7 min de lectura

Un empresa mediana utiliza, en promedio, 275 aplicaciones SaaS. En las grandes corporaciones, el número supera las 2.000. El problema: un tercio de ellas es desconocido para el departamento de TI. Y el 70 % de los gastos en software ya los asumen las áreas funcionales. La proliferación de SaaS no es un problema de higiene de TI: es un fracaso de gobernanza que debe figurar en la agenda estratégica.

La explosión invisible: 275 aplicaciones y la TI desconoce un tercio

Los datos del Zylo SaaS Management Index 2025 dibujan un panorama desalentador: una empresa promedio gestiona 275 aplicaciones SaaS. Según el Torii SaaS Benchmark Report 2026, en las grandes empresas el número asciende incluso a 2.191 aplicaciones. Y cada mes se incorporan, de media, ocho nuevas – a menudo sin conocimiento ni autorización del departamento de TI.

¿Qué es la proliferación de SaaS? La proliferación de SaaS (SaaS-Sprawl) designa la expansión incontrolada de software en la nube dentro de las empresas. Las áreas funcionales adquieren herramientas de forma autónoma, sin que estas se registren centralmente ni se evalúen en cuanto a seguridad, cumplimiento normativo o redundancia. El resultado: funciones solapadas, licencias no utilizadas y puntos ciegos en la gobernanza de TI.

Según Zylo, más de un tercio de todas las aplicaciones empresariales constituyen TI sombra. El 67 % de los responsables de TI señala la adquisición incontrolada por parte de las áreas funcionales como su principal problema con SaaS. Y esto no es una cuestión de falta de disciplina en TI: es un déficit estructural de gobernanza cuyo origen radica en el nivel directivo (C-Level).

El patrón es siempre el mismo: una área funcional necesita una nueva herramienta. El proceso oficial de adquisición tarda semanas; la tarjeta de crédito funciona al instante. En un trimestre, 30 empleados ya usan la aplicación, cargan datos de clientes y la integran en procesos existentes. La TI se entera – si acaso – durante la siguiente revisión de costes.

El 70 % de los gastos eluden a la TI

El cambio de poder en la adquisición de software ya se ha consumado. Hoy, las áreas funcionales asumen el 70 % de los gastos en SaaS. El departamento de TI solo controla el 26 %. El resto se reparte entre servicios compartidos (Shared Services) y compras (Procurement). Este cambio no es problemático per se: las áreas funcionales conocen mejor sus necesidades. Pero sí lo es si carece de visibilidad centralizada.

Fuentes: Zylo SaaS Management Index 2025, Flexera State of the Cloud 2025

La consecuencia: entre el 51 % y el 53 % de todas las licencias SaaS no se utilizan en los 30 días posteriores a su compra (Zylo, 2025). Al mismo tiempo, los gastos en aplicaciones SaaS nativas de IA aumentan un 108 % respecto al año anterior. Las empresas, pues, destinan cada vez más dinero a software que no supervisan, no aprovechan plenamente ni gestionan centralmente.

Para el CFO, esto significa: un cuarto de los gastos en la nube no genera valor medible. Para el CIO, implica: la superficie de ataque crece con cada aplicación no autorizada. Para la dirección, supone: ambos problemas son su responsabilidad.

La IA acelera el descontrol

La difusión de herramientas de IA generativa ha llevado el problema de la TI sombra a una nueva dimensión. Una estudio de Bitkom de octubre de 2025 (n = 604 empresas con al menos 20 empleados) revela: en el 8 % de las empresas, el uso de herramientas privadas de IA en el lugar de trabajo está muy extendido – el doble que en 2024. En otro 17 %, hay casos aislados. Y en un 17 % más, simplemente no lo saben, aunque lo dan por hecho.

Al mismo tiempo, solo el 26 % de las empresas ofrece a sus empleados acceso oficial a IA generativa. La brecha entre demanda y oferta la cubre la TI sombra. ChatGPT, Google Gemini, Claude: las herramientas están a un clic de distancia. Los empleados cargan datos de clientes, borradores de contratos y documentos estratégicos internos en servicios externos de IA, sin que la TI lo sepa. Cada una de esas acciones representa una posible fuga de datos.

Uri Haramati, cofundador del proveedor de gestión de SaaS Torii, resume así la dinámica: la IA no inventó la TI sombra, pero sí ha incrementado masivamente su velocidad y alcance (CIO Dive, marzo de 2026). Lo que antes afectaba a unas pocas herramientas de marketing o aplicaciones de gestión de proyectos, hoy involucra a asistentes de IA que trabajan con datos empresariales – sin que la TI sepa qué datos fluyen hacia dónde.

