Las herramientas de IA están ahora tan ampliamente disponibles que la IA en la sombra se ha convertido en un riesgo para todas las organizaciones. Los empleados se acercan a ellos en busca de documentos, borradores de correos electrónicos y análisis de datos, mientras que los proveedores incorporan IA a sus productos, a menudo con documentación deficiente y opciones limitadas para desactivarla.
El resultado es que es posible que los empleados ya estén utilizando herramientas que no han sido evaluadas ni aprobadas, lo que podría poner en riesgo el negocio al procesar datos personales o comercialmente confidenciales.
David, que trabaja en DPO Centers Ltd, es un responsable de protección de datos altamente calificado con amplia experiencia en las industrias de tecnología y atención médica.
La pregunta clave que enfrentarán las organizaciones en 2026 no es si permitirán la IA en el lugar de trabajo, sino cómo gestionar la IA que ya está en uso.
La IA en la sombra no es sólo una cuestión de comportamiento de los empleados, sino una señal de que la tecnología en el lugar de trabajo avanza más rápido que la gobernanza.
¿Qué es la IA en las sombras?
Shadow AI es el uso de herramientas de IA dentro de una organización sin revisiones de seguridad, ni gobernanza y cumplimiento formales, ni aprobación legal o documentada de los equipos de TI.
En la práctica, esto suele significar IA generativa de consumo, como ChatGPT, Gemini, Claude o Copilot, a la que se accede a través de una cuenta personal. También puede incluir funciones de IA silenciosamente integradas en productos SaaS autorizados, extensiones de navegador, servicios de transcripción y la creciente ola de agentes autónomos.
Este es un descendiente directo del problema de la TI en la sombra de finales de la década de 2000, pero con un cambio del almacenamiento no autorizado a la inteligencia no autorizada.
Las posibles consecuencias son más difíciles de detectar para las organizaciones y aún más difíciles de controlar, ya que se extienden más allá de un equipo o un error de datos. A diferencia de la TI en la sombra, que ha sido principalmente una preocupación de cumplimiento, la IA en la sombra plantea nuevos riesgos porque puede procesar información activamente, replicarla y actuar en consecuencia. Esto hace que el impacto sea más difícil de predecir y contener.
Riesgo: Cumplimiento de la protección de datos y la privacidad
El informe de IBM sobre el costo de las violaciones de datos de 2025 encontró que una de cada cinco organizaciones ya ha experimentado una violación relacionada con la IA no autorizada, lo que agrega casi $670 000 al costo promedio del incidente.
Sin embargo, el hallazgo más preocupante para los profesionales de la protección de datos no es el costo principal de la regulación, sino los acontecimientos que lo han revelado. El 65% de los incidentes relacionados con la IA resultan en la exposición de información de identificación personal y el 40% conducen al robo de propiedad intelectual.
Los riesgos de protección de datos son sustanciales, particularmente para las empresas reguladas por el GDPR que operan en el Reino Unido y la UE. Cuando un empleado pega datos de clientes en un chatbot de nivel abierto, se pueden incumplir múltiples obligaciones simultáneamente. El artículo 5 exige un procesamiento legal y transparente, lo cual es imposible si la organización no sabe que se está llevando a cabo el procesamiento.
El artículo 28 requiere un acuerdo de procesamiento de datos con cualquier procesador externo, y no existe tal acuerdo entre su empresa y OpenAI u otros servicios similares cuando un empleado usa una cuenta personal de ChatGPT. El artículo 35 exige una evaluación de impacto de la protección de datos (DPIA) para el procesamiento de alto riesgo, que no puede realizarse en equipos que la organización desconoce.
La multa máxima, al menos en teoría, podría alcanzar los 20 millones de euros o el 4% de la facturación anual mundial.
Ley de IA de la UE
La legislación entrante de la UE sobre IA impone obligaciones adicionales a quienes implementan sistemas de alto riesgo, incluida una diligencia debida y evaluaciones de riesgos más estrictas para los proveedores de IA. Nuevamente, es imposible que las organizaciones cumplan con estas obligaciones si no saben qué sistemas se están utilizando.
Aunque aún no se conoce la posición de la UE en materia de aplicación de la ley, la multa máxima posible en este caso es del 6% del volumen de negocios global.
