
Las herramientas de IA se han vuelto tan accesibles que el shadow AI representa un riesgo para cualquier organización. Empleados recurren a ellas para resumir documentos, redactar correos y analizar datos, mientras los proveedores incorporan IA en sus productos con documentación deficiente y opciones limitadas para desactivarla.
El resultado es que el personal podría estar usando herramientas sin evaluar ni aprobar, exponiendo potencialmente al negocio a riesgos por procesar datos personales o sensibles sin consentimiento adecuado.
La cuestión clave para las organizaciones en 2026 ya no es si permiten la IA en el lugar de trabajo, sino cómo gestionar de la mejor forma la IA que ya se está usando.
Shadow AI no es solo un tema de comportamiento de los empleados; es una señal de que la tecnología en el lugar de trabajo avanza más rápido que la gobernanza.
¿Qué es shadow AI?
Shadow AI es el uso de herramientas de IA dentro de una organización sin revisión de seguridad, gobernanza formal ni aprobación documentada de Compliance, Legal o IT.
En la práctica, suele implicar IA generativa de consumo como ChatGPT, Gemini, Claude o Copilot, accedida a través de cuentas personales. También puede incluir funciones de IA incrustadas de forma silenciosa en productos SaaS aprobados, extensiones de navegador, servicios de transcripción y la creciente oleada de agentes autónomos.
Es la descendiente directa del problema de shadow IT de fines de la década de 2000, pero con un giro: pasa de almacenamiento no autorizado a inteligencia no autorizada.
Es más difícil de detectar y mucho más difícil de controlar, con consecuencias potenciales que se extienden más allá de un equipo o de un simple error de datos. A diferencia de shadow IT, que era principalmente una preocupación de cumplimiento, shadow AI crea nuevos riesgos porque puede procesar, replicar y actuar sobre la información, haciendo que su impacto sea más difícil de prever y contener.
Los riesgos: protección de datos y cumplimiento de privacidad
El Cost of a Data Breach 2025 de IBM halló que una de cada cinco organizaciones ya había experimentado una brecha vinculada a IA no sancionada, aumentando aproximadamente 670,000 dólares al costo medio del incidente.
Sin embargo, lo más preocupante para los profesionales de protección de datos no es el coste de contención, sino lo que esos incidentes expusieron: el 65% de los incidentes relacionados con IA resultaron en la exposición de información de identificación personal y el 40% condujo al robo de propiedad intelectual.
Los riesgos de protección de datos son considerables, especialmente para organizaciones reguladas por GDPR en el Reino Unido y la UE. Cuando un empleado copia datos de clientes en un chatbot de nivel gratuito, pueden vulnerarse múltiples obligaciones. El artículo 5 exige un procesamiento lícito y transparente, lo que es imposible si la organización no sabe que el procesamiento está ocurriendo.
El artículo 28 exige un acuerdo de procesamiento de datos con cualquier tercero que procese datos; y no existe tal acuerdo entre su empresa y OpenAI u otros servicios similares cuando un empleado utiliza una cuenta personal de ChatGPT. El artículo 35 exige una Evaluación de Impacto de Protección de Datos (DPIA) para procesamiento de alto riesgo, lo cual no puede realizarse con herramientas de las que la organización no está al tanto.
Las sanciones máximas pueden, al menos en teoría, alcanzar 20 millones de euros o el 4% de la facturación global.
La UE AI Act
La inminente UE AI Act impone obligaciones adicionales a los desplegadores de sistemas de alto riesgo, incluyendo una diligencia debida estricta y evaluaciones de riesgo sobre proveedores de IA. De nuevo, es imposible cumplir estas obligaciones si no se sabe qué sistemas se están usando.
Aunque aún no se conoce la postura de aplicación de la UE, la posible multa máxima es del 6% de la facturación global.
Los riesgos más allá de la regulación
Más allá de las sanciones formales, shadow AI podría ocasionar un grave riesgo reputacional. Un incidente que cause un daño fundamental a individuos o revele acuerdos de confidencialidad podría traducirse en una ruptura de confianza irreparable.
