ChatGPT y otros modelos de lenguaje comerciales (Claude, Gemini, Copilot) se han convertido en herramientas cotidianas en oficinas de marketing, ingeniería, soporte y finanzas. Lo que empezó como un experimento personal en 2023 es hoy una capa de productividad asumida en plantilla, muchas veces sin que el equipo de seguridad sepa qué datos están saliendo, hacia qué proveedor y con qué política de retención. Para un CISO en 2026, ChatGPT no es solo una aplicación SaaS: es un canal de salida de información que toca propiedad intelectual, datos personales y secretos comerciales en cuestión de segundos.
Este artículo recoge los siete riesgos principales que deben mitigarse, los controles técnicos que funcionan, una política de uso aplicable y un plan de gobernanza de IA de 90 días que evita los dos extremos habituales (bloqueo total o vía libre).
Lo esencial
- El riesgo número uno de ChatGPT en empresa no es el ataque externo, es la fuga de datos saliente desde el propio empleado.
- La shadow AI (uso no autorizado de LLMs personales) afecta a la mayoría de organizaciones con más de 500 empleados según encuestas de Gartner y Cisco 2025.
- Los planes Team y Enterprise de OpenAI ofrecen retención cero por defecto, opt-out de entrenamiento, SSO y DPA. El plan gratuito y Plus, no.
- GDPR, AI Act y NIS2 ya aplican: la ausencia de política IA documentada se considera carencia de control en auditorías.
- Bloquear ChatGPT al firewall no resuelve nada si los empleados acceden desde el móvil personal. La respuesta es gobernanza, no prohibición.
Por qué ChatGPT importa al CISO en 2026
Tres dinámicas explican por qué la seguridad de los LLMs comerciales ha saltado al primer cuadrante de riesgo corporativo.
Primero, la adopción es masiva y orgánica. Encuestas de OpenAI publicadas en 2025 cifran en cientos de millones los usuarios semanales de ChatGPT, con una penetración corporativa que ya no se mide en pilotos sino en uso diario por departamento. Los empleados no piden permiso: descubren el producto, lo prueban en una tarea pequeña y lo adoptan para todo.
Segundo, la shadow AI ha desbordado el perímetro tradicional. Un empleado puede tener bloqueado chat.openai.com en la red corporativa y abrir el mismo chat en su móvil personal con la información sensible delante. El control de salida ya no se gana a nivel de DNS, se gana a nivel de política, formación y monitorización conductual.
Tercero, el marco regulatorio ha cerrado el cerco. El AI Act europeo entró en aplicación escalonada en 2025-2026, NIS2 exige en su artículo 21 controles de seguridad en la cadena de suministro digital (los LLMs entran ahí), y GDPR mantiene su posición sobre cualquier procesamiento de datos personales por un encargado, sea OpenAI, Microsoft o Google. Una empresa sin política de uso de IA documentada llega a una auditoría con un déficit evidente.
El resultado es que, en 2026, no hay margen para tratar ChatGPT como una herramienta opcional fuera del programa de seguridad. Está dentro del alcance.
Los 7 riesgos principales de ChatGPT en empresa
1. Data leakage saliente (outbound)
El riesgo más frecuente y el de mayor impacto medio. Un empleado pega en el chat un fragmento de código fuente propietario, un contrato sin anonimizar, un listado de clientes o un informe financiero pre publicación para que ChatGPT lo resuma, refactorice o traduzca. En los planes gratuitos y Plus, ese contenido puede usarse para entrenar futuras versiones del modelo según las condiciones por defecto. Aunque no se entrene, queda registrado en el historial del proveedor.
El caso Samsung 2023 es el referente público: tres empleados expusieron código de semiconductores y notas internas pegándolas en ChatGPT, lo que llevó a Samsung a prohibir temporalmente el uso de IA generativa en sus equipos. El patrón se ha repetido en muchas organizaciones que no lo han reportado.
2. Prompt injection entrante (inbound)
Cuando ChatGPT se conecta a contenido externo (navegación web, plugins, lectura de documentos subidos, integraciones por API en agentes), pasa a ser vulnerable a prompt injection: instrucciones maliciosas escondidas en una página, un PDF o un correo que el modelo interpreta como órdenes legítimas. El atacante puede pedirle al asistente que exfiltre el historial de la conversación, que invoque una herramienta con parámetros maliciosos o que devuelva una respuesta engañosa al usuario.