El riesgo está fuera de control
Fuera de la aprobación legal formal, la IA en la sombra puede plantear graves riesgos para la reputación. Un evento que causa un daño fundamental a individuos o revela un acuerdo de confidencialidad comercial es un abuso de confianza y el daño puede ser irreparable.
A diferencia de los archivos cargados en servicios de almacenamiento autorizados como Dropbox, los datos ingresados en herramientas gratuitas de inteligencia artificial pueden ser mucho más difíciles de recuperar o eliminar. Los términos del contrato de muchos LLM gratuitos permiten a los proveedores utilizar indicaciones y resultados para entrenar sus sistemas, y esta es una de las razones por las que estas herramientas se pueden ofrecer de forma gratuita a pesar de sus altos costos operativos.
Una vez que los datos se ingresan en el sistema, se pueden recuperar a medida que se agregan al conjunto de datos de entrenamiento. No hay garantía de que pueda aislarse lo suficiente como para eliminarlo, incluso si el proveedor del servicio lo desea, e incluso puede reaparecer inesperadamente.
El caso de Samsung de 2023 muestra lo rápido que pueden materializarse los riesgos de la IA en la sombra. A las pocas semanas de que la compañía permitiera que su división de semiconductores usara ChatGPT, los ingenieros pegaron código fuente propietario, transcripciones de reuniones internas y especificaciones de hardware en la interfaz del consumidor en al menos tres ocasiones distintas.
Samsung respondió inicialmente con una prohibición total, ya que ha sucedido todo lo contrario. La lección aquí no es que todas las organizaciones deberían prohibir la IA, sino que sin controles de acceso claros, los datos confidenciales pueden quedar expuestos muy rápidamente.
Riesgos emergentes en 2026
Las últimas amenazas a las organizaciones provienen del auge de la ‘vibe-coding’ y la IA agente. Utilizan indicaciones en lenguaje natural para crear aplicaciones que procesan datos y toman decisiones comerciales sobre cómo se utilizan esos datos.
Los riesgos de seguridad son un tema completo en sí mismos, pero no someter las aplicaciones codificadas por Vibe al escrutinio de su equipo de seguridad de la información podría significar que faltan protocolos de seguridad básicos porque el codificador no sabe solicitarlos.
La red social Moultbook Vibe fue codificada y rápidamente expuso 1,5 millones de claves API y 35.000 correos electrónicos de usuarios. Se trata de una clara violación de los principios de protección del RGPD, que es el tipo de fallo que la mayoría de los reguladores desean hacer cumplir.
Sin procedimientos adecuados de calidad y revisión, los agentes desplegados pueden fácilmente tomar decisiones incorrectas o inconsistentes, y los sesgos no controlados en los modelos subyacentes pueden discriminar a los grupos basándose en características conservadas.
Si esto conduce a la denegación de atención médica, o de acceso a servicios financieros, o a discriminación laboral, existe un riesgo activo de violación de las leyes de igualdad y derechos humanos.
¿Qué tan extensa es la IA en la sombra?
Las cifras ya son altas y aumentan constantemente, como se muestra en el informe State of Shadow AI de UpGuard, que encontró que más del 80% de los empleados utilizan herramientas de IA no autorizadas en el lugar de trabajo. Netskope, basándose en la telemetría de seguridad en la nube desde finales de 2024 hasta finales de 2025, descubrió que el 47% del uso de IA generativa en la empresa se produce a través de cuentas personales que la empresa no supervisa.
La investigación de Telus Digital encontró que los empleados empresariales utilizan GenAI en el trabajo: casi el 68% utiliza sus credenciales personales en lugar de corporativas y el 57% admite haber ingresado información confidencial en estas herramientas. CX Trends 2025 de Zendesk informa que el uso de herramientas de inteligencia artificial en la sombra en servicios de salud, manufactura y financieros ha crecido más de un 200 % año tras año.
Hay una brecha de percepción interesante. La encuesta de 2025 de ManageEngine en lugares de trabajo de EE. UU. y Canadá encontró que el 97 % de los tomadores de decisiones de TI ven un riesgo significativo en la IA en la sombra, pero el 91 % de los empleados no ve ningún riesgo, ve poco riesgo o mayor riesgo que la recompensa.
