Privacidad de datos en el trabajo: cómo enfrentar las amenazas de la IA
La privacidad de datos en el lugar de trabajo dejó de ser un tema exclusivamente normativo o legal para convertirse en un pilar central de la gestión empresarial. En un contexto marcado por el avance acelerado de la IA, proteger la información interna es clave. No solo para cumplir regulaciones, sino también para resguardar a los empleados, sostener la confianza y reducir riesgos operativos y financieros. Así lo remarcó un análisis de WatchGuard Technologies.
En las empresas, los empleados son quienes generan, gestionan y utilizan la mayor parte de los datos que mantienen en funcionamiento a la empresa. Esa centralidad los transforma también en uno de los principales objetivos de las amenazas digitales modernas. Especialmente aquellas potenciadas por IA, como las falsificaciones profundas y el compromiso de correo electrónico empresarial, conocido como BEC por sus siglas en inglés. Frente a este escenario, la protección efectiva de la privacidad de datos requiere una combinación equilibrada de hábitos cotidianos, capacitación realista y controles técnicos sólidos.
La privacidad de los datos laborales no se limita a cumplir con marcos regulatorios. Forma parte de la manera en que una organización cuida a su gente, protege su reputación y proyecta su futuro. Los datos de los empleados van mucho más allá del nombre o el correo electrónico corporativo. Incluyen información de nómina, datos de salud, evaluaciones de desempeño, verificaciones de antecedentes, registros de dispositivos. Y en muchos casos, comunicaciones personales que circulan por los sistemas internos.
El manejo inadecuado de esa información puede tener consecuencias profundas. Desde la erosión de la moral interna hasta la pérdida de confianza y la exposición a riesgos legales y financieros significativos. Cuando los empleados confían en que sus datos se tratan de manera responsable, tienden a utilizar con mayor seguridad las herramientas internas. A reportar errores con transparencia y a alertar rápidamente sobre situaciones sospechosas. En cambio, cuando esa confianza se quiebra, aumenta la probabilidad de que se eludan políticas, se usen herramientas no autorizadas o se silencien alertas clave.
La confianza de los empleados y el manejo responsable de los datos son hoy más importantes que nunca. Porque el factor humano se convirtió en el principal objetivo de la ingeniería social moderna. Las amenazas evolucionan rápidamente gracias a la inteligencia artificial. Las falsificaciones profundas, la clonación de voz y las herramientas de phishing automatizadas permiten a los atacantes suplantar con gran realismo a ejecutivos o socios comerciales.
En muchos casos, basta con un breve audio o un video disponible públicamente para crear una falsificación convincente. Las pymes resultan especialmente vulnerables, ya que suelen carecer de equipos de seguridad dedicados o de procesos formales para verificar solicitudes inusuales. Esto las convierte en blancos atractivos para ataques que combinan urgencia, presión y aparente legitimidad.
Un caso que circuló ampliamente en el sector involucró a la empresa de ingeniería Arup. Donde un empleado fue engañado durante una videollamada generada mediante deepfake y transfirió alrededor de US$ 25 millones de dólares creyendo que la solicitud era auténtica. En otro episodio, el gigante químico Orion perdió US$ 60 millones a mediados de 2025 tras una falsificación de un proveedor que citaba cláusulas contractuales exactas y plazos de producción urgentes. No hubo malware ni fallas técnicas evidentes, solo una ingeniería social altamente sofisticada.
Los ataques de compromiso de correo electrónico empresarial representan una de las amenazas más costosas. Se basan en cuentas de correo falsificadas o comprometidas que manipulan los flujos de trabajo habituales para redirigir pagos o acceder a información sensible. Su peligrosidad radica en que no requieren software malicioso, sino que explotan la confianza, el contexto y la persuasión.
El FBI advirtió en reiteradas oportunidades que el BEC se encuentra entre las categorías de ciberdelito con mayor impacto financiero a nivel global. En este contexto, confiar únicamente en el sentido común o en capacitaciones desactualizadas ya no alcanza. Los ataques impulsados por IA son cada vez más personalizados, creíbles y difíciles de detectar.
Si bien la tecnología cumple un rol clave, el comportamiento diario de los empleados sigue siendo una de las defensas más efectivas. Detenerse ante solicitudes urgentes o inusuales, especialmente cuando involucran dinero, credenciales o datos sensibles, es una práctica esencial. Verificar pedidos de alto riesgo a través de un segundo canal, como una llamada a un número conocido o una confirmación directa con un superior, puede marcar la diferencia.
También resulta fundamental no compartir contraseñas ni códigos de autenticación multifactor. Utilizar exclusivamente herramientas de almacenamiento aprobadas por la organización y reportar de inmediato correos, mensajes o llamadas sospechosas. Una cultura de privacidad sólida facilita estos reportes y respalda a los empleados cuando algo sale mal, en lugar de penalizarlos.
La protección de los datos laborales requiere límites claros y medidas prácticas. El objetivo es recopilar solo la información necesaria, almacenarla de forma segura y restringir su acceso según roles específicos. La transparencia sobre qué datos se recopilan, por qué se necesitan y durante cuánto tiempo se conservan es un componente central para sostener la confianza interna.