Este riesgo crece a medida que ChatGPT gana capacidades agénticas (Operator, agentes con acceso a herramientas, integraciones con calendario y correo). Para profundizar en la mecánica, consulta nuestra guía sobre prompt injection en ataques a LLM.
3. Hallucinations en decisiones críticas
Los LLMs generan respuestas plausibles que pueden ser fácticamente incorrectas. En un proceso de soporte cliente, una redacción de marketing o un brainstorming, el coste de una alucinación es bajo. En un dictamen legal, una valoración médica, un análisis financiero o un diagnóstico de seguridad, el coste puede ser estructural.
El problema no es la existencia de alucinaciones, es asumir que el equipo entiende dónde están los límites. Sin formación específica, los empleados confían más de la cuenta en respuestas que suenan competentes.
4. Infracción de propiedad intelectual
Dos vertientes. Una, el contenido que el empleado genera con ChatGPT puede incorporar fragmentos protegidos por derechos de terceros sin que él lo sepa. Hay litigios abiertos en Estados Unidos y Europa contra varios proveedores de LLM por el uso de obras protegidas en entrenamiento.
Dos, el contenido aportado por el empleado al modelo en un plan sin opt-out de entrenamiento puede acabar reflejado de forma residual en respuestas a terceros. Es difícil de probar en un caso concreto, pero la posibilidad existe y los planes Enterprise la eliminan por contrato.
5. Vendor lock-in y dependencia operativa
Departamentos enteros construyen workflows críticos sobre ChatGPT (atención al cliente, generación de propuestas, análisis de tickets) sin contrato corporativo. Si OpenAI sufre una caída, cambia precios o discontinúa un modelo, el negocio se ve afectado y no hay SLA contractual que reclamar porque la suscripción es personal del empleado.
6. Shadow AI
Es el paraguas del problema. Cualquier uso no inventariado de IA generativa en la organización: ChatGPT personal en el móvil, Claude desde el navegador del portátil, Copilot incluido en la suscripción de Office que nadie configuró, agentes en GitHub que se instalaron en un repositorio. La shadow AI es la consecuencia natural de prohibir sin proveer alternativa autorizada.
7. Falta de auditabilidad y trazabilidad
Si un cliente, un regulador o un comité interno pregunta qué se ha procesado con qué LLM, en qué cuenta y con qué retención, la respuesta en una empresa sin gobierno IA es: no lo sé. Esa falta de trazabilidad es incompatible con ISO 27001, con NIS2 y con los requisitos de transparencia del AI Act para sistemas de alto riesgo.
Casos reales 2025-2026 documentados
El incidente Samsung de 2023 sigue siendo el caso público más citado de fuga de datos por uso descontrolado de ChatGPT en empresa. Generó una prohibición interna inmediata y disparó la conversación corporativa sobre políticas IA.
OpenAI ha reportado a lo largo de 2023-2024 un incidente de exposición de títulos de conversaciones y datos de facturación de un subconjunto de usuarios derivado de un bug en una biblioteca de cliente (Redis), y un incidente posterior reportado por medios sobre acceso no autorizado a foros internos de la compañía. Son recordatorios de que el proveedor también es un objetivo y de que la información enviada queda en su infraestructura.
En 2024-2025 se documentaron varias campañas de exfiltración a través de plugins y de conectores de terceros en ecosistemas LLM, donde la combinación de prompt injection en una página web y permisos excesivos del plugin permitía sacar contenido del usuario. Anthropic, OpenAI y Microsoft han endurecido desde entonces los modelos de permisos, pero el riesgo no desaparece, solo cambia de forma.
Lo importante a efectos prácticos: no hay que esperar al titular de prensa con el nombre de tu empresa. El patrón está descrito.
Encaje con marcos regulatorios
GDPR aplica desde el momento en que un empleado envía un dato personal a ChatGPT. OpenAI actúa como encargado de tratamiento, y la empresa sigue siendo responsable. Sin DPA firmado (plan Enterprise lo incluye), el envío de datos personales identificables a un LLM público es difícilmente defendible ante una autoridad de control. La AEPD y otras autoridades europeas han abierto procedimientos al respecto en 2023 y 2024.