Por qué los empleados utilizan la IA en la sombra
La brecha de percepción es la raíz de todo el problema. Los empleados no pegan datos de clientes en ChatGPT porque tienen la intención de violar una política y su cumplimiento. Lo hacen porque les facilita el trabajo y nadie les ha dado una forma segura de obtener el mismo resultado.
Las violaciones sistemáticas de las políticas no reflejan estándares laxos o negligencia de los empleados; más bien, hablan de una necesidad insatisfecha. Las tareas de inteligencia artificial en la sombra más comunes en los datos de ManageEngine incluyen resumir notas y llamadas, redactar correos electrónicos, generar ideas y analizar informes.
Estos son exactamente los mismos tipos de tareas cognitivas repetitivas que sobrecargan a los empleados y ralentizan la entrega. Cuando las herramientas aprobadas no pueden hacer el trabajo rápidamente, los trabajadores buscan alternativas que sí puedan hacerlo. Las herramientas de IA gratuitas a menudo pueden ofrecer una mayor funcionalidad.
El software de nivel empresarial debe ser al menos tan bueno como la alternativa gratuita; de lo contrario, la herramienta gratuita gana. Los miembros más jóvenes de la fuerza laboral son nativos digitales y están acostumbrados a adoptar herramientas para realizar el trabajo y, a menudo, avanzan más rápido de lo que permite el proceso de adquisiciones.
La investigación de Software AG encontró que el 48% de los empleados continuaría usando herramientas de IA a pesar de que su organización las prohibiera explícitamente y, como lo indicó claramente el análisis de Check Point Software, prohibir la IA elimina la ruta oficial para que los empleados marquen una herramienta y en su lugar garantiza que toda la nueva IA en los negocios es IA en la sombra. Es evidente que las sanciones no son la forma de abordar el problema.
Gobernanza que funciona
El problema de la IA en la sombra es ahora demasiado generalizado como para que cualquier organización bien gobernada lo ignore, y las organizaciones adecuadas lo están tratando como una señal, no como una infracción.
Necesita saber qué sucede en su organización para poder ver dónde están los puntos de presión y reducir el estrés que sienten los empleados al usar herramientas no autorizadas para realizar el trabajo. Esto requiere una amplia gama de partes interesadas, y no sólo la aprobación de TI o los sistemas de bloqueo.
Empiece por trazar un mapa de lo que ya está sucediendo. Las herramientas de monitoreo de red y descubrimiento de SaaS generalmente pueden revelar una lista sorprendente de servicios de inteligencia artificial en uso activo; Considere esa lista como una investigación, no como una forma de castigar a los criminales. Pregunte a sus empleados, de forma anónima si es necesario a través de encuestas y sesiones de escucha, para que puedan describir lo que intentan lograr sin temor a represalias.
Cuando haya identificado lo que la gente necesita, proporcione una opción autorizada que sea al menos tan buena como la opción oculta, con protección de datos empresariales detrás: casi todas las herramientas gratuitas que los empleados pueden usar tienen versiones empresariales respaldadas con sólidos acuerdos de seguridad y protección de datos.
Continúe con una política breve y legible, idealmente permisiva pero cautelosa. Nombre las herramientas permitidas por categoría o propósito, enumere la entrada de datos prohibidos (datos personales, código fuente, proyecciones financieras, información confidencial del cliente).
Finalmente, invierta en capacitación para que los empleados comprendan qué datos van y dónde y los actualicen a medida que cambien las herramientas. Mantenga los casos de uso, su uso real y las políticas bajo revisión constante y actualícelos periódicamente para que pueda mantener a los empleados por delante de sus necesidades antes de que encuentren sus propias soluciones.
Conclusión
Shadow AI es una batalla perdida si la tratas como un problema de disciplina; Hay tantas herramientas, tanta demanda y tan fácil acceso. Sin embargo, considerado un problema de diseño empresarial, se convierte en algo más poderoso.
Los empleados que recurren a una herramienta no autorizada señalan una brecha, ya sea en el software que se les proporciona, en el flujo de trabajo en el que están atrapados o en el soporte que no han recibido.
La buena gobernanza no cierra esa brecha solo por el cumplimiento: la cierra de una manera que facilita legítimamente el trabajo de las personas y al mismo tiempo ofrece las capacidades de IA que las empresas necesitan por la puerta trasera.
Hemos presentado las mejores VPN empresariales.
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí: