Una de cada 28 consultes enviades a eines d'IA generativa des d'entorns empresarials presenta un risc alt de fuga d'informació sensible. La dada figura en un informe de Check Point Research i afecta de ple companyies que ja han incorporat aquests sistemes a la seva feina diària.
La principal paradoxa és que la implantació ja és massiva, però el risc també ho és. L'estudi assenyala que el 91% de les organitzacions que fan servir IA generativa en les seves operacions diàries s'han vist afectades per aquest perill d'exposició, tant a escala general com en el cas concret d'Espanya.
Espanya va registrar 1.883 ciberatacs setmanals per empresa el desembre del 2025
El context en què creix l'ús corporatiu de la IA ja era de pressió sostinguda sobre la ciberseguretat. A Espanya, les empreses van patir una mitjana de 1.883 ciberatacs setmanals el desembre del 2025, un 5% més que un any abans.
Sobre aquest escenari se superposa ara l'ús quotidià d'assistents i plataformes generatives. L'informe indica que el 91% de les organitzacions espanyoles que fan servir IA generativa van afrontar consultes d'alt risc, una categoria que inclou interaccions amb potencial per exposar informació que no hauria de sortir del perímetre intern.
Les dades més compromeses en aquest tipus de consultes abasten credencials i secrets interns, dades personals, informació financera, propietat intel·lectual i informació comercial. No es tracta només de documents complets, sinó també de fragments de codi, claus d'accés, xifres internes o detalls operatius introduïts per empleats en els prompts.
Samsung, Apple i Amazon van vetar ChatGPT després de filtracions internes
Algunes grans tecnològiques ja van adoptar restriccions després d'incidents concrets. Samsung, Apple i Amazon van prohibir l'ús intern de ChatGPT després de detectar filtracions de codi font i altres dades confidencials per part d'empleats.
Aquest precedent il·lustra un problema que ja no es limita a l'ús visible d'una aplicació concreta. Check Point Research afegeix que prop del 40% dels servidors MCP, sigles de Model Context Protocol, presentaven vulnerabilitats de seguretat en la mostra examinada.
Els servidors MCP actuen com a punt de connexió entre models i fonts externes d'informació o serveis. Si aquesta capa falla, l'exposició no depèn només del que escriu un treballador en un prompt, sinó també dels permisos, accessos i integracions que envolten l'eina.
Les empreses concentren el risc en permisos, accessos i classificació de dades
L'informe planteja diverses mesures per reduir l'exposició en entorns corporatius. La primera és definir una política interna d'ús d'IA que marqui quines dades es poden introduir, en quines eines i per a quines tasques.
Juntament amb aquesta norma, recomana ordenar la informació en quatre nivells de classificació. També proposa activar sistemes d'SSO i MFA a les plataformes utilitzades, revisar els permisos de les integracions i fixar un procediment de resposta davant d'incidents.
Fora d'Espanya, la mateixa anàlisi regional recull un repunt del 15% dels ciberatacs a l'Argentina. En paral·lel, la revisió tècnica de Check Point Research va detectar vulnerabilitats de seguretat en aproximadament el 40% dels servidors MCP examinats.