Shadow AI: el riesgo oculto de las herramientas no autorizadas en el trabajo

¿Qué ha ocurrido?

Según un informe de TechRadar basado en un estudio de la firma de ciberseguridad Cyberhaven, el 75% de los trabajadores utilizan herramientas de IA no aprobadas por sus empresas. Además, el 46% de ellos ha compartido información sensible de la empresa o clientes con estos sistemas públicos de IA. Este fenómeno, denominado 'Shadow AI', representa una amenaza creciente para la seguridad corporativa. El estudio, realizado entre enero y marzo de 2025, analizó el tráfico de red de más de 10,000 empleados en empresas de diversos sectores, revelando un uso generalizado de herramientas como ChatGPT, Google Gemini y Microsoft Copilot sin autorización explícita de los departamentos de TI.

¿Por qué es importante?

El Shadow AI no solo vulnera las políticas de TI, sino que expone a las empresas a filtraciones de datos, incumplimientos regulatorios y pérdida de propiedad intelectual. A diferencia del Shadow IT tradicional (como usar Dropbox sin permiso), la IA tiene la capacidad de aprender y retener información, lo que multiplica el riesgo. Por ejemplo, si un empleado introduce datos financieros en ChatGPT, esos datos podrían usarse para entrenar futuros modelos, quedando fuera del control de la empresa. Según Cyberhaven, los tipos de información más compartidos incluyen datos de clientes (20%), código fuente propietario (15%) y planes estratégicos (11%). Esto es especialmente crítico en sectores regulados como salud, finanzas y gobierno, donde normativas como GDPR (Europa), CCPA (California) o HIPAA (EE.UU.) imponen sanciones severas. Una filtración podría costar a una empresa hasta el 4% de sus ingresos anuales globales según GDPR, o multas de hasta 7,500 dólares por violación en el caso de HIPAA. Además, el Shadow AI erosiona la confianza del cliente y la ventaja competitiva: si un competidor accede a secretos comerciales a través de un modelo público, el daño es irreversible.

¿Qué consecuencias tendrá?

Las consecuencias son múltiples: desde sanciones por violación de normativas como GDPR o CCPA, hasta daños reputacionales y ventajas competitivas perdidas. Las empresas deberán implementar políticas claras de uso de IA, herramientas de monitoreo y formación obligatoria. También se espera un auge en soluciones de 'Shadow AI Discovery', que detectan el uso no autorizado de estas herramientas. Empresas como Netskope, Zscaler y Proofpoint ya ofrecen productos que analizan el tráfico de red para identificar interacciones con modelos de IA no aprobados. Gartner predice que para 2026, el 60% de las grandes empresas habrán adoptado este tipo de soluciones. Asimismo, los proveedores de IA, como OpenAI y Google, están lanzando versiones empresariales con garantías de privacidad (por ejemplo, ChatGPT Enterprise, que no entrena con datos de clientes), pero su adopción aún es baja. El mercado de 'Shadow AI Discovery' podría alcanzar los 1.200 millones de dólares en 2028, según estimaciones de MarketsandMarkets. A nivel regulatorio, la Unión Europea avanza en la AI Act, que exigirá transparencia en el uso de IA, lo que presionará a las empresas a auditar sus flujos de datos. En paralelo, los departamentos de RR.HH. deberán actualizar los códigos de conducta y ofrecer formación continua: un estudio de IBM reveló que el 84% de los empleados que usan IA no han recibido directrices claras de sus empleadores.

¿Qué deben saber los lectores?

Si eres empleado, evita compartir datos confidenciales en plataformas de IA públicas. Incluso si borras el historial, los modelos pueden haber retenido la información en sus pesos. Usa siempre las herramientas aprobadas por tu empresa o solicita alternativas seguras. Si eres directivo, educa a tu equipo sobre los riesgos y proporciona alternativas seguras, como instancias privadas de modelos open-source (ej. Llama 2 o Mistral) o suscripciones a versiones empresariales de ChatGPT o Copilot. La clave no es prohibir la IA, sino integrarla de forma controlada. El Shadow AI es una señal de que la demanda de herramientas de IA supera la oferta corporativa; las empresas deben adaptarse rápido. Un enfoque proactivo incluye: realizar auditorías periódicas de uso de IA, establecer un comité de gobernanza de IA, y fomentar una cultura de transparencia donde los empleados reporten sus necesidades tecnológicas. Ejemplos de éxito: empresas como Accenture y PwC han implementado 'IA sandboxes' donde los empleados pueden experimentar con herramientas aprobadas sin riesgo. En contraste, el caso de Samsung en 2023, donde ingenieros filtraron código fuente a ChatGPT, muestra el peligro de no actuar. El Shadow AI no es un fenómeno pasajero: es un síntoma de la transformación digital que las organizaciones deben gestionar con urgencia.