La imagen clásica de un incidente de ciberseguridad suele ser la de un atacante externo intentando vulnerar sistemas desde afuera. Pero para una consultora, una auditora o una firma de servicios profesionales, uno de los riesgos más delicados puede estar mucho más cerca: en los accesos internos que sus propios equipos tienen a información confidencial de clientes.
El diario británico Financial Times informó que un exempleado junior de EY, una de las cuatro grandes firmas globales de auditoría y consultoría, fue acusado de acceder sin autorización a datos bancarios del primer ministro australiano, Anthony Albanese, mientras estaba asignado a un proyecto en Commonwealth Bank of Australia, uno de los principales bancos del país.
En paralelo, el medio británico The Guardian reportó fallas en KPMG Australia, otra de las Big Four, vinculadas con el presunto acceso y uso de información confidencial de clientes, incluyendo documentos de Lendlease, grupo australiano de infraestructura y real estate, y Optus, compañía australiana de telecomunicaciones, para beneficiar otros trabajos o propuestas comerciales.
Índice de temas
Los puntos ciegos habituales dentro de una firma profesional
En una consultora, muchas brechas de confidencialidad no empiezan con una vulnerabilidad sofisticada. Empiezan con permisos mal diseñados y prácticas operativas naturalizadas.
Un consultor puede conservar acceso a una carpeta luego de terminado un proyecto. Un socio puede tener visibilidad sobre documentos de diversos clientes sin una necesidad concreta. Un equipo comercial puede reutilizar materiales de un cliente anterior para preparar una propuesta.
La escala del problema aparece en los datos. Proofpoint, compañía estadounidense de ciberseguridad, sostuvo en su reporte Data Security Landscape que el 58% de las organizaciones atribuye sus eventos más significativos de pérdida de datos a empleados descuidados o contratistas externos; otro 42% menciona usuarios comprometidos y 32% apunta a insiders maliciosos.

El riesgo interno no siempre implica mala fe. También puede surgir de descuido, presión comercial, exceso de permisos, falta de monitoreo o herramientas colaborativas sin gobierno suficiente.
La IA agranda el problema
A este escenario se suma una capa nueva: la inteligencia artificial generativa. En una firma profesional, la tentación es evidente. Un consultor puede usar IA para resumir documentos, analizar contratos, preparar presentaciones, comparar normativas o acelerar entregables. El problema aparece cuando en esos prompts se cargan datos confidenciales del cliente.
Cyberhaven, empresa especializada en seguridad de datos, advirtió en su 2026 AI Adoption & Risk Report que cerca del 40% de las interacciones con herramientas de IA involucra información sensible, y que una parte relevante del uso de ChatGPT ocurre desde cuentas personales, fuera del gobierno corporativo.
El World Economic Forum, organización internacional de cooperación público-privada, junto con Accenture, consultora global de tecnología y negocios, también ubicó a la IA como uno de los grandes factores de cambio en ciberseguridad para 2026: el 87% de los encuestados identificó las vulnerabilidades vinculadas con IA como el riesgo cibernético de más rápido crecimiento.
Para una consultora, esto significa que la protección de datos de clientes ya no termina en SharePoint, Teams, Google Drive o el correo corporativo. También debe alcanzar a Copilot, ChatGPT, Gemini, Claude, asistentes de código, herramientas de transcripción y cualquier aplicación que procese información de terceros.
Qué deberían revisar las consultoras ahora
El objetivo no debería ser impedir que los equipos trabajen, sino asegurar que el acceso sea proporcional, temporal, trazable y justificable.
La Cybersecurity and Infrastructure Security Agency, agencia estadounidense conocida como CISA, recomienda que los programas de mitigación de amenazas internas contemplen dimensiones operativas, legales, regulatorias y de privacidad. Es decir, no se trata solo de tecnología: también requiere compliance, recursos humanos, legales, auditoría interna y dirección.

La primera revisión debería estar en la gestión de identidades y accesos: cada usuario debe tener permisos asociados a su rol, cliente y proyecto. Cuando el proyecto termina, el acceso también debe terminar. Para cuentas privilegiadas o accesos sensibles, se vuelve clave aplicar controles de mínimo privilegio, aprobación previa y registro de actividad.
La segunda revisión está en el monitoreo. No alcanza con guardar logs si nadie los mira. Las firmas deberían detectar accesos inusuales, descargas masivas, movimientos de información entre áreas, uso de datos de un cliente en carpetas de otro y transferencias hacia aplicaciones no autorizadas.
La tercera revisión está en el gobierno de datos. Las consultoras necesitan clasificar información sensible, definir barreras entre clientes competidores, controlar herramientas de IA, limitar repositorios personales y documentar excepciones.
Impacto en contratos, licitaciones y reputación
Los casos australianos muestran que el daño puede pasar rápidamente del plano interno al comercial. El Department of Finance, organismo del gobierno australiano responsable de políticas de contratación pública, informó que KPMG Australia no presentará ofertas para nuevos trabajos con entidades del Commonwealth hasta el 30 de septiembre de 2026, en el marco de preocupaciones por el uso de información confidencial, ética, integridad, cultura y gobernanza.
El antecedente de PwC Australia, filial local de otra firma Big Four, también es relevante: en su propio Statement of Facts, la compañía reconoció que información confidencial fue compartida indebidamente y que existieron fallas de gobernanza que permitieron que esas conductas ocurrieran y no fueran corregidas a tiempo.
Una falla de confidencialidad puede derivar en investigaciones, pérdida de contratos, restricciones para licitar, reclamos de clientes y daño reputacional.







