{"version":"1.0","type":"agent_native_article","locale":"es","slug":"empresas-adoptan-ia-sin-saber-que-datos-entregan-mouq2th1","title":"Por qué el 91% de las empresas adopta IA sin saber qué datos le está entregando","primary_category":"innovation","author":{"name":"Elena Costa","slug":"elena-costa"},"published_at":"2026-05-07T00:02:52.981Z","total_votes":82,"comment_count":0,"has_map":true,"urls":{"human":"https://sustainabl.net/es/articulo/empresas-adoptan-ia-sin-saber-que-datos-entregan-mouq2th1","agent":"https://sustainabl.net/agent-native/es/articulo/empresas-adoptan-ia-sin-saber-que-datos-entregan-mouq2th1"},"summary":{"one_line":"La mayoría de las empresas activa herramientas de IA generativa sobre infraestructuras de datos desordenadas, sin clasificar y con permisos excesivos, creando riesgos de exposición que los controles tradicionales no pueden detectar.","core_question":"¿Por qué la adopción masiva de IA empresarial está generando riesgos de datos invisibles, y qué debe hacer una organización antes de habilitar el acceso de un copiloto a sus sistemas?","main_thesis":"El problema central de la adopción de IA en la empresa no es tecnológico sino de gobernanza de datos: los copilotos y agentes heredan permisos existentes y operan a velocidad de máquina sobre datos sin clasificar, con accesos acumulados sin revisión, convirtiendo problemas de datos preexistentes en riesgos de exposición inmediatos y cuantificables."},"content_markdown":"## Por qué el 91% de las empresas adopta IA sin saber qué datos le está entregando\n\nLa inteligencia artificial generativa llegó a la mayoría de las organizaciones no por el área de tecnología, sino por la puerta trasera de las aplicaciones de productividad. Microsoft 365 Copilot, Gemini, los asistentes integrados en plataformas de colaboración: estas herramientas se activaron en entornos corporativos donde los empleados ya trabajaban, y con eso empezó un experimento silencioso cuyos términos nadie había negociado del todo.\n\nEl problema no está en los modelos de lenguaje. Está en lo que esos modelos encuentran cuando se conectan a una organización real.\n\nSegún el informe de Huble sobre preparación de datos para IA, **solo el 8,6% de las empresas se considera completamente lista para operar con inteligencia artificial**. El 91% restante está en algún punto entre la experimentación y el estancamiento, a pesar de haber comprometido presupuesto, tiempo y reputación interna en proyectos de adopción. Deloitte, en su informe de 2026 sobre el estado de la IA en la empresa, registra que dos tercios de las organizaciones reportan ganancias de productividad, pero también documenta déficits persistentes en infraestructura, gestión de datos, talento y control de riesgo. El crecimiento del acceso laboral a herramientas de IA fue del 50% en 2025. La preparación para gestionar ese acceso no creció al mismo ritmo.\n\nEsta brecha no es accidental. Es estructural. Y tiene una causa que pocas organizaciones están dispuestas a nombrar sin eufemismos: los datos corporativos están, en su mayoría, en desorden.\n\n## Lo que el asistente encuentra cuando nadie está mirando\n\nCuando una empresa activa un copiloto de IA dentro de su entorno de productividad, ese sistema no crea nuevas puertas de acceso. Utiliza las que ya existen. Opera con los permisos heredados del usuario que lo activa y llega exactamente donde ese usuario puede llegar, con una diferencia operativa que lo cambia todo: lo hace a velocidad de máquina.\n\nMicrosoft documenta con precisión este funcionamiento. Su arquitectura de Copilot establece que el sistema opera dentro del perímetro del servicio, acotado al usuario autenticado y a los contenidos a los que esa persona tiene acceso autorizado. No rompe los permisos. Los ejecuta. Y ahí está el punto que muchos equipos de seguridad no habían calculado con suficiente claridad: **si los permisos están más abiertos de lo que deberían, un único prompt puede recuperar lo que antes requería decenas de búsquedas manuales dispersas**.