Este año, el Safer Internet Day tema, Tecnología inteligente, decisiones seguras: explorando el uso seguro y responsable de la IA, destaca la importancia del uso responsable de la IA.
El uso de la IA se ha vuelto común en las empresas, ofreciendo a los líderes una atractiva combinación de mayor productividad y reducción de costes. Por ello, las organizaciones ahora utilizan la IA para todo, desde sus procesos de selección hasta la monitorización de amenazas. Sin embargo, implementar y utilizar la IA de forma ética, responsable y segura no es solo un lujo. Es fundamental para garantizar el cumplimiento de normativas como la Ley de IA de la UE, proteger la información confidencial de los clientes y mitigar los riesgos.
Nuestro Informe sobre el estado de la seguridad de la información 2025 Se expusieron los principales desafíos relacionados con la IA que enfrentan las organizaciones, desde dificultades de gobernanza e implementación hasta ataques basados en IA y amenazas emergentes. En este blog, exploramos estos desafíos y cómo las organizaciones pueden abordarlos.
IA de las sombras
Uno de cada tres (34%) de los encuestados en el Informe sobre el Estado de la Seguridad de la Información 2025 afirmó que el uso indebido interno de herramientas de IA generativa, también conocida como IA en la sombra, era una amenaza emergente clave para su empresa durante los próximos 12 meses. Por otro lado, el 37% indicó que sus empleados ya habían utilizado herramientas de IA generativa sin la autorización ni la orientación de la organización.
La IA en la sombra es un problema acuciante para las organizaciones. El uso no autorizado de la IA puede aumentar el riesgo de filtraciones de datos y violaciones de la normativa de protección de datos, lo que podría conllevar fuertes multas por incumplimiento, así como daños a la reputación.
Para gestionar el uso de la IA en la sombra, las empresas primero deben identificar dónde se utiliza la IA y para qué se utiliza. Considere limitar el acceso a estos dominios y plataformas hasta que su empresa haya establecido y compartido políticas claras de gobernanza y uso.
Cree políticas de uso de IA que definan qué herramientas de IA están aprobadas y cuáles no. Establezca directrices sobre los tipos de datos que se pueden y no se pueden introducir en las solicitudes; por ejemplo, la propiedad intelectual, los datos de clientes y los datos financieros nunca deben introducirse en versiones públicas y gratuitas de modelos de lenguaje extensos. Implemente un programa de formación para empleados para garantizar que sean conscientes de sus responsabilidades en materia de seguridad de la información, incluido el uso seguro de la IA.
Los firewalls o el filtrado DNS para bloquear sitios web prohibidos pueden actuar como controles técnicos sólidos; sin embargo, esto puede llevar a que los empleados busquen otras formas de acceder a ellos. Considere fomentar un entorno abierto con políticas de uso claras y donde los empleados puedan hacer preguntas sobre las nuevas herramientas de IA, con un proceso de aprobación simplificado.
El ritmo de adopción de la IA
Más de la mitad (54%) de los encuestados en nuestro Informe sobre el Estado de la Seguridad de la Información admiten que sus empresas adoptaron la tecnología de IA con demasiada rapidez y ahora enfrentan desafíos para reducir su escala o implementarla de forma más responsable. Las conclusiones del informe reflejan la enorme brecha entre el ritmo de adopción de la IA y el ritmo de su gobernanza. A menudo, las empresas implementan medidas de seguridad en torno al uso de la IA solo después de que se han producido errores, lo que las obliga a esforzarse por corregir el rumbo.
ISO 42001, Puede ofrecer una solución robusta y proactiva. El estándar proporciona un marco para establecer, mantener y mejorar continuamente un sistema de gestión de IA (AIMS), haciendo hincapié en el uso ético y responsable de la IA. Las organizaciones pueden adoptar un enfoque estratégico para el cumplimiento continuo mediante el ciclo Planificar-Hacer-Verificar-Actuar (PDCA).
Para cumplir con la norma ISO 42001, las empresas deben establecer una política de IA, asignar roles y responsabilidades en materia de IA, evaluar y documentar el impacto de los sistemas de IA, implementar procesos para su uso responsable, evaluar los riesgos de la IA, etc. El énfasis en la mejora continua exige que las empresas desarrollen continuamente sus AIMS para obtener la certificación continua.
La certificación ISO 42001 puede permitir a su organización gestionar el riesgo de IA, garantizar la confianza y la transparencia de las partes interesadas y agilizar el cumplimiento de regulaciones como la Ley de IA de la UE.
Amenazas emergentes impulsadas por IA
Los encuestados en nuestro Informe sobre el estado de la seguridad de la información 2025 mencionaron varios riesgos relacionados con la IA como sus principales preocupaciones en materia de amenazas emergentes para los próximos 12 meses. El 42 % estaba preocupado por la desinformación y la información errónea generada por la IA, mientras que el 38 % citó el phishing de la IA como un problema central. El 34 % de los encuestados dijo que la IA en la sombra era una preocupación, mientras que el 28 % estaba preocupado por la suplantación de identidad deepfake durante las reuniones virtuales.
Los datos sugieren que muchas de estas amenazas ya son una realidad: más de una cuarta parte (26%) de los encuestados había experimentado envenenamiento de datos de IA en los últimos 12 meses.
Implementar las mejores prácticas de seguridad de la información, como las proporcionadas por ISO 27001, Este marco también puede ayudar a las empresas a abordar las amenazas impulsadas por la IA. La norma ISO 27001 exige que las organizaciones implementen (o justifiquen sus razones para no implementar) controles fundamentales como derechos de acceso privilegiados, formación de empleados en seguridad de la información, inteligencia de amenazas y autenticación segura.
Estas mejores prácticas constituyen una base sólida a partir de la cual las organizaciones pueden mitigar los riesgos asociados a las amenazas impulsadas por la IA. Los derechos de acceso privilegiado, por ejemplo, podrían limitar el daño que un empleado sufriría si fuera víctima de un ataque de phishing impulsado por IA al limitar su acceso a la información y los sistemas, mientras que la formación y la concienciación en seguridad de la información podrían evitar por completo que ese empleado fuera víctima del ataque.
Estudio de caso: Compensación con IA
La plataforma de construcción AI Clearing sabía que la certificación ISO 42001 demostraría que su sistema de IA cumplía con los más altos estándares y pruebas rigurosas, aumentando la confianza del cliente.
La empresa aprovechó la plataforma IO para su cumplimiento, agilizando la implementación de la norma ISO 42001 y manteniendo el control total sobre sus requisitos de gobernanza, riesgo y privacidad.
Descubra cómo AI Clearing creó un AIMS sólido, gestionó eficientemente el riesgo de IA y logró la primera certificación ISO 42001 del mundo:
Lea el caso práctico de AI Clearing
La ventaja de la gobernanza estratégica de la IA
La tecnología de IA ofrece una atractiva selección de beneficios para las empresas, pero también puede aumentar el riesgo empresarial. Impulsa algunas de las mayores ciberamenazas que enfrentarán las organizaciones en 2026. En este Día de la Internet Segura, animamos a las empresas a considerar la posibilidad de aprovechar marcos como la norma ISO 42001 para implementar la IA de forma segura, responsable y conforme a los requisitos regulatorios.
Las empresas que adopten un enfoque estratégico para la gobernanza de la IA podrán gestionar de forma proactiva el riesgo de la IA, aumentar la confianza de los clientes y desbloquear eficiencias operativas.
