La inteligencia artificial se ha integrado rápidamente en la forma en que las personas trabajan. Desde generación de texto y análisis de datos hasta automatización de tareas, las herramientas de IA se han vuelto accesibles y fáciles de usar. Frente a este escenario, la reacción de muchas organizaciones ha sido tajante: prohibir su uso para “evitar riesgos de ciberseguridad”.
El problema con este enfoque es que confunde control con prohibición. Cuando una herramienta responde a una necesidad real del negocio, bloquearla no elimina esa necesidad. Los usuarios simplemente buscan alternativas fuera de los canales oficiales. El resultado es un uso no autorizado, sin lineamientos, sin monitoreo y sin criterios claros sobre qué información puede compartirse.
Desde la perspectiva de ciberseguridad, este es uno de los peores escenarios posibles. El riesgo no desaparece, se vuelve invisible. La organización pierde visibilidad sobre qué herramientas de IA se utilizan, qué datos se procesan y dónde se almacenan. La superficie de ataque crece sin que existan mecanismos para evaluarla o controlarla.
Además, la prohibición suele generar una falsa sensación de seguridad en la alta dirección. Se asume que el problema está resuelto porque existe una política restrictiva. En la práctica, la brecha entre la política y el uso real se amplía. La ciberseguridad deja de basarse en gestión de riesgo y se convierte en un ejercicio declarativo.
En Latinoamérica, este fenómeno se ve reforzado por culturas organizacionales poco abiertas al diálogo sobre nuevas tecnologías. El temor a errores, sanciones o pérdida de control lleva a decisiones conservadoras. Sin embargo, esta postura limita la capacidad de innovación y coloca a la organización en desventaja frente a competidores que sí están aprendiendo a usar la IA de forma controlada.
Gestionar el riesgo de ciberseguridad asociado a la IA requiere un enfoque distinto. Implica aceptar que el uso de estas herramientas es inevitable y que la clave está en establecer marcos claros. Qué casos de uso están permitidos, qué tipo de información puede compartirse, qué controles deben aplicarse y quién es responsable de supervisar su cumplimiento.
Las organizaciones más maduras están optando por habilitar el uso de IA bajo esquemas de gobernanza. Definen políticas simples, ofrecen herramientas aprobadas y capacitan a sus equipos. En lugar de luchar contra el uso de IA, lo canalizan. Esto no elimina todos los riesgos, pero los hace visibles y gestionables.
Para el CISO, la discusión sobre IA es una oportunidad estratégica. No se trata solo de bloquear amenazas potenciales, sino de liderar una conversación informada sobre cómo usar la tecnología de forma segura. Cuando la ciberseguridad se posiciona como un habilitador responsable, gana relevancia y credibilidad.
Prohibir la IA no elimina el riesgo de ciberseguridad. Solo lo esconde, lo fragmenta y lo hace más difícil de controlar. En un entorno donde la tecnología avanza más rápido que las políticas, la verdadera ventaja está en gobernar, no en prohibir.
Acciones inmediatas
- Identifica si herramientas de IA ya se están utilizando de forma no oficial en tu organización.
- Define lineamientos claros sobre qué datos pueden y no pueden compartirse con herramientas de IA.
- Establece casos de uso permitidos alineados a necesidades reales del negocio.
- Ofrece alternativas aprobadas en lugar de prohibiciones generales.
- Capacita a equipos sobre riesgos y buenas prácticas en el uso de IA.
- Integra la IA dentro de tu modelo de gobernanza de ciberseguridad.
Si tu organización ha optado por prohibir la IA sin una estrategia clara de gobernanza, es momento de replantear el enfoque. Contáctanos y trabajemos en un modelo que permita gestionar el riesgo de ciberseguridad sin frenar la innovación.
