IA y Recursos Humanos: cuando el entrenamiento de los modelos pone en peligro los datos sensibles de su empresa

Laetitia

mayo 6, 2026

IA et Ressources Humaines : quand l'entraînement des modèles met en péril les données sensibles de votre entreprise

A medida que la inteligencia artificial (IA) se impone cada vez más en los servicios de Recursos Humanos (RRHH), las cuestiones relacionadas con la seguridad de los datos sensibles se vuelven cruciales. En 2026, el caso Mercor puso de manifiesto las vulnerabilidades inherentes al entrenamiento de modelos de IA que utilizan información interna y potencialmente confidencial. La cadena de suministro abierta, la multiplicidad de actores externos y el uso masivo de subcontratistas independientes han transformado los datos de RRHH en un punto de entrada importante para los ciberataques. El uso de plataformas de código abierto y la gestión a veces laxa de los protocolos de seguridad constituyen tantas amenazas para las empresas, que deben ahora repensar su gobernanza de datos para preservar la confidencialidad y el cumplimiento normativo.

Frente a este doble desafío de innovación y protección, las direcciones de TI y de RRHH deben integrar la ciberseguridad desde la concepción de los proyectos de inteligencia artificial. Más allá de los aspectos puramente técnicos, se trata de enmarcar toda la cadena humana que interviene en el entrenamiento de modelos: formadores, anotadores, plataformas externas y herramientas de terceros. Este enfoque holístico es indispensable para asegurar la protección de los datos sensibles, garantizar el respeto de las reglas éticas de la IA y responder a las exigencias del RGPD, aprovechando al mismo tiempo las ganancias de eficiencia que aporta la inteligencia artificial en la gestión del talento y la toma de decisiones estratégicas.

Los riesgos principales relacionados con el entrenamiento de modelos de IA en Recursos Humanos

El incidente Mercor reveló una falla crítica en el ecosistema de la inteligencia artificial aplicada a Recursos Humanos. Mientras los modelos de entrenamiento requieren una gran cantidad de datos, a menudo de carácter personal, su externalización a proveedores poco controlados plantea un problema fundamental de seguridad informática.

La multiplicidad de actores que intervienen en la recolección, anotación y validación de datos crea una gran superficie de exposición. Por ejemplo, trabajadores independientes mal informados pueden manipular intercambios internos, currículos, evaluaciones o historiales profesionales sin conocer las normas de confidencialidad o las exigencias normativas. Esta opacidad daña la trazabilidad y debilita la gobernanza de datos dentro de las empresas.

El uso de herramientas de código abierto, como el proyecto LiteLLM utilizado por Mercor, también expone las infraestructuras a riesgos técnicos. Estos softwares son regularmente actualizados por comunidades externas, a veces sin auditorías de seguridad profundas, creando vulnerabilidades explotables por actores maliciosos. Estas fallas pueden comprometer no solo los datos internos, sino también los intercambios entre humanos y sistemas de IA, como demostró la comprometida comunicación de Slack durante el ataque.

Otra amenaza importante radica en la naturaleza misma de los datos. La información presente en las bases de entrenamiento incluye a menudo direcciones personales, identificadores únicos, incluso números de seguridad social. Su exposición compromete no solo la confidencialidad individual de los empleados, sino que también implica un riesgo jurídico y reputacional considerable para la empresa. Una fuga puede afectar la confianza dentro de los equipos, perturbar la marca empleadora y generar sanciones en caso de incumplimiento de las obligaciones regulatorias.

La dimensión humana añade un factor de riesgo adicional. Los trabajadores implicados en el entrenamiento, a menudo asignados a misiones precarias y dispersas, están a veces poco sensibilizados a los desafíos de la ciberseguridad. La alta rotación, la falta de cualificación en protección de datos, o la ausencia de contratos claros complican el mantenimiento de una política de seguridad rigurosa. Estas fallas humanas se suman a las vulnerabilidades técnicas y organizativas.

