Shadow AI en LATAM: el 73 % de las organizaciones certificadas opera IA sin control

El relevamiento realizado sobre 140 organizaciones con certificación ISO 27001 activa en Argentina, Brasil, Colombia, México y Perú determinó que el 73 % de ellas tiene al menos una herramienta de IA generativa en uso operativo sin aprobación formal del área de seguridad. Los departamentos con mayor adopción no autorizada son Marketing (89 %), Recursos Humanos (71 %) y Finanzas (54 %). Las herramientas más frecuentes son ChatGPT (uso directo sin API corporativa), Copilot sin licencia gestionada, y automatizaciones con modelos de lenguaje integrados en hojas de cálculo. El 61 % de los controles del Anexo A de ISO 27001:2022 relacionados con gestión de activos y control de acceso resultaron insuficientes para detectar estas herramientas porque no contemplan activos de IA como categoría. Se identificaron 4 vectores principales de fuga de datos: prompts con datos confidenciales de clientes (42 %), carga de documentos internos a plataformas de IA públicas (38 %), uso de IA para generar código con datos sensibles embebidos (12 %) y automatizaciones que envían datos a APIs externas sin registro (8 %). El modelo de remediación desarrollado clasifica el Shadow AI en tres niveles de riesgo y propone controles compatibles con ISO 27001 e ISO 42001 sin restringir la productividad.