La IA ha llegado para quedarse, y las empresas apenas están empezando a descubrir cómo aprovechar su poder para impulsar su negocio. Cada día, las empresas se apresuran a integrar la IA en innumerables flujos de trabajo: se está utilizando para resumir documentos, automatizar informes, crear análisis predictivos y ofrecer soporte con chatbots. Estos cambios están ocurriendo rápidamente y abriendo nuevas puertas para empresas grandes y pequeñas, pero estos cambios también están exponiendo potencialmente los valiosos datos propietarios de las empresas a nuevos riesgos.

Cuando las empresas hacen que su información confidencial sea accesible a la IA, no siempre está claro si esta información podría ser reutilizada o indexada por grandes modelos de lenguaje (LLM) como datos de entrenamiento. También hay numerosos ejemplos de información sensible expuesta inadvertidamente por herramientas de IA. Estas no son simplemente preocupaciones de privacidad; son riesgos de seguridad que cualquier empresa debe considerar antes de usar herramientas de IA en sus archivos almacenados.

Cómo la IA puede poner tus archivos en riesgo sin que lo sepas

La IA ha evolucionado y se ha extendido a un ritmo exponencial. Si bien la mayoría de la gente está más familiarizada con los chatbots, como ChatGPT o Claude, las grandes tecnológicas han estado integrando sistemas de IA generativa que pueden ingerir, indexar y resumir contenido en servicios de hojas de cálculo, documentos y correo electrónico. Esta integración trae capacidades poderosas, pero introduce un riesgo significativo del que pocas personas son conscientes.

Según una encuesta de seguridad de IA de 2025(ventana nueva), Microsoft Copilot —que está incrustado en herramientas como Excel, Word y SharePoint— accedió a casi 3 millones de registros sensibles por organización solo en la primera mitad del año. También descubrió que las organizaciones promediaron más de 3.000 interacciones con Copilot en las que la información empresarial sensible podría haber sido expuesta. Y un estudio de Google dijo que el 90 % de los trabajadores(ventana nueva) en la industria tecnológica utilizan IA para escribir o modificar código. Incluso si estos números están inflados, las organizaciones necesitan tener en cuenta las herramientas de IA en su modelo de amenaza.

Este es un nuevo tipo de riesgo de seguridad. Estos archivos no se compartieron externamente. De hecho, es posible que no se hayan compartido en absoluto. Pero debido a que estaban almacenados en archivos a los que Copilot podía Acceder, la información que contienen podría haber sido recopilada sin que los usuarios se dieran cuenta.

Esto puede tener serias ramificaciones. La policía en Suiza(ventana nueva) (fuente en francés) y el FBI en los EE. UU.(ventana nueva) ya han sido encontrados utilizando registros de ChatGPT como parte de sus investigaciones. Si las grandes empresas tecnológicas son un ejemplo, puedes esperar que las empresas de IA pronto reciban cientos de miles de solicitudes de datos de los gobiernos de EE. UU. y la UE, si no lo están haciendo ya.

El almacenamiento seguro de datos es increíblemente difícil cuando las herramientas de IA están tan profundamente incrustadas en las aplicaciones que usas todos los días. Los archivos almacenados en Drives empresariales se vuelven buscables, resumibles y, en última instancia, vulnerables, difuminando los conceptos de seguridad tradicionales de Acceder, permiso y supervisión.

¿Qué pasa con Google Workspace y Gemini?

Estos riesgos no se limitan a Microsoft Copilot. Google Workspace está integrando de manera similar su herramienta de IA, Gemini, directamente en Drive, Sheets y Docs.

Muchas empresas probablemente verán Google Workspace con integración de Gemini como un fuerte valor por defecto. Según el propio sitio de Google(ventana nueva): “Tus datos no son revisados por humanos ni utilizados para el entrenamiento de modelos de IA generativa fuera de tu dominio sin permiso”.

Sin embargo, las reglas que usa Google para tomar información para entrenar su sistema de IA se describen de una manera que crea una zona gris y plantea preguntas:

  • Google ahora usa chats de consumidores y cargas de archivos para entrenar a Gemini por defecto a menos que se opte por no participar.
  • Las páginas de soporte de Google Gemini(ventana nueva) advierten que la información compartida con sus aplicaciones Gemini será revisada por humanos y podría usarse como un conjunto de datos para entrenar IA.
  • En su explicador de privacidad de Gemini, Google advierte a los usuarios(ventana nueva) que no compartan información confidencial.
  • La documentación empresarial deja margen para la interpretación con frases como “sin permiso”.
  • Los proveedores de seguridad han señalado condiciones en las que los datos empresariales podrían convertirse en datos de entrenamiento, especialmente a medida que las funciones de IA se integran más estrechamente en el almacenamiento de archivos, la búsqueda y las herramientas de flujo de trabajo.

