Las empresas dejan de confiar en la IA externa

El Reglamento Europeo de IA y la creciente preocupación por el destino de los datos compartidos con proveedores externos están cambiando la forma en que las organizaciones toman decisiones sobre IA. Cada vez más, la pregunta no es qué herramienta IA usar, sino dónde termina y quién controla lo que sucede con la información que compartimos.

La adopción de inteligencia artificial en el entorno empresarial ha dejado de ser una cuestión de innovación para convertirse en una decisión con implicaciones directas sobre la privacidad y la soberanía de los datos. A medida que las organizaciones incorporan herramientas de IA a sus flujos de trabajo, crece también la conciencia sobre un riesgo que hasta hace poco pasaba desapercibido: cada consulta realizada a un proveedor externo de IA implica ceder información corporativa a infraestructuras que la organización no controla.

Los datos de 2025 reflejan con claridad este punto de inflexión. El 52% de las empresas españolas ya restringe el uso de herramientas de IA externas por motivos de privacidad y seguridad, según el ONTSI.⁴ Y el 36% de las organizaciones a nivel global cede datos a plataformas de IA de terceros sin aplicar ninguna medida de protección, según el Informe de Seguridad de Datos 2025 de Kiteworks.¹ La brecha entre adopción y control es amplia, y las consecuencias están generando problemas en múltiples organizaciones.

Qué ocurre cuando una empresa usa IA externa

Cuando un empleado sube un contrato a una plataforma de IA en la nube para que lo resuma, cuando introduce datos de clientes para que un modelo los analice, o cuando usa un asistente externo para redactar comunicaciones internas, toda esa información sale de la red corporativa. Pasa a servidores de un proveedor externo, puede quedar almacenada durante un período indefinido, puede utilizarse para mejorar o entrenar los modelos del proveedor y queda expuesta ante cualquier incidente de seguridad que afecte a ese tercero.

Según el informe IBM Cost of a Data Breach 2025, el 29% de los incidentes de seguridad vinculados a IA tuvieron su origen en servicios de IA entregados por proveedores externos en modalidad SaaS, el vector de riesgo de mayor peso dentro de esta categoría.² No se trata de un riesgo hipotético: es el canal por el que ya está ocurriendo la mayor parte de las fugas relacionadas con el uso de IA."

“Trasladar las cargas de trabajo a entornos con mayor soberanía permite a las organizaciones ganar control sobre la residencia de datos, el cumplimiento normativo y la gobernanza."
Gartner, Top Strategic Technology Trends for 2026

El sobrecoste de perder el control

El impacto económico de ceder datos a herramientas externas sin supervisión también está cuantificado. Las organizaciones con altos niveles de uso de IA externa no gestionada registraron un sobrecoste medio de 670.000 dólares por incidente respecto a aquellas que sí mantenían control sobre qué plataformas externas procesaban sus datos, según el mismo informe de IBM.² Una cifra que no incluye el daño reputacional ni las posibles sanciones regulatorias derivadas de incumplimientos del RGPD.

A ello se suma que la confianza pública en los proveedores de IA para proteger los datos personales cayó del 50% al 47% entre 2023 y 2025, según el Stanford AI Index.³ La percepción de que estos servicios no ofrecen garantías suficientes se está extendiendo tanto entre consumidores como entre responsables de tecnología en las organizaciones.

"Las organizaciones no pueden rastrear los datos que han compartido sus empleados con servicios de IA de terceros, no pueden controlar cómo se procesan o almacenan, ni recuperarlos una vez compartidos."
Kiteworks, Data Security Report, 2025

La regulación convierte el problema en obligación legal

A la preocupación empresarial se suma ahora la presión normativa. El Reglamento Europeo de Inteligencia Artificial exige a las organizaciones que operan en el mercado único identificar y controlar qué proveedores externos procesan sus datos y bajo qué condiciones lo hacen. No cumplir con estos requisitos expone a las organizaciones a sanciones que, según Gartner, podrían superar el 5% de la facturación global anual para el 75% de las entidades reguladas antes de 2027.⁵

En España, la privacidad de los datos se ha consolidado como el principal freno al uso de IA externa en las empresas, citado por el 52% del tejido empresarial según el ONTSI.⁴ El marco regulatorio no hace sino reforzar lo que la experiencia ya está enseñando: que delegar el procesamiento de datos sensibles en un tercero exige garantías que la mayoría de las plataformas de IA en la nube no están en condiciones de ofrecer.

La alternativa: que los datos no salgan

La respuesta más directa a este problema es también la más evidente: que el procesamiento de IA ocurra dentro de la propia infraestructura de la organización, sin que los datos abandonen nunca su red. Este es el principio que articula el modelo de IA local, y es la razón por la que su adopción crece con fuerza entre empresas e instituciones con requisitos estrictos de privacidad.

Cuando la IA opera en local, no existe transferencia de datos a terceros, no hay almacenamiento externo, no hay riesgo de que el proveedor use la información para entrenar sus modelos y no existe dependencia de las condiciones de uso de ninguna plataforma ajena. La organización mantiene control total sobre qué datos procesa el modelo, quién puede acceder a él y bajo qué condiciones opera.

Gartner estima que más del 75% de las empresas europeas trasladarán sus cargas de trabajo a soluciones con mayor soberanía digital antes de 2030, frente a menos del 5% en 2025.⁵ La pregunta que cada organización debe responder no es si este cambio va a ocurrir, sino si sus datos pueden permitirse esperar.

La respuesta de Lurnova

El problema que plantea la IA externa no es nuevo para nosotros. Antes de que los informes del sector lo cuantificaran, ya era una preocupación constante en las organizaciones con las que trabajamos: cómo aprovechar todo el potencial de la inteligencia artificial sin exponer información que no puede salir de su perímetro. Contratos, datos de clientes, propiedad intelectual, historiales académicos, evaluaciones confidenciales. Información que, en manos equivocadas o simplemente en servidores ajenos, representa un riesgo que ninguna organización responsable puede asumir.

Esa es la razón de ser de Lurnova AI Model Hub. Una plataforma que lleva la IA al interior de la organización, no al revés. Los modelos se ejecutan en la infraestructura propia. Los datos no salen, no se registran en sistemas externos y no contribuyen al entrenamiento de ningún modelo ajeno. La organización decide qué modelos usa, quién tiene acceso y qué queda registrado. Sin dependencias externas. Sin cesión de control.

Referencias

1 Kiteworks, Data Security and Compliance Report 2025. kiteworks.com

2 IBM Security, Cost of a Data Breach Report 2025. ibm.com

3 Stanford University, AI Index Report 2025. aiindex.stanford.edu

4 ONTSI / InfoJobs, La inteligencia artificial gana terreno en las empresas, 2025. ontsi.es

5 Gartner, Top Strategic Technology Trends for 2026. gartner.com