A diferencia de archivos subidos a un servicio de almacenamiento autorizado, los datos introducidos en herramientas gratuitas de IA pueden ser mucho más difíciles de recuperar o eliminar. En muchos acuerdos de herramientas gratuitas, los términos permiten al proveedor usar prompts y salidas para entrenar sus sistemas, lo que explica por qué estas herramientas pueden ofrecerse gratis pese a sus altos costos operativos.
Una vez que los datos ingresan al sistema, pueden volverse irrecoverables, ya que pueden añadirse a conjuntos de entrenamiento y no hay garantía de que puedan aislarse para ser eliminados, incluso si el proveedor está dispuesto.
El caso de Samsung en 2023 ilustra rápidamente cómo los riesgos de shadow AI pueden volverse realidad. Poco después de permitir el uso de ChatGPT en su división de semiconductores, ingenieros pegaron código fuente propietario, transcripciones de reuniones y especificaciones de hardware en la interfaz del consumidor en varias ocasiones.
Samsung respondió inicialmente con una prohibición, y luego la levantó. La lección no es que todas las organizaciones deban prohibir IA, sino que sin controles de acceso claros, los datos sensibles pueden exponerse muy rápidamente.
Riesgos emergentes en 2026
Las amenazas más recientes provienen del auge de la IA “vibe coding” y de la IA con agentes. Estas utilizan indicaciones en lenguaje natural para construir aplicaciones que procesan datos y pueden incluso tomar decisiones comerciales sobre cómo se usa esa información.
Los riesgos de seguridad son un tema en sí mismos, pero no someter a escrutinio a estas aplicaciones codificadas por voz puede dejar fuera controles de seguridad básicos que el coder no sabía pedir.
La red social Moltbook fue vibe coded y expuso rápidamente 1,5 millones de claves API y los correos de 35,000 usuarios. Es una violación obvia del principio de seguridad de GDPR, que es el tipo de fallo que los reguladores quieren aplicar.
Los agentes desplegados sin procedimientos de calidad y revisión pueden tomar decisiones incorrectas o inconsistentes, y sesgos en los modelos subyacentes pueden discriminar a grupos, incluidas personas con características protegidas.
Si esto deriva en denegación de atención médica, acceso a servicios financieros o discriminación laboral, existe el riesgo de incumplimiento de la legislación de igualdad y derechos humanos.
¿Qué tan extendido está shadow AI?
Las cifras son altas y crecen de forma constante. El informe State of Shadow AI de UpGuard encontró que más del 80% de los empleados usan herramientas de IA no aprobadas en el trabajo. Netskope, basándose en telemetría de seguridad en la nube de 2024 a 2025, encontró que el 47% del uso de IA generativa en la empresa ocurre a través de cuentas personales que la empresa no supervisa.
La investigación de Telus Digital halló que, de los empleados de empresas que usan GenAI en el trabajo, alrededor del 68% lo hace con credenciales personales en lugar de corporativas, y el 57% admite introducir información sensible en esas herramientas. CX Trends 2025 de Zendesk reportó que el uso de herramientas_shadow AI_ en sectores como salud, manufactura y servicios financieros creció más de 200% año tras año.
También existe una brecha de percepción notable. ManageEngine, en una encuesta de 2025 entre negocios en EEUU y Canadá, encontró que el 97% de los responsables de IT ven riesgos significativos en shadow AI, pero el 91% de los empleados ve poco o ningún riesgo, o considera que el beneficio compensa el riesgo.
Por qué el personal usa shadow AI
La brecha de percepción es clave. Los empleados no copian datos de clientes en ChatGPT para violar políticas; lo hacen porque facilita su trabajo y porque no se les ha proporcionado una ruta más segura para lograr el mismo resultado.