\n\nAños de carpetas compartidas que nunca se cerraron. Archivos copiados para un análisis puntual que quedaron en unidades personales. Correos electrónicos con adjuntos sensibles archivados sin clasificar. Repositorios de documentos que acumulan registros que nadie borra porque nadie recuerda que existen. Esa es la materia prima real con la que trabaja el asistente de IA cuando se conecta a una organización que no auditó su entorno antes de habilitar el acceso.\n\nEl riesgo no nace del modelo de lenguaje. Nace de la arquitectura de datos que el modelo hereda.\n\nLos equipos de seguridad enfrentan aquí un problema de visibilidad que sus herramientas tradicionales no resuelven. La prevención de pérdida de datos fue diseñada para monitorear puntos de salida. Los sistemas de gestión de identidades administran roles y permisos. Los registros de actividad documentan lo que ya ocurrió. Ninguno de estos instrumentos fue construido para mapear qué sucede cuando una consulta de IA cruza documentos, buzones, bases de datos y repositorios de conocimiento en una sola interacción, generando una respuesta que combina fragmentos de información que nunca habían estado conectados.\n\nLo que emerge de ese cruce puede ser perfectamente legítimo. También puede ser una concentración de datos sensibles que ningún control previo había anticipado.\n\n## El costo oculto de ignorar la infraestructura antes del modelo\n\nLa narrativa dominante sobre adopción de IA en la empresa tiene una distorsión de origen: pone la conversación en los modelos, las interfaces y los casos de uso, y deja en segundo plano la pregunta sobre qué datos alimentan esas decisiones y bajo qué condiciones de orden, clasificación y gobierno.\n\nGartner estima que **el 63% de las organizaciones no tiene las prácticas de gestión de datos necesarias para sostener proyectos de IA**. Ese número ayuda a explicar por qué tantos despliegues se frenan antes de llegar a producción, no por limitaciones del modelo ni por falta de presupuesto, sino porque la infraestructura de datos subyacente no puede sostener lo que el modelo necesita para operar con coherencia.\n\nEl desfase tiene consecuencias financieras directas. Las organizaciones que invierten en licencias, formación y cambio de procesos sin resolver primero la capa de datos están pagando por capacidad que no pueden usar de manera confiable. Peor aún: están asumiendo exposición que no pueden cuantificar. Si los sistemas de IA operan sobre datos sin clasificar, con permisos excesivos y sin inventario actualizado de qué existe dónde, la ventana de exposición regulatoria se amplía de formas que los auditores y los equipos legales todavía están aprendiendo a medir.\n\nPersistent Systems, entre otros proveedores especializados en este campo, estructura sus soluciones en torno a tres ejes precisos: optimización de infraestructura, calidad de datos y escala segura de cargas de trabajo de IA. La secuencia no es accidental. La escala viene al final, no al principio.\n\nAstutis documenta en su informe de 2026 que la gran mayoría de trabajadores espera que la IA tenga un impacto significativo en sus funciones dentro de cinco años, pero solo una fracción pequeña la usa de manera activa hoy. La razón no es resistencia cultural. Es que la experiencia real con herramientas de IA en entornos corporativos mal preparados genera fricciones concretas: respuestas inconsistentes, resultados que mezclan información de contextos distintos, incertidumbre sobre si lo que el sistema devuelve es confiable. Esas fricciones no se resuelven mejorando el modelo. Se resuelven resolviendo los datos.\n\n## Gobernar la IA como se gobierna una identidad de alto riesgo\n\nHay un cambio conceptual que las organizaciones más avanzadas en este campo ya están ejecutando, y que los demás eventualmente tendrán que hacer: **tratar a los agentes de IA como identidades gobernadas, no como herramientas de usuario**.\n\nCuando un copiloto o un agente de automatización accede a sistemas corporativos, lo hace a través de cuentas de servicio, interfaces de programación y contextos de usuario. Tiene permisos. Actúa sobre datos. Genera salidas que pueden contener información sensible. Por todas esas razones, debería recibir el mismo tratamiento que cualquier identidad de alto privilegio en una organización: revisión periódica de accesos, aplicación de mínimo privilegio, monitoreo de comportamiento y trazabilidad de lo que toca.