Actualizado el 07/07/2026

icon Facebook icon Twiiter icon RSS icon EMAIL
  1. Portada
  2. >
  3. Noticias
  4. >
  5. La IA personal de los trabajadores supone un riesgo para las empresas

La IA personal de los trabajadores supone un riesgo para las empresas

Escrito por Guillem Alsina el 30/06/2026 a las 08:16:11
232

De un tiempo hacia aquí, una parte importante de las ciberamenazas que sufren las organizaciones llega desde dentro de las mismas, y no de fuera como es habitual (pese a que la existencia de ciberdelitos desde las propias organizaciones por parte, por ejemplo, de trabajadores despechados, no es, ni mucho menos, nueva), a raíz de la adopción de herramientas de inteligencia artificial por parte de los trabajadores.


Acciones aparentemente inocuas como redactar un supuesto de gestión de personal en una cuenta gratuita de ChatGPT, o volcar una hoja de cálculo en un sistema de IA para ordenar datos con mayor rapidez, se han convertido en una vía de exposición de datos sensibles.


Un análisis difundido recientemente por la firma Harmonic Security, y del que se hace eco HRReporter, cuantifica el alcance del fenómeno tras examinar más de 1,9 millones de minutos de sesión clasificados en herramientas como ChatGPT, Claude, Google Gemini y Microsoft Copilot.


Desde Harmonic concluyeron que el 64,5% de la actividad registrada en cuentas personales y gratuitas corresponde a usos profesionales y no privados, más del 70% de los empleados recurre a estas aplicaciones cada semana, y hasta un tercio lo hace sin ningún tipo de supervisión por parte de los departamentos de tecnología de sus respectivas organizaciones.


Una experta citada por HRReporter advierte que estos hábitos cotidianos generan exposiciones de datos que se acumulan de maneras que la mayoría de las empresas no ha llegado a prever. A su parecer, el avance acelerado de las capacidades de la inteligencia artificial reduce el margen del que disponen las organizaciones para anticiparse al problema, y sostiene que el patrón ya resulta visible en su propio entorno laboral.


Según relata, buena parte de las conversaciones con los empleados parten de guiones sugeridos por ChatGPT y, para obtener esas respuestas, los trabajadores introducen sus situaciones concretas, lo que implica volcar información personal, escenarios e incluso nombres de las personas implicadas directamente en cuentas no autorizadas y, en ocasiones, gratuitas.


Dicha experta subraya que el peligro no es hipotético, y que los datos introducidos en estas herramientas quedan almacenados por las plataformas y pasan a formar parte de un ecosistema de información mucho más amplio. También aprovecha para recordar que esta información es transportada por los proveedores y que los ataques informáticos y las brechas de privacidad se producen de manera habitual.


Y, el principal riesgo de esos datos volcados en los chatbots de IA, es cuando se cruzan, ya que un nombre, una empresa, una ciudad o un detalle personal compartido de pasada son, por separado, inocuos, pero combinados abren la puerta a ofensivas de mayor sofisticación. Cuando un mismo actor fraudulento reúne varios de esos puntos y logra asociarlos a una persona concreta, queda en disposición de emprender ataques más activos, incluida la usurpación de identidad.


A este escenario se le suma la aparición de modelos de inteligencia artificial más potentes. Para los profesionales de los recursos humanos que gestionan sistemas de nóminas, historiales médicos de los trabajadores, y datos del personal de la organización, que son de carácter sensible, una capacidad de ese tipo constituye una amenaza directa para la integridad de su infraestructura de información.


Este nuevo reto que constituye el uso de IA por parte de los trabajadores sin la debida autorización ni, por lo tanto, control por parte de la empresa (shadow AI), trasciende la seguridad informática entendida en su sentido tradicional.


Se trata también de una cuestión de gobierno del dato y, en concreto, de determinar si la información de los empleados recabada con una finalidad concreta, se está empleando, compartiendo o exponiendo con otra distinta. Y es que los datos reunidos para un fin determinado no deberían destinarse a otros propósitos sin el consentimiento de los afectados.