen pero más pesados en sensibilidad por prompt. Ventas redacta sobre todo, con riesgo limitado. Siga la distribución por departamento, no la media global.

3. Tasa de impacto sobre datos sensibles

De cada cien prompts que salen de la organización, ¿cuántos disparan al menos uno de sus detectores de datos sensibles — credenciales, claves de API, IBAN, datos personales, código fuente con secretos embebidos, identificadores de cliente? En despliegues reales de Zeuslock en medianas y grandes empresas europeas, la tasa típica está entre el seis y el nueve por ciento. Si procesa treinta mil prompts al día en una organización de 2.000 personas, eso son entre 1.800 y 2.700 prompts sensibles al día. Cada día.

De dónde proceden realmente las fugas

Tres departamentos protagonizan la mayor parte de las fugas, y no son los que más preocupan al CISO medio.

Finanzas — el líder infradeclarado

Los equipos financieros son discretamente los mayores usuarios de IA en muchas empresas europeas, porque las conciliaciones en Excel, el reporting narrativo, la redacción de board packs, los comentarios de FX y el análisis de desviaciones son exactamente lo que los LLM saben hacer bien. También manejan los datos con el peor radio de impacto: tablas de capitalización, modelos de M&A, borradores de resultados, ingresos a nivel de cliente, contratos con proveedores. Las encuestas infradeclaran sistemáticamente el uso de IA en finanzas porque ese trabajo es privado por defecto. La telemetría no miente.

RR. HH. — la fábrica de datos personales

RR. HH. presenta la mayor densidad de datos personales por prompt de toda la organización. Cartas de despido, planes de mejora, expedientes disciplinarios, gestiones de extranjería, excepciones de nómina — todo ello suele contener nombres completos, direcciones, identificadores nacionales (DNI o NIE en España, NIR en Francia, Steuer-ID en Alemania), bandas salariales y, a veces, contexto médico. Un solo pegado descuidado en un chatbot de consumo y se prepara una conversación con la AEPD, la CNIL o el BfDI.

Desarrolladores — código y secretos

Los ingenieros pegan código. Es su trabajo. Lo que también pegan, con frecuencia sin darse cuenta, es el fichero .env, la cadena de conexión, la clave AWS AKIA, el token OpenAI sk-, el token GitHub ghp_, el JWT que estaban depurando, el SQL con datos reales de clientes en la cláusula WHERE. Herramientas como Claude Code, Cursor, Copilot CLI y Aider han hecho esto más rápido y más invisible, no menos. La fuga de código más secretos es la que acaba en una corrida de entrenamiento de un modelo público y la más difícil de recuperar.

Por qué se produce la subestimación de 4 a 6×

Tres razones estructurales, ninguna achacable a la pereza del CISO.

  • Sesgo de autodeclaración. Las encuestas internas de uso de IA las responden personas que saben que el uso de IA está vagamente mal visto. Redondean a la baja.
  • Visión de túnel sobre lo sancionado. Una vez que tiene ChatGPT Enterprise o Copilot para Microsoft 365, la atención de la gobernanza se concentra ahí, y la cola larga de herramientas gratuitas se vuelve invisible.
  • El navegador como sistema operativo. La mayor parte del uso de IA en la sombra ocurre hoy enteramente dentro de la pestaña del navegador. Los DLP de red diseñados para subidas de ficheros no ven un pegado en un área de texto.

La opinión sin medias tintas

La mayoría de organizaciones de seguridad europeas siguen tratando la IA generativa como una cuestión de compras — con qué proveedor estandarizamos, qué DPA firmamos. Necesario, pero claramente insuficiente. La exposición real es conductual, está distribuida por toda la plantilla y se mide en pegados por día, no en licencias por año. Hasta que no instrumente el pegado, está gobernando un modelo que no es suyo.

Qué medir este trimestre — checklist

  1. Construir un inventario de herramientas: todos los destinos de IA tocados por un navegador o equipo corporativo en los últimos 30 días, columna sancionados frente a columna no sancionados.
  2. Medir el volumen diario de prompts por ETC de trabajador del conocimiento, desglosado por departamento. Espere una mediana en torno a 22 y una cola larga por encima de 60.
  3. Pasar una detección de datos sensibles sobre los prompts salientes durante dos semanas. Reportar la tasa en porcentaje y el volumen absoluto diario.
  4. Identificar los tres departamentos que más fugan, por tasa y no por plantilla. Apueste a que finanzas, RR. HH. e ingeniería ocupan el top 3.
  5. Seleccionar las cinco herramientas no sancionadas con más volumen. Para cada una, decidir: sancionar, bloquear o supervisar con anonimización. Documentar la decisión.
  6. Fijar una revisión a 90 días con los mismos cinco indicadores. La tendencia importa más que los niveles absolutos.
  7. Informar al comité de auditoría sobre la tendencia, no sobre la media. La cifra de IBM sirve de contexto. Su tasa de detección es la verdad operativa.

Para empezar por el lado de detección, Zeuslock incorpora más de treinta patrones de datos sensibles listos para usar y un despliegue progresivo Monitor → Anonimizar → Bloquear que permite medir primero y aplicar después. Consulte la guía de políticas de detección para el recorrido del operador.

Protect your data from AI leaks

Try Zeuslock free — DLP for ChatGPT, Claude, Gemini and more.

Book a demo →