Esta falta de claridad es preocupante cuando Gemini se integra en Drive, Docs y Sheets. No es solo una cuestión de compartir archivos erróneamente, sino de cómo estos archivos se convierten inadvertidamente en parte de los flujos de trabajo de IA. ¿Cómo ingerirá, indexará, analizará y almacenará la IA las indicaciones o resultados, y seguirán esos registros bajo el control de tu organización?

Incluso un sistema bien gobernado como Google Workspace no es privado y es de código cerrado. Dichos sistemas pueden mitigar muchos riesgos, pero para las empresas que poseen datos altamente sensibles, el nivel de confianza requerido podría ser aún demasiado alto.

Cómo encontrar una IA privada para tu negocio

Cada archivo que cargas o compartes con un sistema habilitado para IA extiende tu superficie de ataque. Simplemente cargar archivos al almacenamiento en la nube podría exponer esos archivos al entrenamiento de IA, dependiendo de tu servicio y plan. Si esas cargas se retienen, indexan o son accesibles de formas de las que no eres consciente o no puedes controlar, tu valor propietario está en riesgo.

Antes de que tu empresa elija una herramienta de IA, debes preguntar si puedes garantizar que ella o su sistema de almacenamiento de archivos no retendrán ni expondrán datos críticos.

Aquí hay dos demandas concretas que debes hacer a cualquier herramienta de IA empresarial:

  • Retención de datos cero: El sistema de IA no debe registrar ni almacenar indicaciones, respuestas o cargas de archivos más allá de la sesión empresarial a menos que se requiera explícitamente, y esos registros deben estar bajo el control total de tu empresa.
  • Sin entrenamiento externo: Los datos de tu empresa (incluidos los archivos almacenados) no deben utilizarse para entrenar otros modelos fuera del dominio empresarial ni compartirse entre inquilinos.

Qué puedes hacer ahora

Antes de poder elegir las herramientas adecuadas, debes evaluar tu situación y asegurarte de que no estás exponiendo inadvertidamente datos sensibles ya:

  • Realiza una auditoría de riesgos de almacenamiento de archivos de IA: Identifica todas las unidades compartidas, carpetas de equipo y almacenamiento en la nube donde se conectan las herramientas de IA, y luego mapea qué herramientas ingieren o indexan esos archivos.
  • Define una política de gobernanza clara para la ingestión de archivos en la IA: Especifica qué herramientas de IA están aprobadas, qué tipos de archivos están permitidos, si la indexación de archivos del repositorio está desactivada, etc.
  • Exige un proveedor/solución que ofrezca IA privada con controles estrictos: Elige un asistente de IA que ofrezca “sin registros, sin entrenamiento, sin compartir” como base.
  • Monitorea y restringe la “shadow AI”, o miembros individuales de tu equipo que usan IA fuera del marco de tu equipo de seguridad, y cargas de archivos no autorizadas en herramientas de IA. Haz cumplir mediante la prevención de pérdida de datos y prácticas de gestión de identidad y Acceder, así como el registro de auditoría.
  • Elige un proveedor cuyo modelo de negocio no dependa de vender o extraer datos. Esto asegura que sus incentivos siempre se alineen con mantener tus datos seguros.

Proton ofrece la productividad de la IA sin el riesgo

Ninguna empresa quiere entregar involuntariamente su información sensible. Es por eso que las herramientas de Proton for Business se basan en un cifrado potente que te pone en control de quién puede Acceder a tu información.

Proton Drive utiliza cifrado de extremo a extremo en todos tus archivos, por lo que nadie, ni siquiera Proton, puede Acceder a ellos a menos que los compartas. Esto evita que tus archivos se expongan o se utilicen para entrenar IA. Proton Drive también te da la capacidad de proteger con contraseña los enlaces compartidos o desactivar el Acceder con un solo clic, lo que significa que conservas el control.

También construimos Lumo for Business, un asistente de IA privado que solo trabaja para ti, no al revés. Sin registros guardados y con cada chat y archivo que cargas cifrado, Lumo mantiene tus conversaciones confidenciales y tus datos totalmente bajo tu control, nunca compartidos, vendidos o robados.

En Proton, construimos todos nuestros productos con privacidad por diseño. Las empresas deberían poder almacenar archivos y usar IA con confianza, sabiendo que su información más sensible permanece protegida.

A diferencia de las grandes tecnológicas, Proton no gana dinero vendiendo tus datos. Nos apoya exclusivamente nuestra comunidad, no los anunciantes, y nuestra base en Europa, respetuosa con la privacidad, nos brinda las protecciones legales para garantizar que podamos cumplir nuestras promesas. Lo más importante, somos propiedad de la organización sin ánimo de lucro Proton Foundation, cuya única misión es promover la privacidad y la libertad.

Al usar Lumo for Business(ventana nueva), puedes disfrutar de los beneficios de un asistente de IA avanzado sin el riesgo de que tus datos sean mal utilizados.