\n\nLa mayoría de los programas de seguridad corporativos no están configurados para esto. Fueron diseñados pensando en personas y sistemas, no en agentes de IA que operan con lógica propia, combinan fuentes de información y producen outputs que sus operadores humanos no siempre pueden anticipar.\n\nLa preparación de datos para IA, en su sentido operativo, requiere al menos cuatro movimientos concretos. Primero, construir un inventario actualizado de los sistemas de IA activos en el entorno, incluidos los copilotos embebidos en plataformas de productividad, los modelos personalizados y los agentes de automatización, mapeados a las fuentes de datos a las que acceden. Segundo, clasificar los datos sensibles con consistencia a través del almacenamiento en la nube, las aplicaciones de software como servicio y los repositorios heredados, porque sin esa clasificación los controles de cumplimiento no pueden distinguir entre información sensible y genérica. Tercero, aplicar a los agentes de IA la misma revisión que se aplica a cuentas de servicio de alto riesgo: sus permisos deberían reflejar uso real, no herencia acumulada. Cuarto, conectar ese contexto de datos a los controles existentes, incluyendo sistemas de prevención de pérdida de datos, gestión de accesos e identidades y pasarelas de acceso, para que las políticas reflejen exposición real en lugar de patrones abstractos.\n\nNinguno de estos pasos requiere esperar a que los modelos de IA mejoren. Son decisiones sobre la infraestructura que ya existe.\n\n## La preparación de datos no es una etapa previa, es la apuesta real\n\nEl mercado de IA empresarial está creciendo a tasas superiores al 30% anual y se proyecta entre 150.000 y 200.000 millones de dólares para 2030. En ese contexto, **la ventaja competitiva no estará en haber adoptado IA antes que los demás, sino en haberla adoptado sobre una base que permite operar con confianza y escalar sin fricciones**.\n\nLas organizaciones que trataron la preparación de datos como una formalidad técnica menor están descubriendo, en producción, que sus sistemas de IA producen resultados inconsistentes, que sus equipos legales no pueden certificar el cumplimiento regulatorio de los procesos asistidos por IA, y que sus equipos de seguridad no pueden responder preguntas básicas sobre qué información está siendo procesada y por quién.\n\nEl desplazamiento que este momento revela no es tecnológico en su núcleo. Es de gobernanza. La inteligencia artificial está forzando a las empresas a confrontar problemas de datos que ya existían antes de que ningún copiloto se activara: datos sin clasificar, permisos acumulados sin revisión, inventarios incompletos, controles diseñados para un mundo donde las búsquedas eran manuales y lentas. Lo que cambió no es que esos problemas aparecieron. Lo que cambió es que ya no es posible ignorarlos sin consecuencias visibles y rápidas.\n\nLas organizaciones que saldrán mejor posicionadas en este ciclo son las que entendieron que preparar los datos no es un paso previo a adoptar IA. Es, con precisión, el trabajo de fondo que determina si la adopción produce valor o simplemente produce más superficie de riesgo sobre la que opera un sistema más veloz.","article_map":{"title":"Por qué el 91% de las empresas adopta IA sin saber qué datos le está entregando","entities":[{"name":"Microsoft 365 Copilot","type":"product","role_in_article":"Caso principal de copiloto de IA embebido en productividad corporativa; su arquitectura de permisos se usa para ilustrar cómo los agentes heredan accesos existentes."},{"name":"Huble","type":"company","role_in_article":"Fuente del informe sobre preparación de datos para IA que establece que solo el 8,6% de empresas está completamente lista."},{"name":"Deloitte","type":"institution","role_in_article":"Fuente del informe 2026 sobre estado de la IA en la empresa: productividad, déficits de infraestructura y crecimiento del acceso laboral."