La fuga de datos relacionada con la IA se produce cuando información sensible se comparte de forma inadvertida con servicios de IA a través de las indicaciones de los usuarios, la carga de archivos o las integraciones de API. Este es uno de los principales riesgos asociados al Shadow AI y al uso no gestionado de herramientas de IA, y afecta a organizaciones de todos los sectores.
Entre los escenarios habituales de fuga de datos se incluyen: empleados que pegan código fuente propietario en asistentes de programación con IA como GitHub Copilot o Claude; el intercambio de PII de clientes en conversaciones con chatbots para su análisis; la carga de contratos confidenciales o documentos del consejo de administración para su resumen; la introducción de previsiones financieras u objetivos de fusiones y adquisiciones en herramientas de IA; el intercambio de credenciales o claves de API en indicaciones de depuración; y la introducción de historiales médicos de pacientes en herramientas de IA para la documentación clínica.
La magnitud de la fuga de datos relacionada con la IA es considerable. Una encuesta de Cisco de 2024 reveló que el 48 % de los empleados admitió haber introducido información no pública de la empresa en herramientas de IA externas. Asimismo, el Cost of a Data Breach Report 2024 de IBM constató que las filtraciones de datos relacionadas con la IA cuestan, de media, 4,88 millones de dólares, un 10 % más que el coste medio de una filtración.
Las consecuencias regulatorias varían según el tipo de dato. Las infracciones del RGPD derivadas del procesamiento de datos con IA pueden conllevar sanciones de hasta 20 millones de euros o el 4 % de la facturación anual global. Las infracciones de la HIPAA por la introducción de datos de salud en herramientas de IA acarrean sanciones de entre 100 y 50.000 dólares por infracción. Los reguladores de servicios financieros (SEC, FCA, APRA) consideran cada vez más la fuga de datos relacionada con la IA como un riesgo material que debe divulgarse.
Las estrategias de prevención incluyen herramientas de DLP que analizan las interacciones con la IA, políticas de clasificación de datos que asignan los niveles de sensibilidad a los permisos de uso de la IA, la formación de los empleados sobre la higiene de datos ante la IA, listas de herramientas aprobadas con acuerdos de tratamiento de datos empresariales y plataformas de Workforce AI Security que proporcionan monitorización en tiempo real y aplicación en línea de las políticas de tratamiento de datos.