La privacidad de los datos en el lugar de trabajo se ha consolidado como un eje central de la gestión organizacional moderna, trascendiendo el mero cumplimiento normativo para convertirse en un componente esencial de la protección de las personas, la continuidad operativa y la confianza interna.
En un contexto de creciente digitalización y automatización de procesos, los datos laborales se transformaron en activos sensibles cuya exposición puede generar impactos significativos tanto a nivel humano como institucional.
Lejos de tratarse exclusivamente de una obligación legal, la privacidad de los datos refleja la manera en que una organización se vincula con su personal y resguarda su información más sensible.
Las prácticas responsables en este ámbito contribuyen a fortalecer la reputación interna, consolidar vínculos de confianza y reducir riesgos financieros, legales y reputacionales que pueden derivarse de un manejo inadecuado de la información.
Los empleados ocupan un rol central en este escenario, ya que generan, gestionan y utilizan la mayor parte de los datos que permiten el funcionamiento cotidiano de las organizaciones. Esta realidad los convierte, simultáneamente, en custodios clave de la información y en objetivos prioritarios de amenazas cada vez más sofisticadas, especialmente aquellas impulsadas por tecnologías de inteligencia artificial.
La información vinculada a los trabajadores va mucho más allá de los datos básicos de identificación. Incluye registros salariales, información médica, evaluaciones de desempeño, verificaciones de antecedentes, datos de uso de dispositivos y, en algunos casos, comunicaciones personales realizadas a través de plataformas laborales. La exposición o el uso indebido de estos datos puede afectar la moral, erosionar la confianza y generar consecuencias legales y económicas de gran alcance.
Cuando las personas confían en que su información es tratada de manera responsable, se fortalece la transparencia interna y se promueve una cultura de cooperación. Esa confianza facilita la adopción de herramientas digitales, incentiva la notificación temprana de errores o irregularidades y favorece la participación activa en procesos de mejora y prevención.
EL IMPACTO DE LA CONFIANZA Y EL FACTOR HUMANO
La confianza de los empleados se convierte así en un elemento estratégico para la seguridad de la información. En entornos donde esta confianza se debilita, suelen aparecer conductas de evasión de políticas internas, uso de herramientas no autorizadas o reticencia a reportar situaciones sospechosas, lo que incrementa los riesgos operativos y de seguridad.
Este escenario adquiere mayor relevancia frente al avance de la ingeniería social moderna, que explota tanto vulnerabilidades tecnológicas como comportamientos humanos previsibles.
Los empleados se constituyen, en muchos casos, en la primera línea de defensa frente a intentos de manipulación que buscan obtener acceso indebido a datos o recursos críticos.
Las amenazas actuales evolucionan con rapidez, impulsadas en gran medida por el uso de inteligencia artificial para perfeccionar técnicas de engaño. La capacidad de generar mensajes altamente personalizados, voces clonadas o videos falsificados ha elevado el nivel de sofisticación de los ataques y reducido las barreras de entrada para los actores maliciosos.
Las denominadas falsificaciones profundas permiten replicar con gran realismo la apariencia o la voz de ejecutivos, colegas o socios comerciales, a partir de material audiovisual disponible públicamente. Esta tecnología facilita la creación de escenarios verosímiles que dificultan la detección de fraudes, incluso para empleados con experiencia.
Las pequeñas y medianas organizaciones suelen enfrentar una exposición mayor, debido a la ausencia de equipos de seguridad especializados o de protocolos formales para validar solicitudes inusuales. Esta combinación las convierte en objetivos atractivos para ataques que explotan la urgencia y la confianza interpersonal.
Amenazas impulsadas
por Inteligencia Artificial
Entre las modalidades más frecuentes se encuentra la suplantación de identidad ejecutiva mediante herramientas de Inteligencia Artificial (IA) generativa. En estos casos, los atacantes se hacen pasar por directivos o responsables financieros para inducir a los empleados a realizar transferencias, compartir credenciales o divulgar información sensible, apelando a situaciones de urgencia o confidencialidad.
Un caso ampliamente difundido ilustró el alcance de estas prácticas cuando un empleado de la empresa de ingeniería Arup fue engañado durante una videollamada deepfake y transfirió aproximadamente USD25 millones, creyendo que la solicitud era legítima. Este episodio evidenció el potencial de daño de este tipo de ataques cuando se combinan tecnología avanzada y presión psicológica.
Otra amenaza relevante es el compromiso de correo electrónico empresarial, conocido como BEC, que consiste en el uso de cuentas falsificadas o comprometidas para manipular flujos de trabajo habituales y redirigir fondos. Estos ataques se caracterizan por no requerir malware, basándose exclusivamente en la persuasión y el conocimiento de los procesos internos.
Las advertencias de organismos especializados señalan que el BEC se mantiene entre las categorías de delitos cibernéticos con mayor impacto financiero. La capacidad de replicar estilos de comunicación y referencias contractuales incrementa la efectividad de estas estafas.
Un ejemplo significativo fue el caso del gigante químico Orion, que perdió USD60 millones a mediados de 2025 tras una falsificación de un proveedor que citaba cláusulas contractuales exactas y plazos de producción urgentes. El episodio demostró que «no se necesitó malware; solo ingeniería social brutal».