En los últimos tiempos, los desarrolladores comenzaron a integrar funciones de IA directamente en sus productos de software, como herramientas de trabajo diarias, sistemas operativos y navegadores. En algunos casos, estas funciones son útiles de verdad. Sin embargo, su mera presencia supone riesgos particulares y, por ello, muchas empresas no están convencidas de que el personal las pueda utilizar. En una publicación anterior, categorizamos los sistemas de IA indeseados, analizamos cómo se los puede detectar tanto en los endpoints como en la red y hablamos de una opción para bloquearlos rotundamente, al administrar el acceso mediante OAuth en las plataformas corporativas más usuales. En este artículo detallado, adoptaremos una vision táctica y explicaremos cómo deshabilitar o restringir la IA integrada en las plataformas más populares.
Antes de arrancar, un breve aviso: de tanto en tanto, los grandes desarrolladores de software modifican el funcionamiento de sus sistemas y cambian el nombre de los ajustes que controlan sus IA. Si alguna de las opciones que mencionamos no funciona como se esperaba o no existe, sugerimos buscar el nombre del ajuste en la Web. Generalmente, eso permite dar con su nueva ubicación o identidad.
Cómo desactivar Microsoft 365 Copilot
Detección: puede revisar el uso de Copilot en los registros si ingresa en Administración de Microsoft 365 (Microsoft 365 admin) → Informe de uso de Copilot (Copilot usage report).
Deshabilitación mediante directivas: en el Centro de administración de Microsoft 365, vaya a Configuración (Settings) → Aplicaciones integradas (Integrated Apps), busque Copilot en la lista Aplicaciones disponibles (Available Apps) y elija Bloquear (Block). Encontrará directivas de configuración más detalladas en Personalización (Customization) → Administración de directivas (Policy Management). La página Directivas (Policies) contiene más de dos mil entradas: use la palabra clave “Copilot” para filtrarlas (guía detallada). Dado que Copilot es un complemento pago para Office, otra forma de bloquearlo (y de, a la vez, ahorrar dinero) es simplemente no asignar SKU de usuario que incluyan Copilot.
Recomendamos bloquear por separado Copilot Chat, que está disponible en Teams, Edge, Outlook y varios otros servicios. No, no es el mismo Copilot. Y sí, se lo debe bloquear aparte; puede seguir esta guía para ello.
Capa de protección adicional: puede bloquear los dominios copilot.cloud.microsoft y m365.cloud.microsoft/chat en su filtro web o NGFW. Sin embargo, Microsoft desaconseja explícitamente hacer esto, pues advierte que podría afectar otras funciones de Microsoft 365.
Cómo desactivar Windows Copilot
Además de la versión para Office de Copilot, también debe ocuparse de su primo para consumidores.
Detección: en su NGFW o en los registros de su red, busque tráfico dirigido a copilot.microsoft.com, bing.com/chat o edgeervices.bing.com.
Deshabilitación mediante directivas: en la directiva de grupo de Windows, vaya a Configuración del equipo (Computer Config) → Plantillas administrativas (Admin Templates) → Componentes de Windows (Windows Components) → Windows Copilot. En la directiva de grupo de Microsoft 365, vaya a Centro de administración (Admin center) → Bloquear Copilot para consumidores para las cuentas de la organización (Block consumer Copilot for organizational accounts).
Capa de protección adicional: bloquee la ejecución del archivo Copilot.exe.
Cómo desactivar la barra lateral de Copilot en Edge
Detección: en su NGFW o en los registros de su red, busque tráfico dirigido a copilot.microsoft.com, bing.com/chat o edgeervices.bing.com.
Bloqueo: configure las siguientes directivas de grupo de MS Edge: HubsSidebarEnabled = falso, EdgeShoppingAssistantEnabled = falso, CopilotPageContext = deshabilitado (falso), CopilotNewTabPageEnabled = falso, Microsoft365CopilotChatIconEnabled = falso, GenAILocalFoundationalModelSettings = 1 (nótese que, sorprendentemente, para deshabilitar esta opción se requiere un 1 y no un 0).
Segunda capa de protección: bloquee los dominios copilot.cloud.microsoft y m365.cloud.microsoft/chat en su filtro web o NGFW. Sin embargo, Microsoft desaconseja explícitamente hacer esto, pues advierte que podría afectar otras funciones.
Cómo desactivar el asistente Gemini en Google Workspace
Detección: en la consola de administración de Workspace (admin.google.com), vaya a la sección con los informes de uso de Gemini.
Bloqueo mediante directivas: en la consola de administración, vaya a Aplicaciones (Apps) → Servicios adicionales de Google (Additional Google services) → App de Gemini (Gemini app) y elija el valor DESACTIVADO (OFF). A continuación, vaya a Administrar la configuración de funciones inteligentes de Workspace (Manage Workspace smart feature settings) → Funciones inteligentes de Google Workspace (Smart features in Google Workspace) y elija el valor DESACTIVADO (OFF).
Segunda capa de protección: bloquee el tráfico de red para los dominios gemini.google.com, bard.google.com y aistudio.google.com.
Cómo desactivar Gemini en Google Chrome
Detección: revise los informes de Chrome Enterprise (Administración de Chrome (Chrome management) → Informes (Reports)) o busque conexiones a los dominios mencionados más arriba en los registros del tráfico de red.
Bloqueo mediante políticas: en las políticas de Chrome Enterprise, configure los siguientes ajustes: GenAILocalFoundationalModelSettings = 0, HelpMeWriteSettings = 2 (deshabilitado), TabOrganizerSettings = 2, CreateThemesSettings = 2, DevToolsGenAiSettings = 2.
Capa de protección adicional: bloquee el tráfico de red para los dominios gemini.google.com, bard.google.com y aistudio.google.com. Además, bloquee la instalación no autorizada de Chrome o Chromium (aquellas instalaciones que no controle mediante políticas) usando herramientas de control de aplicaciones basadas en el host, como AppLocker o una solución EPP o EDR.
Cómo desactivar Apple Intelligence
Detección: si ve tráfico dirigido a apple-relay.apple.com y *.apple-cloudkit.com en sus filtros web o NGFW, tendrá una señal clara de que Apple Intelligence está activo.
Bloqueo mediante políticas: todos los dispositivos Apple administrados permiten deshabilitar las funciones de IA una por una, pero no ofrecen un interruptor general para desactivar “toda la inteligencia artificial”. En su perfil de MDM, asigne el valor false (deshabilitado) a las siguientes claves: allowWritingTools, allowMailSummary, allowGenmoji, allowImagePlayground, allowImageWand, allowPersonalizedHandwritingResults, allowExternalIntelligenceIntegrations, allowExternalIntelligenceIntegrationsSignIn, allowNotesTranscription y allowNotesTranscriptionSummary. Aquí le mostramos un pequeño bloque de configuración:
<dict>
<key>PayloadType</key>
<string>com.apple.applicationaccess</string>
<key>allowWritingTools</key>
<false/>
<key>allowMailSummary</key>
<false/>
</dict>
Aunque Apple ha implementado la administración de dispositivos declarativa, estas funciones de IA aún deben configurarse mediante cargas útiles de MDM tradicionales.
Segunda capa de protección: bloquee el tráfico de red a los hosts mencionados más arriba. Para dispositivos móviles, la desventaja obvia es que la estrategia dejará de funcionar en cuanto los equipos salgan de la red corporativa.