6 min de lectura

El 78 por ciento de todos los empleados utiliza herramientas de IA que su departamento de TI no ha aprobado. Esto no es una previsión, es el statu quo documentado en empresas de todo el mundo. En 18 meses, el Shadow AI ha pasado de ser un fenómeno marginal a convertirse en la mayor adopción tecnológica no controlada en la historia empresarial. La pregunta ya no es si los empleados utilizan IA generativa, sino cómo gestionan las organizaciones el hecho de que ya lo están haciendo.

Lo que distingue al Shadow AI del Shadow IT

El Shadow IT era un problema de infraestructura. Los empleados instalaban Dropbox, utilizaban servicios cloud privados o configuraban sus propias herramientas de colaboración porque el departamento de TI era demasiado lento. El riesgo era calculable: software sin parches, endpoints no seguros, copias de seguridad faltantes. TI podía ponerse al día, ofrecer alternativas y reintegrar la mayoría de los servicios sombra al perímetro controlado.

El Shadow AI es fundamentalmente diferente. No se trata de instalación de software, sino de fuga de datos en tiempo real. Cada entrada en ChatGPT, Claude, Gemini o Copilot es potencialmente una brecha de datos. Borradores de contratos, listas de clientes, documentos estratégicos, código fuente, datos financieros – todo termina en servidores que la empresa ni controla ni puede auditar. Y a diferencia de un archivo en Dropbox, no hay forma de recuperarlo.

La diferencia decisiva: el Shadow IT afectaba la infraestructura. El Shadow AI afecta la toma de decisiones. Cuando un empleado hace revisar un borrador de contrato por un modelo de IA, delega implícitamente evaluaciones jurídicas a un sistema sin responsabilidad ni contexto. Cuando un controller pasa datos financieros por un modelo externo, material confidencial abandona el perímetro controlado de forma irreversible.

A esto se suma la velocidad de adopción. La difusión de Dropbox en las empresas llevó años. ChatGPT alcanzó 100 millones de usuarios en dos meses. Los departamentos de TI no tuvieron oportunidad de desarrollar directrices antes de que el uso ya fuera cotidiano.

Existe además una dimensión regulatoria que el Shadow IT nunca tuvo. Bajo el RGPD, cualquier procesamiento de datos personales por terceros requiere autorización. NIS2 endurece las obligaciones para entidades críticas e importantes. El AI Act europeo impone requisitos adicionales de documentación para el uso de IA en organizaciones. Quienes desconocen qué herramientas de IA utilizan sus empleados no pueden cumplir ninguna de estas obligaciones. El Shadow AI no es solo un riesgo de seguridad, sino un riesgo de responsabilidad tangible.

La dimensión del problema: 78 por ciento sin aprobación

Varias encuestas independientes de 2025 dibujan un cuadro consistente. La encuesta WalkMe State of Digital Adoption abarcó a más de 3.500 trabajadores del conocimiento en todo el mundo. El resultado: el 78 por ciento admite abiertamente usar herramientas de IA que su empleador no ha aprobado. El estudio UpGuard de noviembre de 2025 llega a una cifra aún mayor: más del 80 por ciento de los encuestados utiliza herramientas de IA no aprobadas en su trabajo diario.

Aún más notable: el uso se correlaciona positivamente con el nivel jerárquico. Según UpGuard, los directivos utilizan herramientas de IA no autorizadas con más frecuencia que sus equipos. El 69 por ciento de los miembros del C-Suite y el 66 por ciento de los vicepresidentes senior no ven problema en priorizar la velocidad sobre la protección de datos. El mensaje hacia abajo queda establecido, aunque nunca se pronuncie.

Los departamentos intensivos en conocimiento se ven particularmente afectados. Los equipos de marketing utilizan IA para redacción y generación de ideas de campaña. Los departamentos jurídicos hacen resumir contratos. Los equipos financieros analizan datos. Recursos humanos genera ofertas de empleo y plantillas de evaluación. El uso es amplio, profundo y en la mayoría de los casos completamente invisible para el departamento de TI y sus sistemas de monitorización.

Un estudio de BlackFog añade otra dimensión: el 60 por ciento de los empleados declara estar dispuesto a asumir riesgos de seguridad para cumplir plazos. Las herramientas de IA son para muchos el instrumento preferido para mantenerse productivos bajo presión. Esto no es una elusión malintencionada. Es autoayuda racional en organizaciones que no ofrecen alternativas.

Un patrón se repite en todos los sectores: cuanto más regulada la industria, mayor la brecha entre la política oficial y el uso real. Los servicios financieros, las aseguradoras y las empresas sanitarias suelen tener las prohibiciones más estrictas y simultáneamente las tasas de uso más altas por vías alternativas. Las ganancias de productividad son inmediatamente tangibles para los empleados, mientras que los riesgos permanecen abstractos y diferidos. Mientras persista esta asimetría, cualquier prohibición será eludida.

Por qué las prohibiciones no funcionan

Software AG proporcionó en una encuesta de 2025 un dato que cuestiona toda la estrategia de prohibición: el 46 por ciento de los empleados declara que seguiría utilizando herramientas de IA no autorizadas incluso si su empresa las prohíbe explícitamente. Esto no es rebeldía ni desafío. Es un comportamiento racional de personas que quieren hacer su trabajo de forma más eficiente y no reciben ninguna alternativa aprobada.