},{"name":"Gartner","type":"institution","role_in_article":"Fuente de la estimación de que el 63% de organizaciones carece de prácticas de gestión de datos para sostener proyectos de IA."},{"name":"Persistent Systems","type":"company","role_in_article":"Ejemplo de proveedor que estructura soluciones en torno a optimización de infraestructura, calidad de datos y escala segura, en ese orden."},{"name":"Astutis","type":"institution","role_in_article":"Fuente del informe 2026 sobre expectativas de impacto de la IA en funciones laborales versus uso activo real."},{"name":"Gemini","type":"product","role_in_article":"Mencionado como ejemplo de asistente de IA integrado en plataformas de colaboración que se activó en entornos corporativos sin negociación previa."},{"name":"Elena Costa","type":"person","role_in_article":"Autora del artículo."}],"tradeoffs":["Velocidad de adopción de IA vs. solidez de la infraestructura de datos subyacente","Productividad inmediata de copilotos vs. exposición regulatoria acumulada por permisos heredados sin revisión","Inversión en preparación de datos (costo visible, beneficio diferido) vs. costo oculto de operar IA sobre datos desordenados","Controles de seguridad diseñados para personas y sistemas vs. necesidad de gobernar agentes que operan con lógica propia y combinan fuentes múltiples","Escalar rápido para capturar ventaja competitiva vs. escalar sobre base confiable para sostener esa ventaja"],"key_claims":[{"claim":"Solo el 8,6% de las empresas se considera completamente lista para operar con IA, según el informe de Huble sobre preparación de datos.","confidence":"high","support_type":"reported_fact"},{"claim":"El acceso laboral a herramientas de IA creció un 50% en 2025, según Deloitte.","confidence":"high","support_type":"reported_fact"},{"claim":"Dos tercios de las organizaciones reportan ganancias de productividad con IA, pero persisten déficits en infraestructura, datos, talento y control de riesgo (Deloitte 2026).","confidence":"high","support_type":"reported_fact"},{"claim":"El 63% de las organizaciones no tiene las prácticas de gestión de datos necesarias para sostener proyectos de IA, según Gartner.","confidence":"high","support_type":"reported_fact"},{"claim":"Microsoft Copilot opera dentro del perímetro del usuario autenticado, ejecutando permisos existentes sin crear nuevos accesos.","confidence":"high","support_type":"reported_fact"},{"claim":"El mercado de IA empresarial crecerá a tasas superiores al 30% anual y alcanzará entre 150.000 y 200.000 millones de dólares para 2030.","confidence":"medium","support_type":"reported_fact"},{"claim":"La ventaja competitiva en IA no estará en la velocidad de adopción sino en la calidad de la infraestructura de datos sobre la que opera.","confidence":"medium","support_type":"editorial_judgment"},{"claim":"Las fricciones que frenan el uso activo de IA en entornos corporativos no son resistencia cultural sino consecuencia de datos mal preparados.","confidence":"medium","support_type":"inference"}],"main_thesis":"El problema central de la adopción de IA en la empresa no es tecnológico sino de gobernanza de datos: los copilotos y agentes heredan permisos existentes y operan a velocidad de máquina sobre datos sin clasificar, con accesos acumulados sin revisión, convirtiendo problemas de datos preexistentes en riesgos de exposición inmediatos y cuantificables.","core_question":"¿Por qué la adopción masiva de IA empresarial está generando riesgos de datos invisibles, y qué debe hacer una organización antes de habilitar el acceso de un copiloto a sus sistemas?","core_tensions":["La IA empresarial promete productividad pero opera sobre infraestructuras de datos que no fueron diseñadas para soportarla de forma segura","Los controles de seguridad existentes fueron construidos para un mundo de búsquedas manuales y lentas; los agentes de IA operan a velocidad de máquina sobre múltiples fuentes simultáneamente","Las organizaciones comprometieron presupuesto y reputación en adopción de IA antes de resolver los problemas de datos que esa adopción hace