El AI Act europeo clasifica los sistemas IA por riesgo. Un uso interno de ChatGPT para asistencia general no es alto riesgo. Pero si la organización integra LLMs en decisiones de contratación, evaluación de empleados, scoring crediticio o gestión de infraestructuras críticas, sí entra en categoría alto riesgo y obliga a documentación, supervisión humana y registros de auditoría.
NIS2 artículo 21 exige medidas de gestión de riesgos en la cadena de suministro digital, formación, políticas de uso aceptable y procedimientos para incidentes. Un programa serio de gobierno IA encaja directamente en esos requisitos. Si tu organización ya está auditando NIS2, conviene incorporar el bloque IA al alcance. Nuestra guía de auditoría NIS2 paso a paso detalla cómo estructurar el ejercicio.
ISO 27001 control A.5.23 (uso de servicios cloud) cubre directamente la suscripción a LLMs comerciales: selección, contratación, supervisión y retirada. Quien quiera profundizar en la norma puede leer nuestra guía de ISO 27001 explicada.
Controles técnicos efectivos
La defensa de ChatGPT en empresa se construye en capas. Ninguna por separado es suficiente.
DLP saliente moderno. Plataformas como Netskope, Zscaler, Microsoft Purview, Palo Alto Prisma Access o Cisco Cloud Web Security inspeccionan tráfico hacia dominios de IA generativa, detectan patrones de información sensible (PII, código fuente, números de tarjeta, datos de salud, secretos en formato API key) y aplican política: bloquear, redactar el contenido sensible antes del envío o alertar al usuario y registrar el evento.
Egress proxy y categoría IA generativa. Los proxies web corporativos disponen desde 2024 de categorías específicas para LLMs públicos. Permite distinguir tráfico hacia ChatGPT, Claude, Gemini, Perplexity y aplicar reglas por usuario, grupo, dispositivo y datos clasificados.
SSO e IdP broker. Forzar acceso a ChatGPT Enterprise o Team a través del IdP corporativo (Entra ID, Okta, Google Workspace) elimina cuentas personales para el entorno de trabajo, habilita MFA y permite revocar acceso al cese.
Extensiones de navegador de bloqueo y aviso. Hay extensiones gestionadas centralmente que detectan cuándo un usuario pega texto en un LLM y aplican una política previa: aviso, redacción automática o bloqueo si el contenido tiene patrones sensibles. Es útil como segunda red para usuarios fuera del proxy corporativo.
Monitorización de tráfico hacia infraestructura OpenAI. El equipo de SOC debe tener visibilidad sobre destinos de red asociados a LLMs comerciales (no solo ChatGPT, también los endpoints de API). La aparición de tráfico hacia api.openai.com desde servidores no autorizados puede indicar una integración no inventariada o exfiltración.
Sandboxes corporativos y despliegues privados. Para casos de uso sensibles, los modelos pueden ejecutarse en Azure OpenAI (modelos OpenAI dentro del tenant Azure), AWS Bedrock (Anthropic, Meta, Cohere, Mistral, Amazon) o Google Vertex AI (Gemini, Anthropic). El dato no sale de la nube ya contratada por la organización.
Para el resto de controles asociados a fuga de información, conviene revisar nuestra guía sobre qué es DLP.
Política de uso recomendada
Una política IA aplicable se sostiene sobre seis pilares.
Uno, clasificación de datos por sensibilidad. Definir tres niveles mínimos (público, interno, restringido) y declarar qué nivel puede entrar en cada tipo de LLM. Lo restringido (datos personales identificables, código fuente core, secretos comerciales, información financiera no pública, datos de clientes nominales) no entra en plan gratuito ni Plus, nunca.
Dos, prohibición explícita de código fuente propietario en LLMs sin contrato corporativo. Para asistencia con código se usa GitHub Copilot Business o Enterprise, Cursor Business, Claude Code en plan empresarial o despliegues sobre Azure OpenAI o Bedrock, con compromiso contractual de no entrenamiento.
Tres, uso obligatorio de tier Team o Enterprise para uso autorizado. Cuenta corporativa, SSO, retención cero por defecto, DPA. Eliminar el incentivo a usar la cuenta personal.
Cuatro, consentimiento informado y log. El empleado acepta los términos de uso al activar la cuenta. Los administradores conservan logs de uso para auditoría y respuesta a incidentes.
