Por qué el 91% de las empresas adopta IA sin saber qué datos le está entregando
La inteligencia artificial generativa llegó a la mayoría de las organizaciones no por el área de tecnología, sino por la puerta trasera de las aplicaciones de productividad. Microsoft 365 Copilot, Gemini, los asistentes integrados en plataformas de colaboración: estas herramientas se activaron en entornos corporativos donde los empleados ya trabajaban, y con eso empezó un experimento silencioso cuyos términos nadie había negociado del todo.
El problema no está en los modelos de lenguaje. Está en lo que esos modelos encuentran cuando se conectan a una organización real.
Según el informe de Huble sobre preparación de datos para IA, solo el 8,6% de las empresas se considera completamente lista para operar con inteligencia artificial. El 91% restante está en algún punto entre la experimentación y el estancamiento, a pesar de haber comprometido presupuesto, tiempo y reputación interna en proyectos de adopción. Deloitte, en su informe de 2026 sobre el estado de la IA en la empresa, registra que dos tercios de las organizaciones reportan ganancias de productividad, pero también documenta déficits persistentes en infraestructura, gestión de datos, talento y control de riesgo. El crecimiento del acceso laboral a herramientas de IA fue del 50% en 2025. La preparación para gestionar ese acceso no creció al mismo ritmo.
Esta brecha no es accidental. Es estructural. Y tiene una causa que pocas organizaciones están dispuestas a nombrar sin eufemismos: los datos corporativos están, en su mayoría, en desorden.
Lo que el asistente encuentra cuando nadie está mirando
Cuando una empresa activa un copiloto de IA dentro de su entorno de productividad, ese sistema no crea nuevas puertas de acceso. Utiliza las que ya existen. Opera con los permisos heredados del usuario que lo activa y llega exactamente donde ese usuario puede llegar, con una diferencia operativa que lo cambia todo: lo hace a velocidad de máquina.
Microsoft documenta con precisión este funcionamiento. Su arquitectura de Copilot establece que el sistema opera dentro del perímetro del servicio, acotado al usuario autenticado y a los contenidos a los que esa persona tiene acceso autorizado. No rompe los permisos. Los ejecuta. Y ahí está el punto que muchos equipos de seguridad no habían calculado con suficiente claridad: si los permisos están más abiertos de lo que deberían, un único prompt puede recuperar lo que antes requería decenas de búsquedas manuales dispersas.
Años de carpetas compartidas que nunca se cerraron. Archivos copiados para un análisis puntual que quedaron en unidades personales. Correos electrónicos con adjuntos sensibles archivados sin clasificar. Repositorios de documentos que acumulan registros que nadie borra porque nadie recuerda que existen. Esa es la materia prima real con la que trabaja el asistente de IA cuando se conecta a una organización que no auditó su entorno antes de habilitar el acceso.
El riesgo no nace del modelo de lenguaje. Nace de la arquitectura de datos que el modelo hereda.
Los equipos de seguridad enfrentan aquí un problema de visibilidad que sus herramientas tradicionales no resuelven. La prevención de pérdida de datos fue diseñada para monitorear puntos de salida. Los sistemas de gestión de identidades administran roles y permisos. Los registros de actividad documentan lo que ya ocurrió. Ninguno de estos instrumentos fue construido para mapear qué sucede cuando una consulta de IA cruza documentos, buzones, bases de datos y repositorios de conocimiento en una sola interacción, generando una respuesta que combina fragmentos de información que nunca habían estado conectados.
Lo que emerge de ese cruce puede ser perfectamente legítimo. También puede ser una concentración de datos sensibles que ningún control previo había anticipado.
El costo oculto de ignorar la infraestructura antes del modelo
La narrativa dominante sobre adopción de IA en la empresa tiene una distorsión de origen: pone la conversación en los modelos, las interfaces y los casos de uso, y deja en segundo plano la pregunta sobre qué datos alimentan esas decisiones y bajo qué condiciones de orden, clasificación y gobierno.
Gartner estima que el 63% de las organizaciones no tiene las prácticas de gestión de datos necesarias para sostener proyectos de IA. Ese número ayuda a explicar por qué tantos despliegues se frenan antes de llegar a producción, no por limitaciones del modelo ni por falta de presupuesto, sino porque la infraestructura de datos subyacente no puede sostener lo que el modelo necesita para operar con coherencia.
El desfase tiene consecuencias financieras directas. Las organizaciones que invierten en licencias, formación y cambio de procesos sin resolver primero la capa de datos están pagando por capacidad que no pueden usar de manera confiable. Peor aún: están asumiendo exposición que no pueden cuantificar. Si los sistemas de IA operan sobre datos sin clasificar, con permisos excesivos y sin inventario actualizado de qué existe dónde, la ventana de exposición regulatoria se amplía de formas que los auditores y los equipos legales todavía están aprendiendo a medir.
