La IA llegó para quedarse, y las empresas recién están comenzando a descubrir cómo aprovechar su poder para impulsar su negocio. Todos los días, las empresas se apresuran a integrar la IA en innumerables flujos de trabajo: se utiliza para resumir documentos, automatizar informes, crear análisis predictivos y brindar soporte con chatbots. Estos cambios están ocurriendo rápidamente y abriendo nuevas puertas para empresas grandes y pequeñas, pero estos cambios también están exponiendo potencialmente los valiosos datos propietarios de las empresas a nuevos riesgos.

Cuando las empresas hacen que su información confidencial sea accesible para la IA, no siempre está claro si esta información podría ser reutilizada o indexada por grandes modelos de lenguaje (LLM) como datos de entrenamiento. También hay numerosos ejemplos de información confidencial expuesta inadvertidamente por herramientas de IA. Estas no son simplemente preocupaciones de privacidad; son riesgos de seguridad que cualquier empresa debe considerar antes de usar herramientas de IA en sus archivos almacenados.

Cómo la IA puede poner sus archivos en riesgo sin que usted lo sepa

La IA ha evolucionado y se ha extendido a un ritmo exponencial. Si bien la mayoría de las personas están más familiarizadas con los chatbots, como ChatGPT o Claude, las grandes tecnológicas han estado integrando sistemas de IA generativa que pueden ingerir, indexar y resumir contenido en servicios de hojas de cálculo, documentos y correo electrónico. Esta integración aporta capacidades poderosas, pero introduce un riesgo significativo del que pocas personas son conscientes.

Según una encuesta de seguridad de IA de 2025(nueva ventana), Microsoft Copilot, que está incrustado en herramientas como Excel, Word y SharePoint, accedió a casi 3 millones de registros confidenciales por organización solo en la primera mitad del año. También encontró que las organizaciones promediaron más de 3,000 interacciones con Copilot en las que la información comercial confidencial podría haber estado expuesta. Y un estudio de Google dijo que el 90 % de los trabajadores(nueva ventana) en la industria tecnológica usan IA para escribir o modificar código. Incluso si estos números están inflados, las organizaciones deben tener en cuenta las herramientas de IA en su modelo de amenaza.

Este es un nuevo tipo de riesgo de seguridad. Estos archivos no se compartieron externamente. De hecho, es posible que no se hayan compartido en absoluto. Pero debido a que se almacenaron en archivos a los que Copilot podía acceder, la información que contienen podría haberse recopilado sin que los usuarios se dieran cuenta.

Esto puede tener serias ramificaciones. La policía en Suiza(nueva ventana) (fuente en francés) y el FBI en los EE. UU.(nueva ventana) ya han sido encontrados utilizando registros de ChatGPT como parte de sus investigaciones. Si las empresas de grandes tecnológicas son un ejemplo, puede esperar que las empresas de IA pronto reciban cientos de miles de solicitudes de datos del gobierno de EE. UU. y la UE, si no lo están haciendo ya.

El almacenamiento seguro de datos es increíblemente difícil cuando las herramientas de IA están tan profundamente incrustadas en las aplicaciones que usa todos los días. Los archivos almacenados en drives empresariales se vuelven buscables, resumibles y, en última instancia, vulnerables, desdibujando los conceptos de seguridad tradicionales de acceso, permiso y supervisión.

¿Qué pasa con Google Workspace y Gemini?

Estos riesgos no se limitan a Microsoft Copilot. Google Workspace está integrando de manera similar su herramienta de IA, Gemini, directamente en Drive, Sheets y Docs.

Muchas empresas probablemente verán Google Workspace con la integración de Gemini como un valor por defecto fuerte. Según el propio sitio de Google(nueva ventana): “Sus datos no son revisados por humanos ni utilizados para el entrenamiento de modelos de IA generativa fuera de su dominio sin permiso”.

Sin embargo, las reglas que Google utiliza para tomar información para entrenar su sistema de IA se describen de una manera que crea una zona gris y plantea preguntas:

  • Google ahora utiliza chats de consumidores y cargas de archivos para entrenar a Gemini por defecto a menos que se opte por no hacerlo.
  • Las páginas de soporte de Google Gemini(nueva ventana) advierten que la información compartida con sus aplicaciones Gemini será revisada por humanos y podría usarse como un conjunto de datos para entrenar IA.
  • En su explicador de privacidad de Gemini, Google advierte a los usuarios(nueva ventana) que no compartan información confidencial.
  • La documentación empresarial deja espacio para la interpretación con frases como “sin permiso”.
  • Los proveedores de seguridad han señalado condiciones en las que los datos comerciales podrían convertirse en datos de entrenamiento, especialmente a medida que las funciones de IA se integran más estrechamente en el almacenamiento de archivos, la búsqueda y las herramientas de flujo de trabajo.