A continuación una lista condensada de los principales riesgos relacionados con el entrenamiento de modelos de IA en RRHH:

  • Multiplicidad y bajo control de los actores externos
  • Obsolescencia y vulnerabilidades de las herramientas de código abierto
  • Exposición de información sensible y datos personales críticos
  • Falta de sensibilización y formación de los trabajadores en IA
  • Ausencia de trazabilidad y gobernanza rigurosa
  • Riesgo jurídico relacionado con el incumplimiento del RGPD y otras normas
  • Consecuencias reputacionales en la marca empleadora

Estos riesgos subrayan la necesidad de que las direcciones de RRHH y TI colaboren estrechamente para anticipar y mitigar estas vulnerabilidades. Una gobernanza adaptada es indispensable para transformar la gestión de datos sensibles en una ventaja segura.

¿Por qué la gobernanza de los datos sensibles es crucial en la IA aplicada a RRHH?

La cuestión de la gobernanza de los datos aparece en el corazón de los debates actuales sobre la IA en Recursos Humanos. La creciente sofisticación de los modelos que explotan millones de puntos de datos obliga a las empresas a adoptar enfoques sistemáticos y transversales.

La gobernanza abarca multitud de aspectos, desde el mapeo preciso de los flujos de datos, la definición de protocolos de acceso seguros, hasta el control de socios externos y la gestión de riesgos legales. Sin embargo, esta responsabilidad no puede descansar únicamente en los equipos de TI. Las direcciones de RRHH deben también integrar esta dimensión en su estrategia.

Un elemento fundamental consiste en identificar bien los datos que sirven para el entrenamiento de modelos para minimizar su volumen y nivel de sensibilidad. Se trata de respetar el principio de minimización del RGPD que impone tratar solo la información estrictamente necesaria. Por ejemplo, al seleccionar currículos o evaluaciones, solo se deben integrar los datos esenciales y anonimizarlos si es posible.

Luego, la puesta en marcha de contratos claros y exigentes con los proveedores es imprescindible. Estos acuerdos deben prever garantías sobre seguridad, confidencialidad, pero también sobre las condiciones de trabajo de los actores implicados. Así, toda intervención externa se realiza en un marco transparente y controlado.

Para asegurar esta gobernanza, se destacan varias buenas prácticas:

  • Realización regular de auditorías de seguridad y cumplimiento
  • Formación continua de los equipos internos y externos en temas de ciberseguridad
  • Implementación de entornos de entrenamiento seguros y aislados
  • Uso de protocolos de cifrado avanzados para la transmisión y almacenamiento de datos
  • Adopción de herramientas de trazabilidad que permitan seguir el uso de datos en tiempo real
  • Desarrollo de políticas internas estrictas, combinando exigencias técnicas y reglas éticas

Este último punto pone en relieve la importancia de la ética de la IA: no se trata solo de proteger datos, sino también de garantizar equidad, transparencia y responsabilidad en las decisiones automatizadas. En el contexto de RRHH, esto incluye la prevención de sesgos discriminatorios en el análisis automatizado de expedientes de talento o la garantía de una decisión humana en última instancia.

Aspecto de la Gobernanza Objetivos Ejemplos Concretos
Mapeo de datos Identificar todas las fuentes y flujos de datos sensibles Tableros internos que recaban bases de currículos, evaluaciones e historiales de RRHH
Control de proveedores Garantizar el cumplimiento de normas de seguridad y condiciones laborales Cláusulas contractuales que incluyen auditorías periódicas y formaciones previstas
Minimización de datos Reducir volumen y sensibilidad de datos usados Anonimización de datos personales en conjuntos de entrenamiento
Seguridad técnica Proteger contra intrusiones y fugas Uso de redes privadas virtuales (VPN) y cifrado de datos
Ética de la IA Asegurar transparencia y equidad en decisiones de RRHH Informes periódicos sobre reducción de sesgos y supervisión humana de decisiones automatizadas

Al tomar estas medidas, las organizaciones no solo respetan sus obligaciones legales, sino que también refuerzan la confianza de colaboradores y socios en sus procesos digitales basados en IA.