Las violaciones sistemáticas de políticas no reflejan negligencia sino una necesidad no atendida. Las tareas más comunes de shadow AI incluyen resumir notas y llamadas, redactar correos, hacer lluvia de ideas y analizar informes.
Estas son precisamente tareas cognitivas repetitivas que sobrecargan al personal y ralentizan la entrega. Si las herramientas aprobadas no pueden realizar el trabajo con rapidez, los empleados recurren a alternativas que sí lo hacen. Las herramientas gratuitas suelen ofrecer más funcionalidad.
El software empresarial debe ser al menos tan bueno como la opción gratuita; si no lo es, la opción gratuita ganará. Las generaciones más jóvenes están acostumbradas a adoptar herramientas para hacer el trabajo y acelerar procesos, y a menudo superan la velocidad de los procesos de compra.
La investigación de Software AG encontró que el 48% de los empleados seguiría usando herramientas de IA incluso si la organización las prohibiera expresamente, y el análisis de Check Point Software señala que prohibir IA elimina el canal oficial para señalar herramientas, asegurando que toda nueva IA en el negocio sea shadow AI. Claramente, las prohibiciones no son la solución.
Gobernanza que funciona
El tema de Shadow AI es ahora demasiado extendido para que una organización bien gobernada lo ignore, y las compañías que están acertando tratan el fenómeno como una señal, no como una infracción.
Necesita saber qué está sucediendo en su organización para ver dónde están los puntos de presión y aliviar la presión que empuja a los empleados a usar herramientas no aprobadas. Esto requiere a una amplia gama de actores, no solo IT para aprobar o bloquear sistemas.
Comience por mapear lo que ya está pasando. Las herramientas de monitoreo de red y descubrimiento de SaaS suelen revelar una lista sorprendente de servicios de IA en uso activo; trate esa lista como investigación y no como una forma de disciplinar a los infractores. Pregunte a su personal, de forma anónima si es necesario a través de encuestas y sesiones de escucha, para que describan lo que intentan lograr sin temor a represalias.
Cuando haya identificado lo que la gente necesita, proporcione una alternativa autorizada que sea al menos tan buena como la opción shadow, con protecciones de datos de empresa detrás de ella; casi todas las herramientas gratuitas que el personal podría usar tienen versiones empresariales respaldadas por acuerdos de seguridad y protección de datos.
Continúe con una política breve y legible, idealmente permisiva pero con salvaguardas. Nombre las herramientas aprobadas por categoría o propósito, liste entradas de datos prohibidas (datos personales, código fuente, proyecciones financieras, información confidencial de clientes).
Por último, invierta en capacitación en alfabetización para que el personal entienda qué datos van a dónde, y actualícela a medida que cambien las herramientas. Mantenga los casos de uso, su uso real y la política bajo revisión continua y actualícelos regularmente para adelantarse a las necesidades del personal antes de que encuentren sus propias soluciones.
Conclusión
Shadow AI es una batalla perdida si se trata como un problema de disciplina; hay demasiadas herramientas, demasiada demanda y es demasiado fácil de acceder. Abordarlo como un problema de diseño de negocio, sin embargo, puede convertirlo en una oportunidad poderosa.
Cada empleado que recurre a una herramienta no aprobada señala una brecha, ya sea en el software que se les ha proporcionado, en los flujos de trabajo en los que están atascados o en el apoyo que no han recibido.
Una buena gobernanza no solo cierra esa brecha por razones de cumplimiento: la cierra de forma que facilita realmente el trabajo de las personas mientras entrega la capacidad de IA que el negocio necesita, a través de la puerta principal y no por la puerta trasera.
Este artículo forma parte de TechRadar Pro Perspectives, nuestra plataforma para presentar a las mentes más brillantes de la industria tecnológica.
Las opiniones aquí expresadas corresponden al autor y no necesariamente a TechRadarPro o Future plc. Si está interesado en contribuir, descubra más aquí: https://www.techradar.com/pro/perspectives-how-to-submit
from Latest from TechRadar https://ift.tt/nZ4mlpz
via IFTTT IA