Los equipos de TI se apresuran a deshabilitar las funciones de IA integradas en Microsoft, Google y Apple

La IA ya no llama antes de entrar a la oficina. Ya está integrada en procesadores de texto, navegadores, clientes de email y sistemas operativos, a menudo sin que nadie lo haya solicitado. Para los administradores de TI y los equipos de seguridad corporativa que intentan deshabilitar las funciones de IA integradas en el software corporativo que ahora se incluyen por defecto, el desafío no es solo técnico. Es un objetivo en constante movimiento entre Microsoft, Google y Apple, cada uno con su propia lógica, reglas de cumplimiento y excepciones.

Esta guía, basada en la investigación del autor de seguridad Stan Kaminsky, explica cómo detectar y desactivar los asistentes de IA dentro de los productos de Microsoft, Google y Apple en dispositivos corporativos. En la práctica, el trabajo generalmente requiere más de una capa: configuración de políticas, bloqueo de red y, en algunos casos, restricciones a nivel de ejecutables.

Por qué las empresas quieren desactivar la IA integrada

Las integraciones de IA que aparecen en las herramientas cotidianas no son inherentemente maliciosas. Sin embargo, generan preocupaciones reales para las organizaciones con conciencia de seguridad. Los datos procesados por los asistentes de IA pueden salir del perímetro corporativo, y los empleados también pueden compartir información sensible a través de prompts sin darse cuenta. En industrias reguladas como las finanzas, la salud y los servicios legales, las reglas de cumplimiento suelen exigir un control más estricto sobre el flujo de capital y los datos.

Por eso, bloquear la IA integrada se ha convertido en una prioridad para un número creciente de equipos de TI. El enfoque generalmente comienza con la configuración de políticas, luego añade el bloqueo de dominios a nivel de red y, en algunos casos, también restricciones a nivel de ejecutables.

Cómo detectar y deshabilitar Microsoft 365 Copilot

Microsoft 365 Copilot ocupa un lugar destacado en la lista de muchos entornos empresariales porque está profundamente integrado en Teams, Outlook, Word y otras herramientas de Office. Como resultado, los esfuerzos para deshabilitar Microsoft 365 Copilot suelen comenzar con visibilidad antes que con restricción.

Detección del uso de Copilot a través de los registros de administración

Antes de bloquear cualquier cosa, los administradores deben entender qué está funcionando realmente. El uso de Microsoft 365 Copilot se puede detectar a través del portal de administración navegando a Microsoft 365 Admin → Informe de uso de Copilot. Ese informe muestra qué usuarios están usando activamente la herramienta y con qué frecuencia.

Bloqueo de Copilot con políticas y gestión de SKU

Para bloquear Microsoft 365 Copilot, los administradores pueden ir al Centro de administración de Microsoft 365, luego a Configuración → Aplicaciones integradas, localizar Copilot en la lista de aplicaciones disponibles y seleccionar Bloquear. Un control más granular está disponible en Personalización → Gestión de políticas, que contiene más de dos mil entradas de políticas, por lo que filtrar por la palabra clave "Copilot" es el enfoque práctico.

También hay un aspecto financiero. Dado que Copilot es un complemento de pago, no asignar a los usuarios los SKUs que incluyen Copilot impide el acceso y también ahorra dinero.

Un elemento que a menudo se pasa por alto es Copilot Chat, que está disponible por separado en Teams, Edge y Outlook. Debe bloquearse de forma independiente mediante un proceso específico, ya que el bloqueo principal de Copilot no lo capturará por sí solo.

Uso del bloqueo de dominios como capa secundaria

Para una capa adicional de protección, los administradores pueden bloquear copilot.cloud.microsoft y m365.cloud.microsoft/chat a nivel del filtro web o del cortafuegos de nueva generación. Sin embargo, Microsoft advierte explícitamente que este enfoque puede romper otras funciones de Microsoft 365, por lo que debe tratarse como una medida secundaria y no como la principal.

Desactivar Windows Copilot y la barra lateral de Copilot en Edge

Deshabilitación de Windows Copilot mediante Directiva de grupo

Windows Copilot opera a nivel del sistema operativo, lo que significa que la detección depende de la monitorización de los registros de red para el tráfico que llega a copilot.microsoft.com, bing.com/chat o edgeservices.bing.com. Para deshabilitarlo, los administradores deben usar la Directiva de grupo en Configuración del equipo → Plantillas administrativas → Componentes de Windows → Windows Copilot.

En el centro de administración de Directiva de grupo de Microsoft 365, la configuración "Bloquear Copilot para consumidores en cuentas organizativas" añade otra capa de control. Si la política por sí sola no es suficiente, bloquear el ejecutable Copilot.exe impide que se ejecute.

Deshabilitar la barra lateral de Copilot en Microsoft Edge

La barra lateral de Copilot en Microsoft Edge es un problema aparte. La detección funciona de la misma manera a través del NGFW y el tráfico de registros de red hacia los dominios mencionados anteriormente. Para deshabilitarla, los administradores deben configurar específicamente varias opciones de Directiva de grupo de Edge:

• HubsSidebarEnabled = false
• EdgeShoppingAssistantEnabled = false
• CopilotPageContext = Disabled (false)
• CopilotNewTabPageEnabled = false
• Microsoft365CopilotChatIconEnabled = false
• GenAILocalFoundationalModelSettings = 1

Vale la pena señalar esa última configuración: deshabilitar esta función requiere un valor de 1, no de 0. El mismo enfoque de bloqueo de dominios que cubre copilot.cloud.microsoft y m365.cloud.microsoft/chat también se aplica aquí, con la misma advertencia sobre la posible interrupción de otros servicios de Microsoft.

