Seguridad 3 Abr 2026 · 8 min de lectura

Seguridad de datos con IA: la guía que todo gerente debería leer

"¿Es seguro conectar IA a nuestra base de datos?" es la pregunta correcta, y la mayoría de los vendors la esquivan con marketing. Esta guía apunta a lo concreto: qué debes exigir antes de firmar, qué verificar después y qué bandera roja debería hacerte salir corriendo.

USD 4,88M

es el costo promedio global de una brecha de datos en 2024, según IBM. Y las empresas que usan IA para seguridad lo redujeron significativamente.

Fuente: IBM Security, "Cost of a Data Breach Report 2024".

Las 5 preguntas que todo gerente debe hacer

1. ¿Mis datos se usan para entrenar modelos?

La respuesta aceptable es NO. Proveedores serios (OpenAI Enterprise, Anthropic, Azure OpenAI, Google Vertex, Helyxa) garantizan por contrato que tus datos no entrenan modelos base. Si el proveedor es ambiguo, no firmes.

2. ¿Dónde se almacenan físicamente?

Importa por cumplimiento (por ejemplo, la Ley 19.628 en Chile sobre datos personales, GDPR en Europa). Debes saber si están en AWS us-east, Azure South America, o en qué región. Exige eso por escrito.

3. ¿Cómo se cifra la información?

En tránsito: TLS 1.2 o superior (estándar mínimo).
En reposo: AES-256 (estándar).
En uso: confidential computing si tus datos son muy sensibles.

4. ¿Quién puede ver qué?

La IA debe respetar los permisos que ya tienes en tus sistemas. Un vendedor no debería ver datos de finanzas solo porque le pregunta a la IA. Exige row-level security (RLS) y roles.

5. ¿Dónde queda el log de las conversaciones?

Debes poder auditar quién preguntó qué, cuándo, y qué respondió la IA. Este log es oro para seguridad y para responder a auditorías.

Banderas rojas (huye)

"No podemos compartir dónde se alojan los datos."
"Puede que usemos datos agregados para mejorar el modelo."
"No tenemos SOC 2 ni ISO 27001, pero estamos trabajando en eso" (sin fecha).
No pueden mostrarte la arquitectura de seguridad.
El contrato no menciona responsabilidad en caso de brecha.

Certificaciones que valen la pena

SOC 2 Type II: auditoría externa recurrente de controles.
ISO 27001: estándar internacional de gestión de seguridad.
GDPR (UE) y CCPA (California): relevantes si operas o sirves a esos mercados.
HIPAA: si trabajas con datos de salud.

Lo que tú también tienes que hacer

La seguridad es compartida. El proveedor te da herramientas, pero tú tienes que:

Capacitar al equipo: qué sí y qué no pegar en la IA.
Revisar los permisos periódicamente.
Tener un plan de respuesta a incidentes.
Empezar con datos menos sensibles antes de conectar lo crítico.

Un caso reciente a tener en cuenta

En 2023, empleados de Samsung filtraron código fuente al pegarlo en ChatGPT público. La empresa prohibió el uso y aceleró su propia solución privada. Lección: el riesgo humano es igual o mayor que el técnico.

En resumen

La IA no hace tus datos menos seguros —mal implementada sí. Con un proveedor serio, controles de acceso y capacitación al equipo, se puede tener el beneficio sin aumentar el riesgo. Si un vendor no puede contestar estas 5 preguntas con números y documentos, no está listo para tus datos.

Checklist de seguridad + demo

Te mostramos en detalle cómo Helyxa cumple cada uno de los puntos de esta guía.

Agendar demo