Cinco, formación obligatoria. Mínimo un módulo de 30 minutos al alta, refresco anual y comunicación específica ante cambios de producto. La formación cubre fuga de datos, alucinaciones, prompt injection y procedimiento ante incidente. Recomendamos combinarla con formación de ingeniería social porque los vectores se entrelazan.
Seis, canal de reporte y excepciones. Vía clara para que un empleado pregunte si puede usar IA para una tarea concreta sin sentir que pierde el tiempo. La política debe favorecer la consulta, no penalizarla.
ChatGPT Team vs Enterprise vs Free
Resumen comparativo de los tres planes con foco en seguridad y cumplimiento. Datos basados en las páginas oficiales y términos publicados por OpenAI a fecha de junio de 2026, susceptibles de cambio.
| Característica | Free / Plus | Team | Enterprise |
|---|---|---|---|
| Retención de datos | Estándar (90 días) | Cero por defecto | Cero por defecto, configurable |
| Uso para entrenamiento | Opt-out manual | No por defecto | No, contractual |
| SSO (SAML, OIDC) | No | Limitado | Sí |
| Logs de auditoría | No | Básico | Sí, exportables |
| DPA firmable | No | Sí | Sí, ampliado |
| Región de procesamiento | No garantizada | No garantizada | Configurable (residencia) |
| Soporte dedicado | No | Estándar | Sí, manager |
| Coste indicativo | Gratis / 20 USD usuario | 25-30 USD usuario | A negociar |
El salto Free a Team es asequible y resuelve la mayor parte del problema para empresas pequeñas y medianas. Enterprise se justifica cuando hay requisitos de residencia, integración SSO completa, audit logs exportables al SIEM y volumen relevante.
Alternativas y LLM enterprise-ready
No todo es ChatGPT. El mercado ofrece varias rutas según el caso de uso.
Azure OpenAI Service. Modelos OpenAI (GPT-4o, GPT-4.1, o1, o3) ejecutados dentro del tenant Azure del cliente. Mismas capacidades, control de red, integración con Entra ID, Private Endpoint, residencia de datos por región. Ideal para empresas con stack Microsoft 365 y compromiso EA con Azure.
AWS Bedrock. Acceso unificado a Anthropic Claude, Meta Llama, Cohere, Mistral, Amazon Nova y otros. Integración nativa con IAM, KMS, CloudTrail, VPC endpoints. Buena opción para empresas con cargas en AWS que quieren diversidad de proveedores sin gestionar infraestructura.
Google Cloud Vertex AI. Gemini de Google y Anthropic Claude como servicio gestionado. Integración con BigQuery, Workspace, Vertex AI Agent Builder. Encaje natural para empresas Google Workspace.
Anthropic Claude Enterprise. Producto directo de Anthropic. Retención cero, SSO, DPA, fuerte trazabilidad. Atractivo para casos sensibles en legal, salud o finanzas donde la calidad de razonamiento de Claude es ventaja.
Criterio sencillo de elección: usa la nube donde ya estás contractualmente, salvo que un caso concreto exija un modelo específico de otro proveedor.
Implementación de política IA: roadmap 90 días
Plan ejecutable que evita la parálisis del comité y el cliché del "framework integral".
Semana 1-2: descubrimiento. Inventario de uso real. Encuesta anónima al personal, revisión de logs de proxy y firewall (categoría IA generativa), revisión de SaaS connector logs (Microsoft 365, Google Workspace), entrevistas con responsables departamentales. Salida: lista de herramientas IA usadas, casos de uso, datos involucrados.
Semana 3-4: clasificación y matriz. Definir niveles de datos y matriz de qué dato puede entrar en qué tier de qué proveedor. Revisar contratos vigentes y términos por defecto. Salida: política IA borrador y matriz datos-LLM.
Semana 5-6: controles técnicos quick wins. Activar categoría IA generativa en proxy y firewall. Configurar DLP saliente con reglas mínimas (PII, código, secretos). Despliegue de extensión de aviso en navegadores corporativos. Salida: telemetría base de uso saliente.
Semana 7-8: contratación y SSO. Negociar ChatGPT Team o Enterprise (o Claude Enterprise, Azure OpenAI, Bedrock según decisión), firma de DPA, integración con IdP corporativo, habilitación SSO obligatorio. Salida: cuentas corporativas activas, cuentas personales desincentivadas.
