Ciberseguridad

Usar IA en tu empresa sin arriesgar tus datos

Publicado el 2 de julio de 2026

Empleada usando una herramienta de inteligencia artificial en la computadora de una PyME mexicana de forma segura.

ChatGPT, Gemini y Copilot ya están dentro de tu empresa, los uses oficialmente o no: tu equipo los abre para redactar correos, resumir juntas o depurar una hoja de cálculo. El problema no es la IA, es lo que la gente pega en ella. Cuando alguien copia la base de clientes o un estado de cuenta en una IA pública, esa información sale de tu control. Aquí tienes una guía honesta y accionable para aprovechar la IA sin filtrar lo que no debes.

Lo que NUNCA deberías pegar en una IA pública

La regla mental es simple: si no lo publicarías en una red social, no lo pegues en una herramienta de IA que no controlas. En concreto, mantén fuera de ChatGPT, Gemini o cualquier chatbot público lo siguiente:

  • Datos personales de clientes: nombres con RFC, CURP, domicilios, teléfonos, correos, historial de compras o cualquier expediente. Son datos de terceros que tú custodias, no que puedes repartir.
  • Información financiera: estados de cuenta, nómina, márgenes, contratos, precios de proveedores. Es justo lo que tu competencia querría ver.
  • Secretos del negocio: código fuente propietario, fórmulas, planos, estrategia comercial, un contrato bajo NDA.
  • Credenciales y llaves: contraseñas, tokens de API, cadenas de conexión a bases de datos. Pegar una llave en un chat equivale a publicarla.
  • Datos de salud o legales: cualquier información sensible que, filtrada, exponga a una persona.

¿La alternativa? Anonimiza antes de preguntar. En lugar de pegar la lista real de clientes morosos, escribe "tengo una tabla con nombre, saldo y días de atraso; dame una fórmula para marcar los de más de 30 días". La IA te da la fórmula sin ver un solo dato real.

Gratis vs. empresa: quién se queda con tus datos

Esta es la diferencia que casi nadie explica y que sí importa. En las versiones gratuitas o personales de muchas herramientas, lo que escribes puede usarse para entrenar los modelos, salvo que desactives esa opción en la configuración. En las versiones de negocio o empresa (los planes Team, Business o Enterprise), el proveedor normalmente se compromete por contrato a no entrenar con tus datos y te da controles de administración. No es un detalle menor: es la línea entre "mi información alimenta un modelo público" y "mi información se queda en mi empresa".

Dos acciones concretas hoy mismo: primero, en las cuentas gratuitas revisa la configuración y desactiva el uso de tu contenido para entrenamiento donde exista la opción. Segundo, si la IA ya es parte de tu operación, migra al plan de negocio de la herramienta que uses. Verifica siempre las políticas vigentes de cada proveedor, porque cambian; no las des por sentadas.

Riesgo y buena práctica, de un vistazo

RiesgoBuena práctica
Pegar datos de clientes en un chat públicoAnonimizar: describir la estructura, no los datos reales
La versión gratis entrena con tu contenidoUsar el plan de negocio/empresa y desactivar el entrenamiento
Empleados usando cuentas personalesCuentas corporativas administradas por la empresa
Cualquiera pega lo que sea sin criterioPolítica interna: qué sí, qué no y quién puede usar qué
Cuenta comprometida por contraseña débil2FA obligatorio y gestor de contraseñas
Confiar ciegamente en la respuesta de la IAVerificar datos, cifras y citas antes de usarlos

Una política interna que tu equipo sí va a entender

No necesitas un manual de 40 páginas. Necesitas una hoja que todos lean en cinco minutos. Cubre tres preguntas:

  • Qué SÍ se puede hacer: redactar y mejorar textos, resumir documentos públicos, generar ideas, escribir fórmulas o borradores de código sin datos reales, traducir.
  • Qué NO se puede hacer: pegar datos personales de clientes, información financiera, credenciales o secretos del negocio; tomar decisiones automáticas sin revisión humana.
  • Quién puede usar qué: define herramientas aprobadas (por ejemplo, la versión de empresa de una sola herramienta) y a quién se le asigna. Evita que cada quien traiga su propia IA sin avisar.