Buenas prácticas para la protección de datos sensibles en el entrenamiento de IA para RRHH

Garantizar la protección de datos durante el entrenamiento de modelos de IA se ha convertido en un reto estratégico. En un contexto de endurecimiento regulatorio y incremento de ataques, las empresas deben desplegar un conjunto coordinado de prácticas que aseguren todas las etapas del proceso.

El primer punto sigue siendo la securización del acceso a datos. Hay que limitar al mínimo estricto el número de actores, implementar autenticaciones reforzadas y controlar todos los movimientos de datos en tiempo real con herramientas avanzadas de monitoreo. El objetivo es también evitar la sobreexposición a riesgos por dispersión entre múltiples plataformas.

Además, la formación y sensibilización de los equipos, tanto internos como externos, son una barrera esencial. No basta con desplegar una solución técnica si los usuarios desconocen las buenas prácticas o la gravedad de los riesgos. Estas formaciones pueden incluir módulos específicos sobre normas RGPD, protocolos de ciberseguridad y principios éticos de la IA.

Otro recurso eficaz es la realización de simulacros de ataques y pruebas de intrusión regulares. Estos ejercicios permiten identificar rápidamente los puntos débiles de las arquitecturas y procesos relacionados con la IA. Este feedback alimenta el ciclo de mejora continua y refuerza la resiliencia de los sistemas.

A continuación una lista de las principales buenas prácticas para aplicar:

  • Implementación de protocolos de autenticación multifactor
  • Uso de entornos aislados para el entrenamiento (sandboxing)
  • Cifrado sistemático de datos en reposo y en tránsito
  • Registros detallados de auditoría para rastrear cada manipulación de datos
  • Proceso riguroso de evaluación de proveedores y subcontratistas
  • Implementación de políticas internas conformes al RGPD y recomendaciones de la CNIL
  • Monitoreo proactivo de anomalías mediante la propia inteligencia artificial

Un ejemplo notable es el de una empresa bancaria europea que adoptó un entorno de entrenamiento totalmente aislado, combinando cifrado homomórfico y supervisión humana, para evitar toda exposición de datos internos. Esta solución técnica avanzada permitió conciliar eficiencia de la IA y estricto respeto a las reglas de confidencialidad.

En resumen, la protección de datos sensibles durante el entrenamiento de IA se basa en un enfoque defensivo que combina seguridad técnica, sensibilización humana y cumplimiento normativo. Esta estrategia global garantiza la perennidad de los proyectos de IA en un entorno de RRHH seguro.

Cómo la IA transforma la gestión de recursos humanos aumentando los riesgos de ciberataques

La integración de la IA en la gestión de Recursos Humanos revoluciona las prácticas diarias: reclutamiento, seguimiento del desempeño, gestión previsional de plantilla o automatización de tareas administrativas ganan en eficiencia y precisión. Sin embargo, esta transformación digital va acompañada de un aumento notable de los riesgos relacionados con la ciberseguridad.

Los desarrolladores de herramientas de RRHH basadas en IA crean potentes modelos de entrenamiento capaces de analizar enormes volúmenes de datos internos, a veces muy sensibles, para anticipar las necesidades de talento o evaluar objetivamente a los colaboradores. No obstante, la concentración de esta información en plataformas centralizadas hace que los cibercriminales apunten con mayor frecuencia a estos sistemas. El caso Mercor es un ejemplo destacado.

La automatización de decisiones, una de las principales aportaciones de la IA, debe acompañarse inevitablemente de una gestión rigurosa de riesgos. De hecho, una decisión algorítmica errónea o sesgada puede no solo inducir discriminaciones, sino también deteriorar el clima social. Así, la seguridad informática ya no concierne únicamente a la protección contra intrusiones, sino también a garantizar una información fiable, ética y conforme.

