Casi el 90% de los profesionales de seguridad utilizan herramientas de IA no aprobadas en el trabajo. Las personas más conscientes de los riesgos son las que los asumen. No porque sean imprudentes. Porque la pila aprobada no puede mantenerse al día. Las consultas van a modelos de terceros, las respuestas se copian en documentos, y la infraestructura de la empresa nunca lo ve. Sin registro. Sin historial de acceso. Sin rastro. Cuando el cumplimiento pregunta "¿qué alimentaron los empleados en estos modelos?", no hay respuesta. No porque alguien lo haya ocultado. Porque nadie construyó el sistema para capturarlo. La política no solucionará una brecha de infraestructura. @sofia_numbers ha estado diciendo esto durante un tiempo: la gobernanza necesita una capa de procedencia. Un registro de qué herramientas se están utilizando y qué están tocando, antes de que llegue la pregunta de auditoría. Una mejor política no lo resolverá. Una mejor infraestructura sí.