visibles e inmediatos","La narrativa de adopción de IA se centra en modelos e interfaces; el riesgo real está en la capa de datos que esos modelos heredan"],"open_questions":["¿Cómo miden los equipos legales y de auditoría la exposición regulatoria generada por procesos asistidos por IA sobre datos sin clasificar?","¿Qué metodología concreta permite inventariar todos los copilotos y agentes activos en un entorno corporativo complejo?","¿Cuánto tiempo y recursos requiere una organización mediana para clasificar sus datos sensibles con consistencia antes de escalar el acceso de IA?","¿Cómo se aplica el principio de mínimo privilegio a agentes de IA que necesitan acceso amplio para ser útiles?","¿Qué marcos regulatorios (GDPR, AI Act, etc.) están siendo aplicados ya a procesos asistidos por IA y con qué criterios?","¿Las organizaciones que ya activaron copilotos sin auditoría previa pueden remediar la situación sin interrumpir el acceso?"],"training_value":{"recommended_for":["CISOs y equipos de seguridad que necesitan adaptar sus controles al patrón de acceso de agentes de IA","CDOs y equipos de datos que deben priorizar clasificación y gobernanza antes de escalar acceso de IA","CIOs evaluando el ROI real de licencias de IA ya comprometidas","Equipos legales y de compliance que necesitan entender la exposición regulatoria de procesos asistidos por IA","Consultores de transformación digital que asesoran en estrategias de adopción de IA empresarial","Responsables de compras tecnológicas que evalúan herramientas de preparación de datos para IA"],"when_this_article_is_useful":["Al evaluar si una organización está lista para activar o escalar copilotos de IA en entornos de productividad","Al diseñar una estrategia de gobernanza de datos previa al despliegue de IA empresarial","Al justificar inversión en clasificación de datos y revisión de permisos ante stakeholders que priorizan velocidad de adopción","Al auditar la exposición regulatoria de procesos asistidos por IA","Al construir un programa de seguridad que incluya agentes de IA como identidades gobernadas","Al diagnosticar por qué un despliegue de IA produce resultados inconsistentes o se frena antes de producción"],"what_a_business_agent_can_learn":["Cómo los copilotos de IA heredan permisos existentes y por qué eso convierte problemas de gobernanza preexistentes en riesgos inmediatos","La secuencia correcta de adopción de IA: infraestructura de datos → calidad → escala segura","Por qué los controles de seguridad tradicionales (DLP, IAM, logs) no cubren el patrón de acceso de un agente de IA","Cuatro pasos operativos concretos para preparar datos antes de escalar el acceso de IA","Cómo tratar a los agentes de IA como identidades gobernadas con mínimo privilegio y trazabilidad","La diferencia entre productividad reportada y preparación real para operar IA de forma confiable y regulatoriamente certificable"]},"argument_outline":[{"label":"1. Entrada silenciosa","point":"La IA generativa llegó a las empresas por las aplicaciones de productividad (Microsoft 365 Copilot, Gemini), no por decisión estratégica del área de TI, activando un experimento cuyos términos nadie negoció.","why_it_matters":"Significa que la adopción ocurrió sin auditoría previa de datos ni evaluación de riesgos, saltándose los controles habituales de despliegue tecnológico."},{"label":"2. La brecha de preparación","point":"Solo el 8,6% de las empresas se considera completamente lista para operar con IA (Huble). El acceso laboral a herramientas de IA creció un 50% en 2025; la preparación para gestionarlo no creció al mismo ritmo.","why_it_matters":"La brecha no es accidental ni temporal: es estructural, y refleja que la narrativa de adopción priorizó modelos e interfaces sobre infraestructura de datos."},{"label":"3. El copiloto hereda, no crea","point":"Microsoft documenta que Copilot opera dentro del perímetro del usuario autenticado, ejecutando permisos existentes a velocidad de máquina. No rompe controles: los amplifica.","why_it_matters":"Un único prompt puede recuperar lo que antes requería decenas de búsquedas manuales dispersas, haciendo visible en segundos la acumulación de años de permisos mal gestionados."