Casi el 90% de los profesionales de la seguridad utilizan herramientas de IA no aprobadas en el trabajo. Las personas más conscientes de los riesgos son quienes los asumen. No porque sean imprudentes. Porque la pila aprobada no puede seguir el ritmo. Las consultas van a modelos de terceros, las respuestas se pegan en documentos y la infraestructura de la empresa nunca las detecta. No hay tronco. Sin registro de acceso. No hay rastro. Cuando el cumplimiento se pregunta "qué introdujeron los empleados en estos modelos?", no hay respuesta. No porque alguien lo ocultara. Porque nadie construyó el sistema para capturarlo. La política no solucionará una brecha de infraestructura. @sofia_numbers lleva tiempo diciendo esto: la gobernanza necesita una capa de procedencia. Un registro de qué herramientas se están usando y qué están tocando, antes de que llegue la pregunta de la auditoría. Una mejor política no lo va a solucionar. Una mejor infraestructura sí lo hará.