Persistent Systems, entre otros proveedores especializados en este campo, estructura sus soluciones en torno a tres ejes precisos: optimización de infraestructura, calidad de datos y escala segura de cargas de trabajo de IA. La secuencia no es accidental. La escala viene al final, no al principio.
Astutis documenta en su informe de 2026 que la gran mayoría de trabajadores espera que la IA tenga un impacto significativo en sus funciones dentro de cinco años, pero solo una fracción pequeña la usa de manera activa hoy. La razón no es resistencia cultural. Es que la experiencia real con herramientas de IA en entornos corporativos mal preparados genera fricciones concretas: respuestas inconsistentes, resultados que mezclan información de contextos distintos, incertidumbre sobre si lo que el sistema devuelve es confiable. Esas fricciones no se resuelven mejorando el modelo. Se resuelven resolviendo los datos.
Gobernar la IA como se gobierna una identidad de alto riesgo
Hay un cambio conceptual que las organizaciones más avanzadas en este campo ya están ejecutando, y que los demás eventualmente tendrán que hacer: tratar a los agentes de IA como identidades gobernadas, no como herramientas de usuario.
Cuando un copiloto o un agente de automatización accede a sistemas corporativos, lo hace a través de cuentas de servicio, interfaces de programación y contextos de usuario. Tiene permisos. Actúa sobre datos. Genera salidas que pueden contener información sensible. Por todas esas razones, debería recibir el mismo tratamiento que cualquier identidad de alto privilegio en una organización: revisión periódica de accesos, aplicación de mínimo privilegio, monitoreo de comportamiento y trazabilidad de lo que toca.
La mayoría de los programas de seguridad corporativos no están configurados para esto. Fueron diseñados pensando en personas y sistemas, no en agentes de IA que operan con lógica propia, combinan fuentes de información y producen outputs que sus operadores humanos no siempre pueden anticipar.
La preparación de datos para IA, en su sentido operativo, requiere al menos cuatro movimientos concretos. Primero, construir un inventario actualizado de los sistemas de IA activos en el entorno, incluidos los copilotos embebidos en plataformas de productividad, los modelos personalizados y los agentes de automatización, mapeados a las fuentes de datos a las que acceden. Segundo, clasificar los datos sensibles con consistencia a través del almacenamiento en la nube, las aplicaciones de software como servicio y los repositorios heredados, porque sin esa clasificación los controles de cumplimiento no pueden distinguir entre información sensible y genérica. Tercero, aplicar a los agentes de IA la misma revisión que se aplica a cuentas de servicio de alto riesgo: sus permisos deberían reflejar uso real, no herencia acumulada. Cuarto, conectar ese contexto de datos a los controles existentes, incluyendo sistemas de prevención de pérdida de datos, gestión de accesos e identidades y pasarelas de acceso, para que las políticas reflejen exposición real en lugar de patrones abstractos.
Ninguno de estos pasos requiere esperar a que los modelos de IA mejoren. Son decisiones sobre la infraestructura que ya existe.
La preparación de datos no es una etapa previa, es la apuesta real
El mercado de IA empresarial está creciendo a tasas superiores al 30% anual y se proyecta entre 150.000 y 200.000 millones de dólares para 2030. En ese contexto, la ventaja competitiva no estará en haber adoptado IA antes que los demás, sino en haberla adoptado sobre una base que permite operar con confianza y escalar sin fricciones.
Las organizaciones que trataron la preparación de datos como una formalidad técnica menor están descubriendo, en producción, que sus sistemas de IA producen resultados inconsistentes, que sus equipos legales no pueden certificar el cumplimiento regulatorio de los procesos asistidos por IA, y que sus equipos de seguridad no pueden responder preguntas básicas sobre qué información está siendo procesada y por quién.
El desplazamiento que este momento revela no es tecnológico en su núcleo. Es de gobernanza. La inteligencia artificial está forzando a las empresas a confrontar problemas de datos que ya existían antes de que ningún copiloto se activara: datos sin clasificar, permisos acumulados sin revisión, inventarios incompletos, controles diseñados para un mundo donde las búsquedas eran manuales y lentas. Lo que cambió no es que esos problemas aparecieron. Lo que cambió es que ya no es posible ignorarlos sin consecuencias visibles y rápidas.
Las organizaciones que saldrán mejor posicionadas en este ciclo son las que entendieron que preparar los datos no es un paso previo a adoptar IA. Es, con precisión, el trabajo de fondo que determina si la adopción produce valor o simplemente produce más superficie de riesgo sobre la que opera un sistema más veloz.