},{"label":"4. Los controles tradicionales no cubren este escenario","point":"DLP, IAM y registros de actividad fueron diseñados para monitorear puntos de salida o documentar lo ocurrido, no para mapear qué sucede cuando una consulta de IA cruza documentos, buzones y repositorios en una sola interacción.","why_it_matters":"Las organizaciones tienen una falsa sensación de control: sus herramientas de seguridad no fueron construidas para el patrón de acceso que genera un agente de IA."},{"label":"5. El costo financiero de ignorar la capa de datos","point":"Gartner estima que el 63% de las organizaciones carece de prácticas de gestión de datos para sostener proyectos de IA. Las empresas pagan por capacidad que no pueden usar de forma confiable y asumen exposición regulatoria que no pueden cuantificar.","why_it_matters":"El desfase tiene consecuencias directas: proyectos frenados antes de producción, licencias pagadas sin retorno y ventanas de riesgo regulatorio que auditores y equipos legales aún no saben medir."},{"label":"6. Gobernar la IA como identidad de alto riesgo","point":"Las organizaciones más avanzadas tratan a los agentes de IA como identidades gobernadas: revisión periódica de accesos, mínimo privilegio, monitoreo de comportamiento y trazabilidad.","why_it_matters":"Es el cambio conceptual que separa a las organizaciones que escalan con confianza de las que acumulan superficie de riesgo sin saberlo."}],"one_line_summary":"La mayoría de las empresas activa herramientas de IA generativa sobre infraestructuras de datos desordenadas, sin clasificar y con permisos excesivos, creando riesgos de exposición que los controles tradicionales no pueden detectar.","related_articles":[{"reason":"Aborda directamente el problema de gobernar agentes de IA como identidades dentro de sistemas empresariales, complementando el argumento central del artículo sobre tratar a los agentes como identidades de alto riesgo.","article_id":12385},{"reason":"Documenta un caso real de agente de IA operando sin supervisión humana con consecuencias destructivas, ilustrando empíricamente el riesgo de no gobernar los accesos de agentes de IA.","article_id":12269},{"reason":"Describe cómo Google rediseñó su arquitectura de datos para que la IA funcione en entornos empresariales, ofreciendo un caso concreto de la solución que este artículo prescribe.","article_id":12169},{"reason":"Explora el diseño empresarial en el mundo agéntico (Salesforce sin interfaz), relevante para entender hacia dónde evoluciona la adopción de IA y por qué la gobernanza de datos es estructuralmente urgente.","article_id":12289}],"business_patterns":["Adopción tecnológica por la puerta trasera: herramientas que entran por productividad antes de que TI o seguridad las evalúen","Brecha entre acceso y preparación: el acceso a tecnología crece más rápido que la capacidad organizacional para gestionarla","Herencia de permisos: los sistemas nuevos amplifican problemas de gobernanza preexistentes en lugar de resolverlos","Falsa sensación de control: tener herramientas de seguridad no equivale a tener cobertura para nuevos patrones de riesgo","Secuencia correcta de escala: infraestructura → calidad de datos → escala segura (no al revés)","Gobernanza de identidad extendida a agentes: aplicar a IA los mismos controles que a cuentas de servicio de alto privilegio"],"business_decisions":["Decidir si activar copilotos de IA antes o después de auditar el entorno de datos y permisos","Priorizar la clasificación de datos sensibles antes de escalar el acceso de agentes de IA","Tratar a los agentes de IA como identidades gobernadas con revisión periódica de accesos y aplicación de mínimo privilegio","Construir un inventario actualizado de todos los sistemas de IA activos y las fuentes de datos a las que acceden","Conectar el contexto de datos a controles existentes (DLP, IAM, gateways) para que las políticas reflejen exposición real","Evaluar si las licencias de IA ya comprometidas están generando retorno o simplemente exposición no cuantificada"]}}