La mitad de trabajadores usan herramientas de IA generativa en el trabajo no aprobadas por la empresa

La cantidad de trabajadores que utilizan herramientas de IA generativa en el trabajo que no han sido aprobadas por sus empresas es bastante elevado. De hecho, según un estudio de Software AG hecho público el pasado otoño, las que usan la mitad de ellos están fuera del control de las compañías.

El estudio, que refleja que ya entonces un 75% de los trabajadores utilizan la IA, señala que un 46% de los que emplean herramientas de IA que no han pasado el proceso de aprobación de las compañías en las que trabajan no dejaría de utilizarlas ni aunque les prohibiesen hacerlo.

Las aplicaciones de IA generativa que usan los trabajadores, además, no son pocas, según un informe de Harmonic sobre IA en la empresa y el equilibrio entre innovación y exposición de información. Nada menos que 254 de media, y sin contar las aplicaciones a las que se acede a través de smartphones o APIs móviles. Esta cifra es el resultado obtenido después de analizar, a lo largo del primer trimestre de 2025, alrededor de 176.000 prompts de IA y varios miles de subidas de archivos a aplicaciones de IA realizados por 8.000 usuarios de empresa.

Uno de los resultados más preocupantes que ha puesto de manifiesto este estudio es la frecuencia con que los trabajadores utilizan sus cuentas personales para interactuar con las plataformas de IA. Según las investigaciones de Harmonic, un 45,4% de las interacciones de IA que implicaban información sensible se originaron en cuentas de correo electrónico personales. De estas, nada menos que un 57,9% eran cuentas de Gmail.

Esto deja claro que hay contenido sensible enviado a través de cuentas que están fuera del control de las empresas, con lo que supone para la seguridad y protección de sus datos. Además, un 21% de estos datos sensibles que se recogieron para realizar el estudio se enviaron al plan gratuito de ChatGPT, que puede retener los prompts y utilizarlos para entrenamiento de modelos.

Esto quiere decir que mientras que las empresas creen que tienen controlado a través de políticas de seguridad el uso interno de la IA, sus empleados han dado con mecanismos para saltarse sus protecciones porque quieren contar con las ventajas que les aporta la IA sin tener en cuenta las implicaciones de seguridad de cómo acceden a ella.

Además, aunque muchas empresas tienen políticas de uso de IA generativa, pocas tienen las herramientas necesarias para poder asegurar que se cumplen. Especialmente cuando la actividad de sus trabajadores que está relacionada con la IA generativa sale de sus cuentas personales, o de extensiones para el navegador de procedencia indeterminada.

Por tanto, utilizan aplicaciones de IA generativa que no han pasado la aprobación de la empresa, con fuentes y métodos además ajenos a ella porque no tienen, ni quieren, problemas para hacerlo, independientemente de para qué la usen (hacer resúmenes, crear borradores de emails, generar contenido, etc).

Si ven que las herramientas «oficiales» a las que les da acceso su empresa son muy rígidas o se sienten aislados utilizándolas, utilizarán otras que les den más facilidades. Entre estas herramientas están, además de ChatGPT, Gemini, Claude o Perplexity. En muchos casos no lo hacen para llevar la contraria a sus empresas, sino para hacer su trabajo con agilidad.

Pero las empresas se enfrentan por ello a un problema de gobernanza cada vez más grave. Algo que se acentúa porque la mayoría de las apps que emplean no han sido evaluadas a nivel interno. Algunas incluso están conectadas a servicios cloud con políticas de retención de datos que no están claras. Otras no dejan claro si cumplen a rajatabla o no las leyes de privacidad de las distintas regiones en las que están disponibles.

Entre los datos más relevantes del estudio de Harmonic está el hecho de que un 7% de los usuarios que han participado en él accedieron a herramientas de IA desarrolladas en China, como DeepSeek. Además, un 68,3% de las subidas de información a ChatGPT fueron archivos de imagen. Queda además claro que los trabajadores suben a modelos públicos tipos de documentos comunes, como docx, pdf o xlsx; sin preocuparse demasiado si contienen o no datos de empresa.

Pero bloquear las herramientas de IA generativa por completo si no son las aprobadas por la empresa no funciona. Los trabajadores darán con un sistema para seguir utilizándolas. Por eso, las empresas tienen que centrarse en el comportamiento de sus empleados en el uso de este tipo de herramientas y en reforzar sus políticas de uso justo de la IA, en general. ?