NIS2 y DORA convierten la gobernanza de SaaS en obligatoria

El panorama regulatorio ha cambiado radicalmente en 2025 y 2026. Con la implementación del Reglamento de IA de la UE y la aplicación de DORA y NIS2, la dirección asume responsabilidad personal por la gobernanza de la ciberseguridad de su empresa. Esto incluye expresamente la cadena de suministro de software.

Concretamente: NIS2 obliga a los órganos de dirección a aprobar y supervisar las medidas de gestión de riesgos en ciberseguridad. En caso de negligencia grave, se prevén multas personales y prohibiciones temporales de ejercer cargos directivos. Quien, como miembro del consejo de administración, ignora qué 275 aplicaciones SaaS operan en su empresa – y cuáles de ellas acceden a datos sensibles – tiene un problema que ningún director de TI puede resolver por él.

DORA refuerza aún más los requisitos para el sector financiero: todo proveedor externo de tecnologías de la información y la comunicación debe registrarse, evaluarse y supervisarse. Una herramienta SaaS que use el departamento de cumplimiento normativo (compliance) para la gestión de contratos queda igualmente sujeta a esta obligación que la plataforma ERP central. Sin un inventario completo de SaaS, es imposible cumplir con los requisitos de DORA.

«Las empresas deben evitar el descontrol de la IA y prevenir el desarrollo de una IA sombra. Para ello, deben establecer reglas claras para el uso de la IA y proporcionar a sus empleados tecnologías de IA.»
Dr. Ralf Wintergerst, presidente de Bitkom (Comunicado de prensa de Bitkom, octubre de 2025)

Lo que Wintergerst exige para la IA, vale para el SaaS en su conjunto: quien no ofrece a sus empleados herramientas autorizadas, no debe sorprenderse si estos encuentran soluciones propias. La responsabilidad no recae sobre el departamento de TI, sino sobre el nivel directivo (C-Level), que es quien debe diseñar la estructura de gobernanza.

Qué debe decidir ahora la dirección

La gobernanza de SaaS no es una iniciativa de TI que el CIO pueda implementar de forma independiente. Requiere decisiones a nivel de consejo de administración:

1. Crear transparencia: Sin visibilidad completa, no hay gobernanza. La dirección debe encargar un inventario de SaaS que registre todas las aplicaciones – incluidas las que nadie ha pedido formalmente. Herramientas como Zylo, Torii o Productiv automatizan su detección. El «impuesto de capacidad» (Capacity Tax) – la proporción de la capacidad de TI dedicada a tareas administrativas en lugar de innovación – suele oscilar entre el 25 % y el 40 %. Esta es la métrica que convence al CFO.

2. Definir reglas de adquisición: La dirección debe decidir quién puede comprar software y bajo qué condiciones. No se trata de aprobar centralmente cada aplicación. Se trata de establecer umbrales claros: ¿a partir de qué volumen de gasto entra en juego la revisión central? ¿Qué categorías de datos requieren una evaluación de seguridad? ¿Qué estándares de cumplimiento normativo son in negociables?

3. Ofrecer acceso oficial a la IA: La brecha del 26 % en la provisión de IA es una invitación abierta a la TI sombra. Quien ofrezca a los empleados herramientas de IA verificadas y conformes con la protección de datos reducirá el incentivo para recurrir a alternativas privadas. No es una decisión tecnológica: es una decisión de gestión de riesgos.

4. Clarificar responsabilidades: ¿Quién, a nivel directivo, asume la responsabilidad global de la gobernanza de SaaS? La experiencia demuestra que, sin un responsable claro, toda iniciativa naufraga. Un comité de SaaS integrado por representantes de TI, finanzas y las principales áreas funcionales crea la vinculación necesaria.

Es legítima la objeción contraria: una gobernanza demasiado estricta frena la innovación. Las áreas funcionales que esperan meses para obtener la aprobación de TI seguirán buscando vías propias. La solución no está en el control, sino en la dirección: un marco de gobernanza que permita adquisiciones ágiles, pero garantice visibilidad y cumplimiento normativo.

Conclusión

La proliferación de SaaS es la erosión silenciosa de la gobernanza de TI. 275 aplicaciones, el 70 % de los gastos gestionados por las áreas funcionales, el 27 % de desperdicio – y una dirección que responde personalmente por todo aquello que desconoce. NIS2 ha cambiado las reglas del juego: la ignorancia ya no exime de responsabilidad. El primer paso no es un proyecto tecnológico, sino una decisión del consejo de administración: ¿qué software opera en esta empresa?, ¿quién lo ha contratado? y ¿quién lo responsabiliza? Quien no pueda responder a esta pregunta tiene un problema estratégico.

Preguntas frecuentes

Fuente de la imagen principal: Pexels / Kampus Production (px:8171188)