Paralelamente, la transformación digital exige una adaptación constante de los propios recursos humanos. Los equipos de TI y RRHH deben ahora integrar competencias vinculadas a la ciberseguridad y gestión de riesgos: esto influye en sus métodos de trabajo, herramientas y formación continua.

A continuación, un cuadro sintético de los impactos de la IA en la gestión de RRHH y los riesgos asociados:

Transformación IA en RRHH Beneficios Claves Riesgos y Desafíos
Automatización del reclutamiento Ahorro de tiempo, mejor análisis de candidaturas Sesgos algorítmicos, fuga de datos de currículos
Gestión previsional del talento Optimización de plantilla, anticipación de necesidades Exposición de datos sensibles, errores de predicción
Seguimiento de desempeño Mayor transparencia, mejora de la toma de decisiones Afectación a la privacidad, seguridad de las bases de datos
Automatización de tareas administrativas Reducción de errores, rapidez de ejecución Riesgos de errores de sistema, vulnerabilidades técnicas

Frente a estos retos, las organizaciones deben integrar imperativamente una reflexión estratégica que combine ciberseguridad, confidencialidad, ética y normas RGPD. Así, la IA en RRHH puede convertirse en un verdadero motor de excelencia controlando los riesgos asociados.

Los desafíos regulatorios y éticos del uso de IA en la gestión de RRHH

La aplicación de inteligencia artificial en Recursos Humanos plantea importantes desafíos regulatorios, particularmente bajo el prisma del RGPD y las nuevas directivas europeas. En 2026, la CNIL reforzó sus recomendaciones para enmarcar estrictamente los tratamientos automatizados de datos personales, sobre todo en contextos sensibles como el reclutamiento, gestión de carreras y toma de decisiones disciplinarias.

La recolección, tratamiento y almacenamiento de datos deben realizarse en un marco estrictamente conforme, basado en fundamentos legales sólidos como el consentimiento explícito o el interés legítimo del empleador. El entrenamiento de modelos de IA a menudo complica este proceso, pues implica un uso masivo y a veces difuso de conjuntos de datos que contienen información personal sensible.

Se añade un desafío ético a estas exigencias legales: ¿cómo garantizar que los algoritmos no reproduzcan, e incluso amplifiquen, sesgos sociales (género, origen, edad) que podrían convertir decisiones de RRHH en discriminaciones? La transparencia de los modelos y la necesidad de supervisión humana en procesos críticos se vuelven entonces indispensables.

Para responder a estos desafíos, estos son los ejes clave que deben considerar los actores de RRHH:

  • Auditorías regulares de conformidad de los modelos de IA en aspectos de protección de datos
  • Documentación detallada de los tratamientos y explicabilidad de los algoritmos
  • Creación de comités éticos dedicados al uso de la IA en RRHH
  • Formación obligatoria de los equipos de RRHH en principios éticos y legales relacionados con la IA
  • Supervisión humana sistemática antes de cualquier decisión automatizada
  • Aplicación rigurosa del principio de minimización y regulación del consentimiento

La ética y la regulación no deben verse como obstáculos, sino como palancas para fortalecer la confianza y legitimidad de los proyectos de IA en RRHH. El equilibrio entre innovación tecnológica y respeto por los derechos individuales condiciona el éxito y la durabilidad de estas iniciativas.

Los impactos de la cadena de suministro de IA en la seguridad de RRHH: el caso Mercor

El incidente Mercor constituye un caso paradigmático que ilustra perfectamente la complejidad y riesgos asociados a la cadena de suministro en el sector de la inteligencia artificial aplicada a Recursos Humanos. Mercor, actor importante en el entrenamiento de modelos de IA, se apoya en una red heterogénea compuesta por independientes, subcontratistas y plataformas de código abierto, exponiendo así datos sensibles a multitud de riesgos.

La falla técnica vinculada al proyecto de código abierto LiteLLM permitió a actores maliciosos acceder a intercambios de Slack e información entre humanos e IA. Estas compromisiones evidencian la ausencia de controles rigurosos sobre las herramientas y los flujos de información que transitan por estos socios.