El paralelismo con el Shadow IT de la década de 2010 es instructivo. En aquella época, los departamentos de TI intentaron bloquear los servicios cloud. El resultado: los empleados se pasaron a dispositivos personales y cuentas privadas. El problema no se resolvió, se hizo invisible. Exactamente esto está ocurriendo ahora con la IA. Según la encuesta WalkMe, el 58 por ciento de los empleados ya accede a herramientas de IA a través de dispositivos personales o cuentas privadas.

Una prohibición incluso agrava el riesgo. Quienes oficialmente no pueden usar herramientas de IA tampoco preguntan si determinados datos pueden introducirse. No hay interlocutor, ni directriz, ni vía de escalada. El uso continúa de todas formas, solo que sin control alguno, sin registro y sin posibilidad de rastrear lo ocurrido en caso de incidente.

La prohibición no genera cumplimiento. Genera opacidad. Y la opacidad es lo opuesto a lo que necesitan las organizaciones cuando el 78 por ciento de su plantilla interactúa diariamente con sistemas de IA externos.

Hay además otro efecto frecuentemente ignorado en el debate: las prohibiciones perjudican la competitividad. Las empresas que prohíben globalmente el uso de IA pierden por partida doble. Renuncian a ganancias de productividad que sus competidores ya están realizando. Y señalan a candidatos y empleados que la organización actúa de forma tecnológicamente retrógrada. En un mercado laboral donde la competencia en IA se considera cada vez más una cualificación básica, esto es una desventaja que se manifiesta a corto plazo en rotación y a largo plazo en retraso en innovación.

La brecha de gobernanza en tres cifras

Estas tres cifras describen el problema central en toda su crudeza. El 70 por ciento de las organizaciones sabe que sus empleados utilizan IA generativa. Pero solo el 15 por ciento ha respondido con políticas implementadas. Al mismo tiempo, el 38 por ciento de los empleados comparte datos confidenciales de la empresa con plataformas de IA externas según una encuesta conjunta de CybSafe y la National Cybersecurity Alliance – sin autorización alguna.

La dimensión financiera es considerable. Gartner pronostica que el 40 por ciento de las empresas se verá afectado por incidentes de seguridad directamente atribuibles al Shadow AI para 2027. El sobrecoste medio de un incidente de este tipo asciende a aproximadamente 670.000 dólares estadounidenses en comparación con incidentes de seguridad convencionales.

Pero los costes financieros son solo la punta visible del iceberg. El daño real reside en la erosión de la soberanía de datos. Los datos introducidos en un modelo externo no pueden recuperarse. Los ciclos de entrenamiento, los mecanismos de caché y los logs de servidor de los proveedores escapan a todo control de la empresa. Lo que hoy parece una ayuda de productividad inofensiva puede convertirse mañana en una violación de cumplimiento bajo el RGPD o NIS2. Para sectores regulados como los servicios financieros o la sanidad, el problema se agrava: además de las multas, están en juego prohibiciones profesionales y responsabilidad personal.

Lo que funciona: gobernanza en lugar de prohibición

Las empresas que contienen con éxito el Shadow AI no confían solo en la tecnología. Combinan tres palancas que actúan de forma concertada. Ninguna de las tres basta por sí sola, pero juntas cambian fundamentalmente la dinámica.

Primero: proporcionar alternativas aprobadas antes de prohibir. Prohibir ChatGPT sin ofrecer una alternativa interna es una estrategia perdedora. Las versiones empresariales de herramientas de IA con inicio de sesión único, prevención de pérdida de datos y registro de auditoría completo son el estándar mínimo. La experiencia de usuario debe ser al menos equivalente. Los empleados no recurren a herramientas privadas por principio, sino porque la herramienta corporativa es más lenta, más restrictiva o simplemente inexistente.

Segundo: políticas de uso en lugar de prohibiciones. Una política de gobernanza de IA funcional no define lo que está prohibido, sino cómo pueden utilizarse las herramientas de IA de forma segura. ¿Qué clasificaciones de datos pueden introducirse en qué herramientas? ¿Quién revisa los resultados generados por IA antes de una decisión crítica para el negocio? ¿Dónde recae la responsabilidad por resultados erróneos de la IA? Solo el 32 por ciento de los empleados ha recibido formación formal en IA según WalkMe. Este déficit puede subsanarse más rápidamente que cualquier sistema de control técnico.

Tercero: establecer visibilidad. Las herramientas de descubrimiento de Shadow AI y las plataformas de gestión SaaS identifican qué servicios de IA se utilizan en la red corporativa. No para castigar, sino para permitir decisiones informadas. Quienes saben que el equipo de marketing introduce diariamente datos de clientes en una herramienta no autorizada pueden reaccionar de forma dirigida. Quienes lo desconocen se enteran solo ante un incidente de seguridad o la próxima auditoría del RGPD.

La secuencia es determinante: primero visibilidad, luego políticas, después alternativas seguras. Empezar por la prohibición significa haber perdido ya, porque solo se desplaza el problema hacia la invisibilidad.

El beneficio estratégico de una gobernanza de IA funcional va más allá de la mitigación de riesgos. Las organizaciones que proporcionan a sus empleados herramientas de IA seguras y potentes capturan simultáneamente datos de uso que muestran dónde la IA aporta el mayor apalancamiento. Estos datos constituyen la base para inversiones dirigidas, decisiones de automatización y la próxima generación de herramientas de productividad. Quienes canalizan el Shadow AI hacia vías ordenadas no solo reducen el riesgo. Construyen un conocimiento que la competencia no posee.

Preguntas frecuentes

Imagen de título: Pexels / Sora Shimazaki (px:5935787)