Esta falta de claridad es preocupante cuando Gemini está integrado en Drive, Docs y Sheets. No es solo una cuestión de compartir mal los archivos, sino de cómo estos archivos se convierten inadvertidamente en parte de los flujos de trabajo de IA. ¿Cómo ingerirá, indexará, analizará y almacenará la IA las indicaciones o los resultados, y seguirán estando esos registros bajo el control de su organización?

Incluso un sistema bien gobernado como Google Workspace no es privado y es de código cerrado. Tales sistemas pueden mitigar muchos riesgos, pero para las empresas que poseen datos altamente confidenciales, el nivel de confianza requerido podría ser aún demasiado alto.

Cómo encontrar una IA privada para su negocio

Cada archivo que carga o comparte con un sistema habilitado para IA extiende su superficie de ataque. Simplemente cargar archivos al almacenamiento en la nube podría exponer esos archivos al entrenamiento de IA, dependiendo de su servicio y plan. Si esas cargas se retienen, indexan o son accesibles de maneras que usted no conoce o no puede controlar, su valor propietario está en riesgo.

Antes de que su empresa elija una herramienta de IA, debe preguntar si puede garantizar que ella o su sistema de almacenamiento de archivos no retendrán ni expondrán datos críticos.

Aquí hay dos demandas concretas que debe hacer a cualquier herramienta de IA empresarial:

  • Retención de datos cero: El sistema de IA no debe registrar ni almacenar indicaciones, respuestas o cargas de archivos más allá de la sesión comercial a menos que se requiera explícitamente, y esos registros deben estar bajo el control total de su empresa.
  • Sin entrenamiento externo: Los datos de su empresa (incluidos los archivos almacenados) no deben utilizarse para entrenar otros modelos fuera del dominio empresarial ni compartirse entre inquilinos.

Lo que puede hacer ahora

Antes de poder elegir las herramientas adecuadas, debe evaluar su situación y asegurarse de no estar exponiendo inadvertidamente datos confidenciales ya:

  • Realice una auditoría de riesgos de almacenamiento de archivos de IA: Identifique todos los drives compartidos, carpetas de equipo y almacenamiento en la nube donde se conectan las herramientas de IA, y luego mapee qué herramientas ingieren o indexan esos archivos.
  • Defina una política de gobernanza clara para la ingestión de archivos en la IA: Especifique qué herramientas de IA están aprobadas, qué tipos de archivos están permitidos, si la indexación de archivos del repositorio está desactivada, etc.
  • Exija un proveedor/solución que ofrezca IA privada con controles estrictos: Elija un asistente de IA que ofrezca “sin registros, sin entrenamiento, sin compartir” como base.
  • Monitoree y restrinja la “IA en la sombra”, o miembros individuales de su equipo que usan IA fuera del marco de su equipo de seguridad, y las cargas de archivos no autorizadas en herramientas de IA. Hágalo cumplir a través de la prevención de pérdida de datos y las prácticas de gestión de identidad y acceso, así como el registro de auditoría.
  • Elija un proveedor cuyo modelo de negocio no dependa de vender o extraer datos. Esto asegura que sus incentivos siempre se alineen con mantener sus datos seguros.

Proton ofrece la productividad de la IA sin el riesgo

Ninguna empresa quiere entregar involuntariamente su información confidencial. Es por eso que las herramientas de Proton for Business se basan en un cifrado potente que le pone en control de quién puede acceder a su información.

Proton Drive utiliza cifrado de extremo a extremo en todos sus archivos, por lo que nadie, ni siquiera Proton, puede acceder a ellos a menos que los comparta. Esto evita que sus archivos sean expuestos o utilizados para entrenar IA. Proton Drive también le da la capacidad de proteger con contraseña los enlaces para compartir o desactivar el acceso con un solo clic, lo que significa que conserva el control.

También creamos Lumo for Business, un asistente de IA privado que solo trabaja para usted, no al revés. Sin registros guardados y cada chat y archivo que carga cifrado, Lumo mantiene sus conversaciones confidenciales y sus datos totalmente bajo su control, nunca compartidos, vendidos o robados.

En Proton, creamos todos nuestros productos con privacidad por diseño. Las empresas deberían poder almacenar archivos y usar IA con confianza, sabiendo que su información más confidencial permanece protegida.

A diferencia de las grandes tecnológicas, Proton no gana dinero vendiendo sus datos. Nos apoya exclusivamente nuestra comunidad, no los anunciantes, y nuestra base en Europa, amigable con la privacidad, nos da las protecciones legales para asegurar que podamos cumplir con nuestras promesas. Lo más importante, somos propiedad de la organización sin fines de lucro Proton Foundation, cuya única misión es promover la privacidad y la libertad.

Al usar Lumo for Business(nueva ventana), puede disfrutar de los beneficios de un asistente de IA avanzado sin el riesgo de que sus datos sean mal utilizados.