Detrás de esta falla técnica se esconde una problemática social importante: las condiciones laborales precarias de los intervinientes que participan en el entrenamiento de modelos. Estos trabajadores, a menudo independientes, compaginan varias misiones, sin formación adecuada en seguridad informática ni visibilidad sobre la finalidad de los datos manipulados. Este factor humano aumenta la vulnerabilidad intrínseca de la cadena de suministro de la IA.

La rápida reacción de nuevos clientes importantes, como Meta que suspendió su colaboración con Mercor, demuestra que la securización de esta cadena es un reto estratégico, al igual que la protección de secretos industriales. De hecho, la exposición de una sola empresa puede tener repercusiones en cascada para todo el sector.

Para limitar estos riesgos, es esencial que las empresas clientes:

  • Realicen una evaluación rigurosa de prácticas de RRHH y protocolos de seguridad de los socios
  • Exijan la implementación de medidas verificables de seguridad operativa y organizacional
  • Requieran formaciones obligatorias en ciberseguridad y ética para todos los intervinientes
  • Fomenten la contratación clara con cláusulas específicas sobre protección de datos
  • Adopten una aproximación proactiva de seguimiento y auditoría continua del cumplimiento de compromisos

Esta vigilancia reforzada contribuye a asegurar la cadena de suministro y, por tanto, garantizar la protección de datos sensibles confiados a los actores de IA en RRHH.

Transformar la gestión de riesgos en IA al servicio de RRHH

En la era de la inteligencia artificial, la gestión de riesgos en Recursos Humanos ya no puede limitarse a enfoques tradicionales. El incidente Mercor recuerda a todos los profesionales del sector que el entrenamiento de modelos de IA introduce nuevas vulnerabilidades que deben identificarse y controlarse.

En este contexto, las empresas deben adoptar un enfoque integrado que combine ciberseguridad, cumplimiento normativo, gobernanza de datos y ética. Entre las estrategias clave, se impone la implementación de una gestión proactiva de riesgos. Esta incluye, entre otros:

  • Mapeo detallado de riesgos asociados a datos sensibles y modelos de entrenamiento
  • Definición de planes de acción y respuesta rápida frente a incidentes
  • Implementación de sistemas de vigilancia automatizados que integren herramientas de IA en ciberseguridad
  • Recurrir a alianzas sólidas entre equipos de RRHH, TI y cumplimiento
  • Adopción de enfoques colaborativos con proveedores y subcontratistas para asegurar la cadena

Un ejemplo concreto es el de una empresa de servicios digitales que desarrolló un tablero de mando dedicado a la gestión de riesgos en IA. Este tablero centraliza alertas relacionadas con la gestión de datos, comportamientos anormales en plataformas de entrenamiento y eventuales incumplimientos contractuales. Esta visibilidad aumentada permitió evitar varios intentos de intrusión y fugas de datos.

Esta transformación en la gestión de riesgos es también una oportunidad para que las funciones de RRHH refuercen su rol estratégico. Al anticipar desafíos vinculados a la seguridad y protección de datos, participan activamente en la perennidad de las innovaciones en IA y en la creación de un clima de confianza dentro de las organizaciones.

Equilibrar rendimiento de la IA y respeto por la confidencialidad: soluciones técnicas emergentes

La tensión entre la necesidad de entrenar modelos complejos y la protección de datos sensibles obliga a las empresas a explorar nuevas soluciones técnicas. Varias innovaciones recientes en 2026 contribuyen a conciliar ambas exigencias, a menudo percibidas como opuestas.

El cifrado homomórfico es una tecnología prometedora que permite realizar cálculos directamente sobre datos cifrados. Este enfoque limita la exposición de información sensible durante el entrenamiento de modelos. Muchas grandes empresas están explorando actualmente esta técnica para reforzar su seguridad.

