El mayor riesgo de seguridad al adoptar IA en una pyme no suele ser un ataque externo: es el shadow AI (empleados usando herramientas gratuitas con datos de clientes), los accesos sin control y la dependencia de proveedores. Cerrar estos tres frentes es la condición previa a cualquier automatización.

Si diriges una pyme y crees que la IA todavía no ha entrado en tu empresa, probablemente te equivocas. Ya ha entrado. Sin plan, sin permiso y sin control: alguien de tu equipo ha pegado el email de un cliente en una herramienta gratuita para redactar la respuesta más rápido. Lo ha hecho con buena intención — y ha sacado datos de tu empresa sin que nadie se entere.

Este artículo repasa los tres frentes que una pyme debe revisar antes de (y mientras) adopta IA: el shadow AI, la gestión de accesos y la dependencia de proveedores. Al final tienes un checklist accionable para empezar hoy mismo.

Un apunte de método antes de entrar: en Agéntica la seguridad no es un extra que se añade al final, sino el filtro que decide qué se automatiza y qué no. Por eso el diagnóstico de ciberseguridad dentro de Agéntica 360 se hace antes de proponer una sola automatización, no después.

Tu equipo ya usa IA (aunque tú no lo sepas): qué es el shadow AI y por qué es tu primer riesgo

Shadow AI es el uso de herramientas de inteligencia artificial por parte de los empleados sin la aprobación ni la supervisión de la empresa. Es la versión moderna del shadow IT de siempre, con un agravante: lo que sale de la empresa no son archivos, son conversaciones enteras con contexto de negocio dentro.

Ocurre por una razón muy humana: las herramientas gratuitas de IA son útiles, inmediatas y resuelven trabajo real. Si la empresa no ofrece una alternativa aprobada ni ha dicho qué se puede y qué no se puede hacer, el equipo decide por su cuenta. Y decide bien para su productividad, pero mal para tu seguridad.

El problema del shadow AI no es la IA: es la invisibilidad. No puedes proteger lo que no sabes que existe. Con cuentas personales no hay registro de qué se ha compartido, ni con qué proveedor, ni bajo qué condiciones. Y muchas herramientas gratuitas se reservan en sus condiciones de uso el derecho a utilizar las conversaciones para mejorar sus modelos — algo que casi nadie lee antes de pegar el texto.

Prohibir no funciona. Si vetas la IA sin ofrecer alternativa, el uso no desaparece: se esconde. La respuesta eficaz es la contraria — dar herramientas aprobadas con garantías y una política de uso clara que diga qué datos no salen nunca.

Datos de clientes en herramientas gratuitas: el escenario que quita el sueño (con razón)

Imagina el caso típico: un administrativo pega en un chatbot gratuito la nómina de un empleado para que le calcule una simulación, o el contrato de un cliente para que se lo resuma. En ese momento, datos personales — a veces especialmente sensibles — han sido tratados por un tercero con el que tu empresa no tiene ningún contrato.

Y aquí el RGPD es muy claro: tu empresa es la responsable del tratamiento de los datos de sus clientes y empleados. Si un proveedor los procesa por ti, necesitas una base legal para ese tratamiento y un contrato de encargo (el famoso DPA) con ese proveedor. Las cuentas gratuitas de consumo, en general, no ofrecen nada de eso.

Las sanciones máximas del RGPD llegan hasta los 20 millones de euros o el 4 % de la facturación anual global, la cifra que sea mayor. Aunque a una pyme no se le aplique el máximo, el riesgo no es teórico — y al coste económico se suma el reputacional: explicarle a un cliente que sus datos acabaron en una herramienta gratuita es una conversación que nadie quiere tener.

La capa legal completa (qué exige el RGPD al usar IA, a quién aplica NIS2 y qué pedirle por contrato a un proveedor) la tratamos en detalle en nuestra guía sobre RGPD, NIS2 e IA para pymes. La regla práctica inmediata: datos identificables de clientes, solo en herramientas de empresa con garantías contractuales — o anonimizados antes de entrar.

Accesos: quién puede ver qué, y por qué la respuesta suele ser «demasiada gente»

En nuestra experiencia, la foto de accesos de una pyme típica se parece a esto: contraseñas compartidas por WhatsApp o en un Excel, algún exempleado que aún tiene cuentas activas, y la mitad del equipo con permisos de administrador «porque era más cómodo». Sin IA de por medio, esto ya es un problema. Con IA, se multiplica.

El motivo: cuando conectas una IA a tus sistemas — correo, CRM, carpetas compartidas —, esa IA hereda los accesos que le des. Un agente conectado con permisos de administrador a todo es un punto único de fallo: cualquier error, abuso o compromiso de esa integración expone todo lo que la integración puede ver.

Tres prácticas resuelven la mayor parte del problema:

Llamada gratuita

¿No sabes por dónde empezar a ordenar accesos, herramientas y datos antes de meter IA? Reserva una llamada gratuita de 30 minutos →

Dependencias: qué pasa si tu proveedor de IA cambia el precio, la API o desaparece

El mercado de la IA se mueve rápido: proveedores que suben precios, APIs que cambian de un mes a otro, startups que cierran o son compradas. Si has construido un proceso crítico de tu negocio sobre una de esas piezas sin plan B, el riesgo no es solo técnico — es operativo.

