Su DLP no puede ver el cuadro del prompt
La mayoría de los equipos de seguridad han pasado una década enseñando a sus herramientas a vigilar las salidas. Pasarelas de correo electrónico, escáneres de almacenamiento en la nube, DLP en los endpoints, controles de USB. La suposición que subyace a todo ello es que los datos sensibles salen de la empresa por un canal que se puede inspeccionar.
Entonces un empleado abre una pestaña nueva, pega el contrato de un cliente en un chatbot y le pide que «resuma los riesgos clave». No se movió ningún archivo. No se envió ningún correo. No se marcó ninguna descarga. Lo más revelador que posee su empresa acaba de salir por un cuadro de texto que sus controles nunca fueron diseñados para leer.
Este es el problema silencioso de la adopción de la IA en este momento. El riesgo no es que la gente use IA. Es que el lugar donde realmente ocurre el riesgo, el prompt, se encuentra en un punto ciego entre sus herramientas existentes.
Por qué los controles habituales no lo detectan
La DLP tradicional funciona con patrones que puede interceptar: un archivo adjunto, un punto de salida definido, un destino conocido. El uso de prompts con IA rompe estas tres suposiciones a la vez.
Los datos a menudo se pegan, no se adjuntan, por lo que las reglas basadas en archivos nunca se activan. El destino es un dominio SaaS aprobado que probablemente ya haya incluido en la lista blanca, por lo que las reglas de red lo dejan pasar. Y el empleado suele reformatear el contenido sensible por el camino, unos cuantos nombres cambiados, una tabla convertida en prosa, lo que anula las firmas de coincidencia exacta en las que se apoya la DLP.
El resultado es una categoría de exposición que parece tráfico de navegación normal. Puede tener una pila de DLP completamente desplegada y aun así no tener ningún registro de que alguien introdujo el equivalente a un trimestre de resultados financieros no publicados en un modelo para «dejar más clara la diapositiva del consejo».
Una versión concreta de cómo esto sale mal: un analista financiero está preparando una previsión, se topa con un problema de formato y pega la hoja de cálculo en bruto en una herramienta de IA para limpiarla. Los datos incluyen cifras de ingresos no anunciadas. La herramienta está en la lista aprobada. El analista está siendo productivo y servicial. Cada decisión individual parece razonable, y nada en su sistema registra que información material no pública acaba de salir de su control. No lo encontrará en ningún registro, porque no hay ningún registro diseñado para detectarlo.
Gobernanza escrita para archivos, comportamiento que ocurre en los prompts
Aquí está la parte que más debería preocupar a los responsables de riesgos. La mayor parte de la gobernanza de IA actual está escrita a la altitud equivocada. Las políticas dicen cosas como «no comparta datos confidenciales con herramientas de IA de terceros». Eso es una declaración de intenciones. No hace nada en el momento en que un empleado cansado está a tres pasos de terminar una tarea y el camino más rápido pasa por un cuadro de prompt.
La brecha entre la política y el comportamiento no es un problema de formación que pueda cerrar con otro formulario de aceptación. Es un problema de visibilidad. Está pidiendo a las personas que se autorregulen una regla en el momento exacto en que su atención está en el trabajo, no en el riesgo, y no tiene ningún instrumento en ese momento para detectar los fallos.
Por eso también decepciona la supervisión a posteriori. Para cuando un prompt llega a los servidores de un proveedor, la exposición ya ha ocurrido. Revisarlo más tarde le dice lo que pasó; no previene nada. Para los datos regulados, «lo detectamos después» y «salió de la empresa» son la misma frase.
Dónde debe estar realmente el control
Si el riesgo vive en el prompt, ahí es donde también tiene que vivir el control. De forma local, antes de que el texto salga del dispositivo, en el medio segundo entre pegar y enviar. Ese es un modelo distinto al de vigilar las salidas. Significa inspeccionar lo que está a punto de salir en el punto del prompt, interceptar el fragmento sensible y dar al empleado la oportunidad de detenerse antes de que los datos desaparezcan, en lugar de un informe después.
También evita que la propia inspección se convierta en una segunda exposición. Enrutar cada prompt a través de otro servicio en la nube para comprobarlo solo mueve la fuga un paso más abajo. Realizar la detección en el dispositivo, priorizando la privacidad, antes de que se transmita nada, es la única versión que no recrea el problema que pretende resolver. Este es el principio sobre el que se construye Sanitized AI, para lo que valga.
El cambio que merece la pena hacer este trimestre no es otra línea de política ni otro módulo de formación. Es una auditoría honesta de una sola pregunta: en el momento en que un empleado pega algo sensible en una herramienta de IA, ¿qué hay en su entorno que realmente se daría cuenta? Si la respuesta es nada, eso no es un problema de IA. Es un punto ciego que ha tenido desde que el cuadro del prompt se convirtió en la aplicación más usada de su empresa, y el primer paso es simplemente admitir que sus herramientas existentes nunca estuvieron mirando ahí.