La Inteligencia Artificial (IA) ha dejado de ser una tecnología de futuro para convertirse en una herramienta cotidiana para los casi tres millones de pequeñas y medianas empresas (pymes) de España. Automatizar tareas, analizar datos o mejorar la atención al cliente son ya usos habituales en el día a día de estas compañías. Sin embargo, «una adopción acelerada de la IA, sin una estrategia clara de seguridad, gobernanza del dato ni concienciación social está poniendo en riesgo a muchas de esas compañías», explica Javier Tejada, copresidente y responsable de Tecnología de la consultora h&k, especializada en soluciones integrales para empresas. 

Los datos confirman esta preocupación. Según el Banco de España, una de cada cinco empresas españolas utiliza ya algún sistema de IA; el principal es el uso de la IA generativa (18,1%), especialmente en las empresas de menor tamaño. Pero el 60% de esas compañías aún emplea la IA todavía en fase experimental, sin procesos consolidados ni controles avanzados, lo que supone un peligro para ellas.  

En 2024, el Instituto Nacional de Ciberseguridad (INCIBE) gestionó más de 97.000 incidentes de ciberseguridad, de los cuales 31.000 afectaron directamente a empresas, muchas de ellas pymes, evidenciando que el riesgo digital ya no es teórico, sino real y creciente. 

Ante el uso creciente de la IA en las pymes, la consultora tecnológica h&k señala de que muchas organizaciones están incorporando estas tecnologías sin una base sólida de seguridad. Y, a partir de su experiencia, ha identificado cinco peligros más recurrentes. 

1. Ataques más creíbles y baratos 

La IA está haciendo que los ataques de phishing, en los que lo ciberdelincuentes suplantan la identidad de entidades legítimas como bancos para engañar a los usuarios y obtener un beneficio económico, sean más creíbles. Gracias a la IA, es posible generar correos, mensajes o o incluso llamadas automatizadas con un lenguaje perfecto, adaptado al contexto de la empresa, su sector o sus clientes, lo que dificulta su detección. Para las pymes, donde los procesos de verificación suelen ser más informales, este tipo de ataques aumenta el riesgo de fraude, robo de credenciales o suplantación de identidad. 

2. Datos desordenados y accesos mal definidos que amplifican el riesgo de la IA 

En muchas pymes, la información crítica (documentación, correos electrónicos, históricos de clientes o datos financieros) está dispersa, duplicada y con permisos heredados durante años. «Al conectar herramientas de Inteligencia Artificial a estos entornos, la tecnología no crea el problema, pero lo amplifica. La IA accede, procesa y resume información que no debería estar disponible para determinados usuarios o usos», concluye Javier Tejada. 

3. Fuga de datos por ‘IA fuera de control’ 

Esta amenaza aparece cuando las herramientas de IA se utilizan sin normas internas ni supervisión, habitualmente a través de aplicaciones no corporativas o cuentas personales. De esta manera, los empleados pueden introducir sin darse cuenta documentos internos, datos de clientes, información financiera o comunicaciones sensibles, perdiendo la empresa el control sobre dónde se almacenan o cómo se reutilizan esos datos. «Para las pymes, la ausencia de políticas y controles técnicos convierte este uso desordenado de la IA en una vía directa de fuga de información crítica», subraya Javier Tejada, copresidente y responsable de Tecnología de h&k. 

4. ‘Prompt injection’ y asistentes que revelan información interna 

«Este escenario se produce cuando las pymes conectan chatbots o agentes al correo electrónico, al CRM o a repositorios documentales sin un diseño adecuado de seguridad y permisos. A través de técnicas como el prompt injection, un atacante puede forzar al asistente a generar respuestas que incluyan información sensible, saltándose las restricciones previstas», señala Tejada. Además, estos sistemas pueden llegar a sugerir o ejecutar acciones no deseadas, como modificar registros o reenviar información, convirtiendo al asistente en un nuevo punto de exposición de datos internos. 

5. Incumplimientos y sanciones por datos personales (RGPD) al usar la IA 

El uso de herramientas de IA sin las debidas garantías puede llevar a las pymes a incumplir el RGPD sin ser conscientes. Introducir datos de clientes o empleados en sistemas que usan esta tecnología, reutilizar contenidos generados sin control o entrenar modelos con información interna puede suponer tratamientos no autorizados, pérdida de control del dato y sanciones económicas, además de un importante riesgo reputacional para organizaciones sin estructuras avanzadas de compliance.