Un caso típico: una PyME regiomontana de servicios permitió a su equipo de ventas usar IA para redactar cotizaciones, pero prohibió expresamente pegar el catálogo de precios y los datos del cliente. Los vendedores escriben "cotización para cliente industrial, 3 servicios, tono formal" y ajustan a mano los números. Ganan tiempo sin exponer nada.

Higiene de cuentas: lo aburrido que sí protege

La fuga más común no es sofisticada: es una cuenta personal con contraseña reciclada. Tres hábitos que reducen el riesgo de inmediato:

  • Activa la verificación en dos pasos (2FA) en toda cuenta de IA. Si roban la contraseña, el segundo factor detiene el acceso.
  • Usa cuentas corporativas, no personales. Cuando alguien deja la empresa, revocas su acceso; con una cuenta de Gmail personal, el historial de la empresa se va con esa persona.
  • Adopta un gestor de contraseñas para que nadie repita la misma clave en cinco servicios.

Estos mismos principios aplican a toda tu superficie digital, no solo a la IA. Si quieres el panorama completo, revisa los 5 riesgos de ciberseguridad para PyMES, y si prefieres que un experto blinde tu operación, apóyate en un servicio de ciberseguridad para PyMES.

Cumplimiento en México: lo que debes tener en el radar

En México, el manejo de datos personales de tus clientes está regulado por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP). A grandes rasgos, tú eres responsable de los datos que recabas y de darles un tratamiento cuidadoso, incluido lo que pasa cuando los introduces en herramientas de terceros. Meter datos personales de clientes en una IA pública puede entrar en conflicto con ese deber de cuidado. Esto es una orientación general, no asesoría legal: para tu caso concreto, tu aviso de privacidad y tus obligaciones específicas, consulta a un asesor legal. La buena noticia es que las buenas prácticas de este artículo (anonimizar, usar planes de empresa, no pegar datos sensibles) van en la dirección correcta.

Aprovecha la IA sin bajar la guardia

Adoptar IA con criterio no significa frenarla; significa ponerle reglas para que sume sin exponerte. Si quieres sacarle todo el provecho a estas herramientas de forma segura, empieza por la guía práctica de IA para negocios y arma tu política antes de que el equipo improvise una por su cuenta.

Preguntas frecuentes

¿Es seguro usar ChatGPT o Gemini en mi empresa?
Sí, si pones reglas. Usa la versión de negocio, activa 2FA, define qué información no se puede pegar (datos de clientes, financieros, credenciales) y anonimiza antes de preguntar. El riesgo no está en la herramienta, sino en lo que le compartes.

¿La versión gratis de la IA usa mis datos para entrenar?
Puede hacerlo, salvo que desactives esa opción en la configuración. Las versiones de negocio o empresa normalmente se comprometen por contrato a no entrenar con tus datos. Verifica siempre la política vigente del proveedor, porque cambia.

¿Meter datos de clientes en una IA rompe la ley en México?
Como responsable de esos datos tienes un deber de cuidado bajo la LFPDPPP, y compartirlos con terceros sin control puede entrar en conflicto con él. Es una orientación general; para tu caso concreto consulta a un asesor legal.

Adopta IA sin poner en riesgo a tu empresa

En Medware combinamos consultoría de IA y ciberseguridad: definimos tus políticas, configuramos cuentas de empresa, activamos 2FA y capacitamos a tu equipo para usar la IA sin filtrar datos. Agenda una consultoría.

Agenda una consultoría
Agendar 30 min WhatsApp
Contacte a un especialista
Ventas y Proyectos Soporte Técnico