Cómo bloquear Google Gemini Assistant y las funciones de IA de Chrome

Desactivar Gemini Assistant en Google Workspace

La presencia de IA de Google en entornos empresariales se canaliza principalmente a través de Gemini Assistant en Workspace y de las funciones de Gemini integradas en Chrome. Para Workspace, los administradores pueden consultar la sección de informes de uso de Gemini dentro de la Consola de administración en admin.google.com. Esto facilita el seguimiento de las decisiones de bloqueo de Google Gemini Assistant antes de que los cambios entren en vigor.

Para desactivar Gemini Assistant en Google Workspace, la ruta es Consola de administración → Aplicaciones → Servicios adicionales de Google → Aplicación Gemini → establecer en DESACTIVADO. Los administradores también deben ir a Gestionar configuración de funciones inteligentes de Workspace → Funciones inteligentes en Google Workspace y establecer eso también en DESACTIVADO. Ambos pasos son necesarios para una cobertura completa.

A nivel de red, bloquear el tráfico hacia gemini.google.com, bard.google.com y aistudio.google.com añade otra barrera.

Bloqueo de Gemini en Google Chrome con políticas empresariales

Para Chrome, los administradores pueden detectar la actividad de IA a través de los informes de Chrome Enterprise en Gestión de Chrome → Informes, o vigilando las conexiones de red hacia los mismos dominios de IA de Google. Deshabilitar las funciones de Gemini en Chrome requiere configurar estas opciones de política de Chrome Enterprise: GenAILocalFoundationalModelSettings = 0, HelpMeWriteSettings = 2, TabOrganizerSettings = 2, CreateThemesSettings = 2 y DevToolsGenAiSettings = 2.

Los mismos bloqueos de dominios de IA se aplican aquí. Las organizaciones también deben considerar bloquear instalaciones no autorizadas de Chrome o Chromium fuera de la gestión de políticas utilizando herramientas de control de aplicaciones basadas en host como EPP, soluciones EDR o AppLocker.

Gestión de IA de Apple Intelligence a través de perfiles MDM

Deshabilitar las funciones de Apple Intelligence una por una

Apple Intelligence plantea un tipo diferente de desafío. A diferencia de Microsoft y Google, Apple no ofrece un interruptor principal que desactive todas las funciones de IA a la vez. En cambio, cada capacidad debe deshabilitarse individualmente a través de la configuración de perfiles MDM. Esto hace que la gestión de IA de Apple Intelligence sea más manual, pero también otorga a los administradores un control preciso.

En los perfiles MDM, los administradores deben establecer las siguientes claves en false: allowWritingTools, allowMailSummary, allowGenmoji, allowImagePlayground, allowImageWand, allowPersonalizedHandwritingResults, allowExternalIntelligenceIntegrations, allowExternalIntelligenceIntegrationsSignIn, allowNotesTranscription y allowNotesTranscriptionSummary. Cada clave cubre una capacidad distinta de Apple Intelligence, por lo que omitir aunque sea una deja una brecha. Cabe destacar que, a pesar del movimiento más amplio de Apple hacia la gestión declarativa de dispositivos, estas funciones de IA todavía requieren la configuración tradicional de carga útil MDM.

Por qué el bloqueo de red es más difícil en dispositivos móviles Apple

En cuanto a la detección, el tráfico que llega a apple-relay.apple.com y *.apple-cloudkit.com a nivel del cortafuegos o del filtro web indica que Apple Intelligence está activo. Bloquear esos dominios añade otra capa de protección.

Sin embargo, los dispositivos móviles complican el panorama. El bloqueo de dominios a nivel de red solo funciona mientras los dispositivos están conectados a la red corporativa. Una vez que el iPhone o iPad de un empleado se conecta a una red personal, esos bloqueos desaparecen. Por ello, los perfiles MDM no son solo útiles para los dispositivos Apple que se mueven entre la conectividad laboral y personal; son el único mecanismo fiable.

Lo que los equipos de TI y seguridad deben tener en cuenta

Deshabilitar las funciones de IA integradas es difícil porque ningún paso único resuelve el problema. Múltiples herramientas ahora llevan sus propios componentes de IA, el bloqueo eficaz generalmente requiere varias capas y el bloqueo agresivo de dominios puede interrumpir funcionalidades no relacionadas.

La realidad multiplataforma no se está desacelerando. Microsoft, Google y Apple se están moviendo rápidamente para integrar la IA en sus ecosistemas, lo que significa que los equipos de TI no se enfrentan a una decisión de gobernanza única. En cambio, están gestionando el control de IA como una tarea operativa continua que necesitará revisarse cada vez que lleguen actualizaciones importantes. Para las organizaciones en industrias altamente reguladas, tratar esto como una configuración de "configurar y olvidar" sería un error.