IA & Gobernanza Algoritmica

Shadow AI en LATAM: el 73 % de las organizaciones certificadas opera IA sin control

public

El relevamiento realizado sobre 140 organizaciones con certificación ISO 27001 activa en Argentina, Brasil, Colombia, México y Perú determinó que el 73 % de ellas tiene al menos una herramienta de IA generativa en uso operativo sin aprobación formal del área de seguridad. Los departamentos con mayor adopción no autorizada son Marketing (89 %), Recursos Humanos (71 %) y Finanzas (54 %). Las herramientas más frecuentes son ChatGPT (uso directo sin API corporativa), Copilot sin licencia gestionada, y automatizaciones con modelos de lenguaje integrados en hojas de cálculo. El 61 % de los controles del Anexo A de ISO 27001:2022 relacionados con gestión de activos y control de acceso resultaron insuficientes para detectar estas herramientas porque no contemplan activos de IA como categoría. Se identificaron 4 vectores principales de fuga de datos: prompts con datos confidenciales de clientes (42 %), carga de documentos internos a plataformas de IA públicas (38 %), uso de IA para generar código con datos sensibles embebidos (12 %) y automatizaciones que envían datos a APIs externas sin registro (8 %). El modelo de remediación desarrollado clasifica el Shadow AI en tres niveles de riesgo y propone controles compatibles con ISO 27001 e ISO 42001 sin restringir la productividad.

Evidencia en terreno

Ponencia sobre IAPonencia sobre IA
Análisis de riesgosAnálisis de riesgos
Presentación de hallazgosPresentación de hallazgos

Preguntas clave

  • ¿Qué proporción de colaboradores usa IA generativa sin autorización? — El 73 % de las organizaciones relevadas tiene uso no autorizado; en Marketing alcanza el 89 %.
  • ¿Qué vectores de fuga de datos genera el Shadow AI? — Cuatro vectores principales: prompts con datos de clientes (42 %), carga de documentos internos (38 %), código con datos sensibles (12 %), APIs externas sin registro (8 %).
  • ¿Qué controles del Anexo A fallan? — El 61 % de los controles de gestión de activos y acceso no contemplan activos de IA como categoría, lo que los vuelve ineficaces para detectar Shadow AI.

Metodologia

Marco normativo

ISO/IEC 27001:2022 (Anexo A — controles de acceso, gestión de activos y seguridad en las comunicaciones); ISO/IEC 42001:2023 (inventario de sistemas de IA y gobernanza); NIST AI RMF 1.0 (perfil de riesgo y función GOVERN); Reglamento Europeo de IA (UE 2024/1689, artículos 4 y 6).

Protocolo de investigacion

Relevamiento en 140 organizaciones certificadas ISO 27001 en 5 países de LATAM (encuesta + análisis de tráfico). Identificación y clasificación de 23 herramientas de IA en uso no autorizado por departamento. Análisis de 4 vectores de fuga de datos con cuantificación de frecuencia por tipo. Evaluación de eficacia de 57 controles del Anexo A frente a activos de IA. Desarrollo del modelo de remediación en 3 niveles de riesgo con controles específicos.

Servicios relacionados

ISO 42001 — Gestion de IAGRC Integral

¿Quieres aplicar estos hallazgos?

Agenda una evaluacion y transformamos datos en accion concreta.

Agendar evaluacion