Durante abriles, los líderes de seguridad han tratado la inteligencia químico como una tecnología “emergente”, poco para atender pero aún no es crítico. Un nuevo noticia de seguridad de datos de IA y SaaS de SaaS de la compañía de seguridad AI y Browser Layerx demuestra cuán anticuado se ha vuelto esa mentalidad. Acullá de una preocupación futura, la IA ya es el canal no controlado más vasto para la exfiltración de datos corporativos: Bigger que Shadow SaaS o el intercambio de archivos no administrado.
Los hallazgos, extraídos de la telemetría de navegación de la empresa del mundo auténtico, revelan una verdad contradictoria: el problema con la IA en las empresas no son las incógnitas de mañana, son los flujos de trabajo diarios de hoy. Los datos confidenciales ya fluyen a ChatGPT, Claude y Copilot a tasas asombrosas, principalmente a través de cuentas no administradas y canales invisibles de copia/pegar. Las herramientas tradicionales de DLP, construidas para entornos sancionados y basados en archivos, ni siquiera se ven en la dirección correcta.
De “emergente” a esencial en tiempo récord
En solo dos abriles, las herramientas de inteligencia químico han atrapado los niveles de prohijamiento que tomaron décadas para conquistar las reuniones de correo electrónico y en segmento para lograrlo. Casi uno de cada dos empleados empresariales (45%) ya usa herramientas de IA generativas, con ChatGPT solo alcanzando la penetración del 43%. En comparación con otras herramientas SaaS, la IA representa el 11% de toda actividad de la aplicación empresarial, rivalizando con aplicaciones de productividad de la oficina y productividad de la oficina.
El rotación? Este crecimiento explosivo no ha sido acompañado por la gobernanza. En cambio, la gran mayoría de las sesiones de IA ocurren fuera del control empresarial. El 67% del uso de IA ocurre a través de cuentas personales no administradas, dejando a CISOS ciegos a quién está usando qué y qué datos fluyen dónde.
Los datos confidenciales están en todas partes, y se mueve de la modo incorrecta
Quizás el hallazgo más sorprendente y amenazador es cuántos datos sensibles ya fluyen a las plataformas de IA: el 40% de los archivos cargados en las herramientas Genai contienen datos PII o PCI, y los empleados están utilizando cuentas personales para casi cuatro de cada diez de esas cargas.
Aún más revelador: los archivos son solo una parte del problema. El canal de fuga auténtico es copiar/pegar. El 77% de los empleados pegan datos en herramientas Genai, y el 82% de esa actividad proviene de cuentas no administradas. En promedio, los empleados realizan 14 pastas por día a través de cuentas personales, con al menos tres que contienen datos confidenciales.
Eso hace que copie/pegue en Genai el vector #1 para datos corporativos que dejan el control empresarial. No es solo un punto ciego técnico; Es cultural. Los programas de seguridad diseñados para escanear archivos adjuntos y estrechar las cargas no autorizadas se pierden por completo la amenaza de más rápido crecimiento.
El Mirage de Identidad: Corporativo ≠ Seguro
Los líderes de seguridad a menudo asumen que las cuentas “corporativas” equivalen para estabilizar el comunicación. Los datos demuestran lo contrario. Incluso cuando los empleados usan credenciales corporativas para plataformas de stop peligro como CRM y ERP, pasan por stop abrumadoramente SSO: el 71% de CRM y el 83% de los inicios de sesión ERP no son federados.
Eso hace que un inicio de sesión corporativo sea funcionalmente indistinguible de uno personal. Ya sea que un empleado firme en Salesforce con una dirección de Gmail o con una cuenta corporativa basada en contraseña, el resultado es el mismo: sin alianza, sin visibilidad, sin control.
El punto ciego de transporte instantánea
Si aceptablemente la IA es el canal de fuga de datos de más rápido crecimiento, la transporte instantánea es la más tranquila. El 87% del uso de chat empresarial ocurre a través de cuentas no administradas, y el 62% de los usuarios pegan PII/PCI en ellas. La convergencia de Shadow Ai y Shadow Chat crea un punto ciego dual donde los datos confidenciales se filtran constantemente en entornos no supervisados.
Juntos, estos hallazgos pintan una imagen marcada: los equipos de seguridad se centran en los campos de batalla equivocados. La desavenencia para la seguridad de los datos no está en servidores de archivos o SaaS sancionados. Es en el navegador, donde los empleados combinan cuentas personales y corporativas, cambian entre herramientas sancionadas y sombras, y mueven datos confidenciales con fluidez en entreambos.
Repensar la seguridad empresarial para la era de la IA
Las recomendaciones del noticia son claras y poco convencionales:
- Trate la seguridad de la IA como una categoría de empresa central, no una emergente. Las estrategias de gobernanza deben poner la IA a la par con el correo electrónico y el intercambio de archivos, con monitoreo de cargas, indicaciones y copiar/pegar flujos.
- Cambiar de DLP centrado en el archivo a la bono centrado en la bono. Los datos dejan la empresa no solo a través de las cargas de archivos, sino igualmente a través de métodos sin archivos, como copiar/pegar, chat e inyección. Las políticas deben reverberar esa sinceridad.
- Restringir cuentas no administradas y hacer cumplir la alianza en todas partes. Las cuentas personales y los inicios de sesión no federados son funcionalmente las mismas: invisibles. Restringir su uso, ya sea completamente bloqueándolos o aplicar las rigurosas políticas de control de datos con el contexto, es la única forma de restaurar la visibilidad.
- Priorizar categorías de stop peligro: AI, chat y almacenamiento de archivos. No todas las aplicaciones SaaS son iguales. Estas categorías exigen los controles más ajustados porque son de ingreso prohijamiento y ingreso sensibilidad.
El resultado final para cisos
La sorprendente verdad revelada por los datos es esta: la IA no es solo una revolución de la productividad, es un colapso de gobernanza. Las herramientas que más aman a los empleados igualmente son los menos controlados, y la brecha entre la prohijamiento y la supervisión se está ampliando todos los días.
Para los líderes de seguridad, las implicaciones son urgentes. Esperar para tratar la IA como “emergente” ya no es una opción. Ya está integrado en flujos de trabajo, ya lleva datos confidenciales, y ya sirve como vector líder para la pérdida de datos corporativos.
El perímetro empresarial ha cambiado nuevamente, esta vez al navegador. Si los CISO no se adaptan, la IA no simplemente dará forma al futuro del trabajo, dictará el futuro de las violaciones de datos.
El nuevo noticia de investigación de Layerx proporciona el zona de influencia completo de estos hallazgos, ofreciendo a CISO y equipos de seguridad visibilidad sin precedentes sobre cómo se está utilizando AI y SaaS adentro de la empresa. Basándose en la telemetría del navegador del mundo auténtico, el noticia detalla donde los datos confidenciales se filtran, qué puntos ciegos conllevan el veterano peligro, y qué pasos prácticos pueden tomar los líderes para estabilizar los flujos de trabajo impulsados por la IA. Para las organizaciones que buscan comprender su verdadera exposición y cómo defenderse, el noticia ofrece la claridad y la orientación necesarias para realizar con confianza.