Semana 9-10: comunicación y formación. Publicación de la política IA, comunicación dirección general, sesiones de formación por departamento, FAQ interna, canal de consultas. Salida: 100% del personal informado y formado.
Semana 11-12: monitorización y ajuste. Revisión de logs DLP y SOC. Ajuste de reglas (falsos positivos típicos: emails de marketing, documentación pública). Primera revisión con dirección. Salida: informe de adopción y excepciones para los siguientes 90 días.
A los 90 días no está todo terminado, pero la organización ha pasado de cero gobierno a una base sólida sobre la que iterar.
Preguntas frecuentes
¿Es legal usar ChatGPT en empresa en la Unión Europea?
Sí, con condiciones. Necesitas base legal para los datos personales tratados (consentimiento, interés legítimo documentado, ejecución contractual), DPA firmado con el proveedor (incluido en planes Team y Enterprise) y política interna de uso aceptable. El plan gratuito sin DPA no es defendible si tratas datos personales identificables.
¿OpenAI puede usar mis datos para entrenar sus modelos?
En el plan gratuito y Plus, por defecto puede usar tus conversaciones para mejorar el servicio, salvo que actives el opt-out en configuración. En Team y Enterprise, los datos no se usan para entrenamiento por defecto, lo que recoge el contrato. Si la conversación es sensible, el control no debe depender de la diligencia individual de cada empleado, debe estar resuelto por el tier contratado.
¿Qué hago con la shadow AI existente?
Inventariar primero, regular después. Un anuncio de prohibición sin alternativa empuja el problema bajo la alfombra. La secuencia que funciona es: descubrimiento mediante logs y encuesta anónima, oferta de alternativa autorizada (Team o Enterprise), comunicación clara, ventana de adopción de 30 a 60 días y a partir de ahí aplicación de la política.
¿Bloquear o gobernar?
Gobernar. Bloquear ChatGPT al firewall corporativo es una decisión coherente solo si la empresa renuncia al beneficio de productividad, asume la migración a herramientas alternativas y acepta que los empleados lo usarán en el móvil personal igual. La opción ganadora en la mayoría de organizaciones es proveer el tier corporativo, formar y monitorizar.
¿El AI Act prohíbe usar ChatGPT en mi empresa?
No, salvo en usos clasificados como prohibidos (scoring social, manipulación subliminal, identificación biométrica masiva en espacios públicos). El uso ordinario de asistencia general es un uso permitido. Lo que sí exige el AI Act para sistemas de alto riesgo (decisiones automatizadas sobre personas, infraestructuras críticas, contratación, calificación crediticia) es documentación, supervisión humana, registros y evaluación de impacto.
¿Cuánto cuesta ChatGPT Enterprise?
OpenAI no publica precio Enterprise, se negocia por organización. Como referencia pública orientativa de medios especializados a lo largo de 2024-2025, el rango habitual es de varias decenas de dólares por usuario y mes, con compromisos de volumen y plazo. Team sí está publicado y se sitúa en torno a 25 a 30 USD por usuario y mes. Para una empresa con menos de 150 usuarios, Team suele resolver. Por encima, Enterprise se compensa rápido con SSO, audit logs y residencia.
Recursos relacionados
- Qué es prompt injection: ataques a LLM
- Qué es DLP (Data Loss Prevention)
- ISO 27001 explicada
- Auditoría NIS2 paso a paso
- DORA: guía de cumplimiento para empresas 2026
- Qué es ingeniería social
- MITRE ATT&CK: tácticas y técnicas
Gobernanza IA con Secra
En Secra acompañamos a equipos de seguridad en la transición de la shadow AI a un programa de gobierno IA defendible. Tres entregables habituales en 4 a 8 semanas:
- Auditoría de shadow AI. Descubrimiento real de uso de LLMs en tu organización con logs, encuesta y entrevistas. Inventario y mapa de riesgo por departamento.
- Política IA en 4 semanas. Redacción, revisión jurídica, alineamiento con NIS2, ISO 27001 y AI Act, plan de comunicación y formación.
- Revisión DLP saliente. Diagnóstico de tus controles actuales (Netskope, Zscaler, Purview u otros) frente al vector LLM, recomendaciones priorizadas y plan de despliegue.
Si quieres una conversación inicial para entender el alcance en tu caso, escríbenos desde la página de contacto. En menos de 48 horas tienes propuesta.
Sobre el autor
Equipo de Secra Solutions
Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.