El 64% de los empleados utiliza herramientas de IA no autorizadas en el trabajo
El uso de herramientas de inteligencia artificial no autorizadas y los hábitos inseguros de los empleados están incrementando el riesgo de ciberseguridad en las empresas, especialmente en las pymes. Así lo revela el ’Informe sobre Higiene de Ciberseguridad 2026’ de WatchGuard Technologies, que advierte de una creciente falta de visibilidad sobre el comportamiento de los usuarios y del auge de la denominada ‘shadow AI’.
La investigación, realizada entre 684 empleados de pequeñas y medianas empresas de ocho países, pone de manifiesto que el 64% de los trabajadores reconoce utilizar herramientas de inteligencia artificial no autorizadas para realizar tareas laborales. Según WatchGuard, esta práctica está impulsando el fenómeno de la shadow AI, es decir, el uso de aplicaciones de IA fuera del control de los departamentos de TI, lo que dificulta la gestión de riesgos y la protección de la información corporativa.
El informe también revela importantes carencias en la gobernanza de estas tecnologías. Menos del 30% de los encuestados considera que su organización mantiene un inventario preciso del software que utilizan los empleados, mientras que cerca del 40% afirma que su empresa carece de una visibilidad completa sobre las aplicaciones empleadas en el entorno laboral.
“Las organizaciones están invirtiendo en herramientas de seguridad, pero muchas siguen sin tener visibilidad sobre cómo trabajan realmente sus empleados”, explica Marc Laliberte, director de Operaciones de Seguridad de WatchGuard Technologies. “Los comportamientos cotidianos, desde el uso de la IA hasta las prácticas relacionadas con las contraseñas, generan riesgos para los que los controles tradicionales no están diseñados”.
Contraseñas reutilizadas, Wi-Fi públicas y dispositivos corporativos para uso personal
Más allá de la shadow AI, el estudio identifica una serie de prácticas habituales que incrementan la exposición de las organizaciones a los ciberataques. El 76% de los empleados admite reutilizar contraseñas en distintas cuentas, una práctica que facilita la toma de control de múltiples servicios cuando una credencial resulta comprometida. Además, el 30% reconoce compartir sus contraseñas con otras personas.
La conectividad también constituye un importante factor de riesgo. El informe señala que el 70% utiliza redes Wi-Fi públicas para trabajar, mientras que uno de cada dos empleados accede a recursos corporativos sin utilizar una VPN, aumentando la exposición frente a ataques de interceptación de datos, robo de credenciales o accesos no autorizados.
Asimismo, el 55% de los trabajadores emplea dispositivos corporativos para actividades personales, una práctica que incrementa el riesgo de infecciones por malware, ataques de phishing y acceso a aplicaciones o sitios web que pueden eludir las políticas de seguridad de la organización.
Los MSP, aliados para mejorar la higiene de ciberseguridad
WatchGuard considera que este escenario representa una oportunidad para los proveedores de servicios gestionados (MSP), que pueden ayudar a las pymes a reducir el riesgo asociado al factor humano mediante políticas de seguridad, formación y herramientas de monitorización.
“Estos resultados reflejan un cambio más amplio en el riesgo de ciberseguridad. A medida que las organizaciones adoptan nuevas tecnologías y facilitan el trabajo distribuido, gestionar el comportamiento humano se está convirtiendo en un requisito fundamental”, afirma Laliberte. “Para los MSP, supone una oportunidad de ir más allá de la tecnología e incorporar la visibilidad del riesgo de usuario, la gobernanza de políticas y la concienciación continua en seguridad”.
Para reducir la exposición, la compañía recomienda implantar gestores de contraseñas y autenticación multifactor (MFA), detectar el uso de aplicaciones no autorizadas, definir políticas específicas para el uso de inteligencia artificial, reforzar el acceso remoto mediante VPN y modelos Zero Trust, y desarrollar programas continuos de formación y concienciación que permitan evaluar tanto el riesgo humano como los indicadores técnicos de seguridad.
















