¿Qué piensa SecOps sobre la inteligencia artificial? Parte 2: Protección de datos
La IA despierta muchas emociones. Algunos piensan que es la última moda pasajera, destinada a unirse a la lista de los NFT y los televisores 3D. Otros construyen búnkeres ante la amenaza de señores malintencionados de la IA general que se vuelven autoconscientes. Entre tanto sensacionalismo, hay una realidad que puedes tener por segura: La IA está vinculada a una gran cantidad de datos.
Hay mucho revuelo en torno a la IA que genera entusiasmo, miedo o escepticismo entre los expertos, pero en F5 nos interesa saber qué piensan los profesionales al respecto. Para comprender la realidad de los desafíos y preocupaciones actuales, realizamos un análisis de sentimiento exhaustivo de la comunidad de profesionales de seguridad más grande de Internet, r/cybersecurity de Reddit. El blog de la Parte 1 de Shawn Wormke sobre este estudio, “ ¿Qué piensa SecOps sobre la IA ?”, resumió los hallazgos generales de este estudio. Todas las citas provienen directamente de los comentarios de profesionales de seguridad entre julio de 2024 y junio de 2025. Aquí, analizaremos más a fondo la principal preocupación relacionada con la IA del año: la seguridad de datos.
La seguridad de datos fue la principal preocupación relacionada con la IA en 2025, y el ataque DeepSeek de enero impulsó aún más esa tendencia.
Surgieron preocupaciones por las divulgaciones confidenciales, la inteligencia artificial oculta y el cumplimiento normativo
Muchos imaginan un panorama de amenazas de IA donde los atacantes usan esta tecnología para ejecutar ataques complejos de ingeniería social y desplegar hordas de bots inteligentes. Estas amenazas son reales, pero los profesionales de seguridad detectan un problema mucho más común, igual de dañino y mucho más extendido. En ese sentido, SecOps reporta preocupaciones sobre el uso indebido interno de la IA con una frecuencia 2,3 veces mayor que por abuso malicioso.
Esto va al núcleo del primer problema: las revelaciones sensibles. Como resumió un experto, “Seamos realistas, todos usan LLM en el trabajo y comparten todo tipo de información sensible en las indicaciones.” A medida que los modelos aumentan su ventana de contexto y se incorporan más tipos de archivos para usar con generación aumentada por recuperación (RAG), los empleados saben que la forma más rápida de obtener un resultado completo es proporcionar al LLM toda la información que pueda necesitar. Esto contradice directamente el principio del mínimo privilegio, un pilar fundamental del enfoque de confianza cero. En pocas palabras, “siempre existe tensión entre seguridad y capacidad.”
Las estrategias tradicionales para aplicar políticas ya no funcionan
La mayoría de las organizaciones aplican una política de uso aceptable (AUP) para asegurar la IA. Aunque hay diversas estrategias, conviene reconocer que los métodos tradicionales de disuasión y restricción no bastan.
Como describe un usuario, las herramientas tradicionales como los firewalls de aplicaciones web (WAF) y el filtrado de DNS solo retrasan lo inevitable: “Al bloquearlos, en realidad forzas que tus datos terminen en estos servicios gratuitos. Enfrentar las listas negras siempre será un juego de golpear al topo.” Esto destaca uno de los retos más debatidos del último año: la IA en la sombra. Cada día se lanzan nuevos modelos y cada hora actualizan las envolturas de esos modelos. Los usuarios siempre hallarán maneras de esquivar las políticas que perciben como impedimentos para cumplir sus prioridades.
Estas dos preocupaciones principales, la shadow AI y las fugas de datos sensibles, se unen para generar el peor escenario para los equipos de seguridad: una exposición masiva sin ningún tipo de visibilidad. Los usuarios pueden usar LLMs convencionales para ahorrar tiempo de lectura, posiblemente subiendo documentos confidenciales en el proceso. Pero con soluciones de shadow AI, tu equipo de SecOps puede supervisar esas interacciones e implementar diversas opciones para mitigar riesgos. Podrán centrarse en individuos específicos para futuras interacciones o restringirles recursos críticos hasta que modifiquen su conducta. Sin una solución de shadow AI, las contramedidas tradicionales como firewalls y bloqueos DNS solo trasladan a los usuarios a capas desconocidas de los mismos modelos básicos, lo que dificulta ver claramente el tipo, modo y ubicación de comportamientos arriesgados.
El cumplimiento reúne todos los riesgos de seguridad
Con el aumento de las normativas como la Ley de IA de la UE y el Reglamento General de Protección de Datos (RGPD), además de las regulaciones específicas por sector, las organizaciones que no gestionen bien los datos de IA afrontan multas severas, responsabilidades legales y pérdida de confianza pública.
Los profesionales de la seguridad han vivido con tecnologías en las que el entusiasmo y la búsqueda de paridad competitiva superaron las consideraciones de seguridad. La computación en la nube siguió un camino parecido al que hoy recorre la IA: adopción rápida y expectativas de grandes posibilidades, seguido por configuraciones erróneas masivas, accesos excesivos y fallos en el modelo de responsabilidad compartida. ¿Te resulta familiar? La diferencia principal es que la nube involucraba a un grupo mucho más reducido de actores capaces de aumentar el riesgo global. La nueva frontera en seguridad de la IA amplía el enfoque inmediato: ya no solo sospechamos de arquitectos e ingenieros de la nube, sino de cualquiera con acceso a datos personales sensibles, incluidos los propios modelos.
Los profesionales comprenden el encargo
Nunca ha existido una tecnología que no conllevara algún nivel de riesgo, ni ninguna a la que el mundo completo haya dicho: “Demasiado riesgo, detenlo ya.” Sabes que, como profesional de seguridad, te espera un camino importante y lleno de retos.
Garantizar que las interacciones de la IA con los datos cuenten con protecciones efectivas y una observación continua supone un reto, pero es imprescindible si quieres seguir el ritmo actual de adopción de la IA.
F5 ya actúa decisivamente para afrontar estos retos, y seguirá confiando en las voces de SecOps para guiar nuestras prioridades. Descubre más aquí.