Antes de apoyar un proceso importante en un proveedor de IA, responde a estas preguntas:

La defensa no es evitar proveedores — es diseñar con reversibilidad: contratos revisados, datos exportables, flujos documentados y ninguna dependencia crítica sin alternativa identificada.

Riesgos humanos: formación, políticas de uso y el phishing potenciado por IA

La mayoría de los incidentes de seguridad que vemos en pymes no empiezan con un ataque sofisticado: empiezan con un clic. Y la IA también juega en el equipo contrario — los correos de phishing ya no llegan con faltas de ortografía y saludos genéricos; llegan impecables, personalizados y en un castellano perfecto. Incluso la voz de un directivo puede clonarse para una llamada convincente.

Contra esto, tres medidas de bajo coste y alto impacto:

Checklist mínimo de ciberseguridad antes de conectar una IA a tus datos

Si solo puedes hacer una cosa esta semana, haz esta lista. Está ordenada: cada punto prepara el siguiente.

  1. Inventaría las herramientas de IA en uso — oficiales y no oficiales. Pregunta al equipo sin buscar culpables: necesitas la foto real.
  2. Publica una política de uso de IA de una página: herramientas aprobadas, datos prohibidos, canal de dudas.
  3. Sustituye cuentas personales por cuentas de empresa en las herramientas de IA que se queden, con garantías contractuales (DPA) y opciones de no entrenamiento con tus datos.
  4. Clasifica tus datos: qué es público, qué es interno y qué es sensible (clientes, nóminas, salud, contratos). Lo sensible no entra en ninguna IA sin garantías.
  5. Activa la autenticación multifactor en correo, CRM, banca y cualquier sistema con datos de clientes.
  6. Revisa los accesos con principio de mínimo privilegio: personas e integraciones, permiso a permiso.
  7. Define el protocolo de baja: quién revoca qué accesos, el mismo día, con lista cerrada de sistemas.
  8. Revisa los contratos de proveedores de IA: DPA firmado, ubicación de datos, subencargados y exportabilidad.
  9. Comprueba tus copias de seguridad restaurando de verdad un archivo — una copia que nunca se ha probado no es una copia, es una esperanza.
  10. Establece el protocolo de verificación de pagos por segundo canal y cuéntaselo a todo el que toque dinero.

¿Cuánto de esto necesita presupuesto? Casi nada. Ocho de los diez puntos son organización y criterio, no tecnología. Lo caro no es asegurar la empresa: es no hacerlo y descubrirlo tarde.

«Si no es seguro, no se propone»: cómo integramos la seguridad en el diagnóstico

Esta es la regla interna con la que trabajamos en Agéntica, y resume todo lo anterior: ninguna automatización llega al roadmap de un cliente si expone datos, depende de accesos descontrolados o crea una dependencia crítica sin alternativa.

En la práctica funciona así: durante Agéntica 360 auditamos los procesos de las cuatro áreas del negocio (marketing, ventas, delivery y administración), evaluamos la ciberseguridad — herramientas en uso, accesos, datos sensibles, proveedores — y detectamos las oportunidades de IA. Cada oportunidad se prioriza por impacto y por riesgo. Las que no superan el filtro de seguridad se descartan o se condicionan a cerrar antes el hueco que las hace peligrosas.

El resultado, en 10–15 días, es un roadmap donde cada propuesta ya viene con la seguridad resuelta de serie — no parcheada después, cuando cambiar las cosas cuesta el triple.

Preguntas frecuentes sobre ciberseguridad e IA en pymes

¿Cómo sé si en mi empresa ya hay shadow AI?
Asume que sí y compruébalo sin buscar culpables: pregunta al equipo qué herramientas de IA usa y para qué, revisa las aplicaciones conectadas al correo corporativo y las extensiones instaladas en los navegadores. El objetivo es aflorar el uso real para canalizarlo hacia herramientas aprobadas, no castigarlo — si castigas, el uso continúa pero se esconde.
¿Es ilegal usar ChatGPT u otras herramientas de IA con datos de clientes?
Usar IA no es ilegal. El problema es introducir datos personales de clientes en herramientas sin garantías: el RGPD exige una base legal para el tratamiento y un contrato de encargo (DPA) con el proveedor, algo que las cuentas gratuitas de consumo normalmente no ofrecen. La solución práctica: versiones de empresa con garantías contractuales o anonimizar los datos antes de usarlos.
¿Por dónde empiezo si quiero adoptar IA con seguridad en mi pyme?
En este orden: inventario de herramientas de IA en uso (oficiales y no oficiales), política de uso de una página comunicada a todo el equipo, y revisión de accesos con principio de mínimo privilegio. Solo después tiene sentido evaluar qué procesos automatizar. Un diagnóstico como Agéntica 360 cubre exactamente ese recorrido en 10–15 días: procesos, oportunidades de IA y evaluación de ciberseguridad con roadmap priorizado.

Pide tu Agéntica 360: diagnóstico de procesos, IA y ciberseguridad en 15 días

La evaluación de ciberseguridad va incluida en Agéntica 360: auditamos tus procesos, revisamos accesos, herramientas y dependencias, y te entregamos un roadmap priorizado por impacto y riesgo. Si algo no es seguro, no se propone.

Pedir mi Agéntica 360 →

Desde 2.900 € · Limitado a 3 empresas al mes · Respuesta en 48h · Ver qué incluye