Claro, aquí tienes el contenido reescrito:
—
Mi nombre es Francisco Venegas Aros y, tras varios años liderando estrategias en ciberseguridad, me he guiado por un principio fundamental: incrementar la concienciación y capacitación, ya que una organización es tan robusta como su eslabón más débil. Sin embargo, un reciente acontecimiento parece desafiar esta noción.
Es fácil pensar que ese eslabón más frágil podría ser, sin desmerecer, la recepcionista o el becario. Pero, ¿qué sucede cuando el “usuario descuidado” es la persona responsable de la seguridad de una de las naciones más poderosas del mundo?
Durante el verano de 2025, Madhu Gottumukkala, el director interino de la Agencia de Ciberseguridad e Infraestructura de EE.UU. (CISA), subió documentos sensibles de contratación, clasificados como “solo para uso oficial” (FOUO), a la versión pública de ChatGPT, lo que desencadenó alertas automáticas de seguridad en el Departamento de Seguridad Nacional (DHS). Aunque estos archivos no estaban clasificados, contenían información que no debía hacerse pública. CISA detectó la infracción en repetidas ocasiones y se inició una revisión interna para evaluar posibles riesgos para la seguridad nacional. Gottumukkala había recibido un permiso especial para utilizar ChatGPT, en su versión gratuita, herramienta que en ese momento estaba bloqueada para el resto del personal del DHS, y discutió el incidente con altos funcionarios del departamento.
La situación generó intensas críticas internas, dado que el uso de ChatGPT implica que los datos ingresados podrían ser compartidos con OpenAI, lo que plantea riesgos de exposición ante adversarios como Rusia o China. Aunque CISA aseguró que el acceso fue “limitado y temporal” bajo supervisión del DHS, el incidente renovó el debate sobre el uso de IA pública frente a herramientas internas, como DHSChat, que protegen la información dentro de redes federales. La gestión de Gottumukkala ya estaba bajo la mirada crítica por otros conflictos internos, incluyendo suspensiones de personal y tensiones con altos directivos, lo que aumentó las dudas sobre su liderazgo y la gestión de información sensible en esta agencia clave para la ciberseguridad en EE.UU.
La Paradoja de la Comodidad vs. Seguridad
Dejemos de lado por un momento los cargos y las siglas. Lo que ocurrió puede considerarse un fenómeno psicológico que afecta al personal de diversas empresas, desde startups hasta grandes corporaciones. En su afán por la eficiencia (lo que en neuromarketing llamamos “alivio cognitivo”), el cerebro humano tiende a ignorar las barreras de seguridad que obstaculizan la productividad inmediata.
El director de CISA no quería “filtrar” información a OpenAI; simplemente buscaba hacer su trabajo más rápido. Y ese es precisamente el riesgo. Al ingresar información confidencial en un modelo de IA pública, esos datos dejan de ser tuyos. Se integran en el vasto océano de entrenamiento de OpenAI, y podrían ser recuperables por otros a través de ingeniería de prompts. Si el líder de la ciberseguridad estadounidense sucumbe a esta trampa de conveniencia, ¿qué te hace pensar que tu Gerente de Finanzas no está pegando la nómina de sueldos en ChatGPT para que le “resuma los costos”?
El fenómeno del «Shadow AI» en tu oficina
Este incidente también saca a la luz otra realidad: el “Shadow AI” (IA en la sombra). Tus empleados ya están usando Inteligencia Artificial. Si no les proporcionas una herramienta segura y corporativa, recurrirán a la versión gratuita y pública en sus teléfonos o navegadores personales.
No es cuestión de demonizar la herramienta, sino de gestionarla. He visto, en el ámbito profesional, cómo los bloqueos totales son ineficaces; la gente siempre busca la manera de eludirlos. La solución no es prohibir, es ofrecer una habilitación segura.
¿Cómo evitar que tu empresa sea la próxima noticia?
Si audito tu organización hoy, no solo buscaría malware; también investigaría hábitos. Aquí es donde la estrategia debe evolucionar:
1. Ofrece una Alternativa Segura (Sandbox): Si tus ejecutivos necesitan IA, proporciona una instancia Enterprise (como ChatGPT Enterprise o Copilot) donde los datos no se utilicen para entrenar el modelo. Si no les ofreces un camino seguro, crearán uno inseguro.
2. DLP para IA (Prevención de Pérdida de Datos): Las herramientas modernas de seguridad deben monitorear qué datos se introducen en las cajas de texto de los navegadores. Existen soluciones que pueden bloquear el envío de datos sensibles, como números de identificación o palabras clave como “Confidencial”, hacia dominios de IA generativa.
3. Cultura de “Lo que pasa en la IA, se queda en la IA… Pública”: Capacita a tu equipo con ejemplos reales como este. La vergüenza ajena es un potente maestro. Si el director de CISA perdió la confianza de su equipo por esto, el daño reputacional para un CEO local podría ser igualmente devastador.
El liderazgo se demuestra con el ejemplo
Este escándalo es un recordatorio contundente de que las políticas de seguridad no son solo un correo para los colaboradores; deben convertirse en el ADN de la alta dirección. La ciberseguridad no es únicamente un problema técnico, sino también un desafío de comportamiento humano.
No permitas que la búsqueda de eficiencia comprometa tus activos. Si deseas establecer una política de gobernanza de IA que equilibre innovación con protección de datos, hablemos.
Francisco Venegas A. CEO & Founder | CyberBaum SPA Experto en Ciberseguridad y Gobernanza TI
El artículo original está disponible en Revista Seguridad & Defensa.
Con Información de revistaseguridad.cl