Las pymes españolas adoptan la IA sin controles y se exponen a cinco riesgos críticos
- Seguridad
Una de cada cinco pymes españolas ya utiliza herramientas de inteligencia artificial, pero el 60% lo hace sin procesos de seguridad ni gobernanza del dato, según el Banco de España e INCIBE. Esta adopción acelerada está amplificando vulnerabilidades existentes.
La inteligencia artificial se ha convertido en una herramienta habitual para las casi tres millones de pymes españolas, que ya la emplean para automatizar tareas, analizar información o mejorar la atención al cliente. Sin embargo, esta adopción masiva está llegando sin una estrategia sólida de seguridad, lo que está dejando a miles de organizaciones expuestas a nuevos riesgos digitales. Así lo advierte la consultora tecnológica h&k, que ha identificado los cinco peligros más frecuentes derivados de un uso descontrolado de la IA.
Según el Banco de España, una de cada cinco empresas del país utiliza ya algún sistema de IA, especialmente generativa (18,1%). Pero el 60% de ellas lo hace todavía en fase experimental, sin controles avanzados ni procesos consolidados. La situación se agrava en un contexto donde el Instituto Nacional de Ciberseguridad (INCIBE) gestionó más de 97.000 incidentes en 2024, 31.000 de ellos afectando directamente a empresas, muchas de ellas pymes.
Ataques más creíbles y fuga de datos
La IA está elevando la sofisticación de los ataques de phishing. Los ciberdelincuentes pueden generar correos, mensajes o incluso llamadas automatizadas con un lenguaje impecable y adaptado al contexto de cada empresa. En pymes con procesos de verificación más informales, esto multiplica el riesgo de fraude, robo de credenciales o suplantación de identidad.
Muchas pymes operan con información dispersa, duplicada y con permisos heredados durante años. Al conectar herramientas de IA a estos entornos, la tecnología amplifica el problema: puede acceder y procesar información que no debería estar disponible para determinados usuarios o usos.
El uso de aplicaciones no corporativas o cuentas personales para interactuar con herramientas de IA está provocando fugas involuntarias de información. Empleados que introducen documentos internos, datos de clientes o comunicaciones sensibles pueden perder el control sobre dónde se almacenan o cómo se reutilizan esos datos.
Por otra parte, conectar chatbots o agentes a correos, CRMs o repositorios documentales sin un diseño adecuado puede abrir la puerta a ataques de prompt injection. Un atacante puede manipular al asistente para que revele información sensible o incluso sugiera acciones no deseadas, como modificar registros o reenviar datos internos.
Finalmente, el uso de IA sin garantías puede llevar a tratamientos no autorizados de datos personales, entrenamientos de modelos con información interna o reutilización de contenidos sin control. Esto expone a las pymes a sanciones económicas y a un importante daño reputacional, especialmente en organizaciones sin estructuras avanzadas de compliance.