Otra vía es el «aprendizaje federado», que consiste en entrenar un modelo común a partir de varias fuentes de datos descentralizadas, sin compartir nunca los datos en bruto. Cada participante realiza localmente el entrenamiento parcial y solo se transmiten y agregan los parámetros del modelo. Este método reduce considerablemente los riesgos de exfiltración.

La adopción de entornos virtuales aislados (sandbox) y la implementación de procesos rigurosos de verificación de código fuente completan el arsenal técnico. Además, la integración de soluciones de trazabilidad con blockchain comienza a emerger para garantizar la integridad y procedencia de los datos usados en IA.

A continuación, un cuadro resumen de las tecnologías principales en evolución para proteger la confidencialidad durante el entrenamiento de IA:

Tecnología Funcionalidades Ventajas principales
Cifrado homomórfico Cálculos sobre datos cifrados sin descifrado Seguridad máxima sin pérdida de rendimiento
Aprendizaje federado Entrenamiento descentralizado de modelos Reducción del riesgo de exfiltración de datos sensibles
Sandboxing Entornos aislados para pruebas y entrenamientos Reducción de riesgos de ataques internos y fugas
Blockchain para trazabilidad Registro inmutable de acciones y datos Fortalecimiento de la transparencia y confianza

Estos avances iluminan el camino hacia un uso de la IA respetuoso de la confidencialidad y seguro. Invitan a las empresas a repensar sus arquitecturas técnicas y estrategias de entrenamiento de modelos para optimizar rendimiento y protección de datos.

Formar y sensibilizar sobre los retos de la IA en RRHH para garantizar seguridad y ética

Uno de los pilares esenciales para asegurar el uso de la IA en recursos humanos reside en la formación y sensibilización de los actores implicados. Sin una comprensión fina de los desafíos relacionados con la protección de datos sensibles, la gestión de riesgos y la ética de la IA, se vuelve difícil implementar prácticas coherentes y eficaces.

Las formaciones deben cubrir varias dimensiones clave: conocimiento de reglamentaciones como el RGPD, buenas prácticas de ciberseguridad, aspectos éticos, así como riesgos específicos relacionados con modelos de entrenamiento. El objetivo es anclar en la cultura empresarial una vigilancia permanente y un sentido compartido de responsabilidad.

También es indispensable implementar dispositivos adaptados a diferentes perfiles: sesiones técnicas para equipos de TI y ciencia de datos, así como módulos dedicados para managers de RRHH, para que comprendan las implicaciones estratégicas.

Finalmente, la sensibilización continua puede apoyarse en herramientas innovadoras, como juegos serios, simulaciones de incidentes o análisis de casos reales. Integrar estos elementos en la rutina operativa ayuda a evitar la banalización de riesgos y fomentar un comportamiento proactivo.

  • Programas de formación adaptados a perfiles técnicos y managers
  • Uso de estudios de casos concretos basados en incidentes recientes (ej. Mercor)
  • Simulaciones regulares de gestión de incidentes y auditorías
  • Seguimiento y actualización continua de conocimientos frente a la rápida evolución de la IA y regulaciones
  • Promoción de una cultura ética fuerte en torno al uso de datos

A través de este enfoque, las empresas fomentan la creación de entornos donde la inteligencia artificial puede desarrollarse serenamente, garantizando la protección de datos sensibles y el respeto de los principios fundadores de la ética en RRHH.

Nos partenaires (2)

  • digrazia.fr

    Digrazia est un magazine en ligne dédié à l’art de vivre. Voyages inspirants, gastronomie authentique, décoration élégante, maison chaleureuse et jardin naturel : chaque article célèbre le beau, le bon et le durable pour enrichir le quotidien.

  • maxilots-brest.fr

    maxilots-brest est un magazine d’actualité en ligne qui couvre l’information essentielle, les faits marquants, les tendances et les sujets qui comptent. Notre objectif est de proposer une information claire, accessible et réactive, avec un regard indépendant sur l’actualité.

tekactiv-logo

© 2026 Tekactiv - Todos los derechos reservados

Aviso Legal Nuestros autores