Shadow AI en la empresa: cómo gobernar el uso de IA sin frenar la productividad

Te lo voy a contar como me lo encuentro yo en la mayoría de empresas. Una mañana cualquiera, alguien de seguridad mira los logs del proxy y aparecen 200 personas usando ChatGPT, Claude y media docena de asistentes de IA que nadie ha aprobado. Eso es shadow AI en la empresa: IA encendida en cada escritorio sin que TI ni cumplimiento se hayan enterado.

El reflejo automático suele ser bloquearlo todo. Mala idea. Esa puerta lleva a que la gente use el móvil personal, suba documentos a herramientas peores y nadie pueda ver nada. La buena noticia es que se puede gobernar shadow AI en la empresa sin frenar la productividad. La mala es que requiere conversaciones incómodas con dirección, RR. HH. y los propios empleados.

En este artículo te cuento cómo lo abordo yo: qué señales miro, qué errores he visto repetirse y qué plan de 90 días funciona en la práctica. Sin recetas mágicas, con cosas que se hacen el lunes.

Qué es shadow AI en la empresa y por qué se ha disparado

Shadow AI es el uso de herramientas de inteligencia artificial por parte de empleados sin que el departamento de TI las haya aprobado, ni cumplimiento las haya revisado. Es un primo cercano del shadow IT clásico, pero con dos diferencias que lo hacen más peligroso: la velocidad de adopción y el tipo de datos que tocan.

De shadow IT a shadow AI

El shadow IT tardaba semanas en aparecer: alguien instalaba un Dropbox personal, otra persona pagaba un SaaS con su tarjeta. Con shadow AI en la empresa, la curva es de horas. Hoy alguien descubre un asistente nuevo, mañana lo usa el equipo entero. La fricción para adoptar es prácticamente cero.

Por qué los empleados saltan la política

No saltan la política por mala fe, saltan porque el asistente les ahorra dos horas al día. Si tu política no ofrece una alternativa interna razonable, la gente busca fuera. Esto lo he visto en banca, en salud y en administración. Y es lógico: no puedes pedirle a alguien que renuncie a una herramienta útil «porque sí».

Riesgos concretos que tienes encima de la mesa

Cuando hablo de shadow AI en la empresa con un comité de dirección, lo aterrizo en tres riesgos que se entienden sin tecnicismos. Si los explicas mal, dirección no entiende la urgencia. Si los explicas bien, entienden que esto no es paranoia, es gestión.

Fuga de datos confidenciales

Cada vez que un empleado pega un contrato, una base de clientes o un trozo de código propietario en un asistente público, esa información puede acabar en logs que tu organización no controla. Hay proveedores que no entrenan con esos datos, otros sí. Sin política, no se distinguen.

Decisiones automatizadas sin trazabilidad

Lo más peligroso del shadow AI no es la fuga, es la decisión. Cuando un comercial le pide a un asistente que evalúe un cliente y mete esa puntuación en el CRM, la organización está tomando decisiones sobre personas con un sistema que nadie auditó. Esto, además, choca con varios artículos del EU AI Act.

Conflictos con GDPR y EU AI Act

Si procesas datos personales con un asistente que no está en tu RAT, tienes un problema con GDPR. Si los procesa para una decisión que afecta al sujeto, el problema crece con el AI Act. El de shadow AI en la empresa es uno de los riesgos transversales que repaso en el artículo de normativas IT 2026: pequeño en apariencia, grande cuando llega la auditoría.

Cómo detectar shadow AI sin convertirte en policía

Aquí muchos equipos se equivocan. Activan vigilancia agresiva, los empleados se sienten investigados y todo el mundo aprende a esconderlo mejor. Mi enfoque es mixto: telemetría discreta más conversación abierta.

Señales en proxy, DLP y SaaS Management

El proxy corporativo te enseña qué dominios IA tienen tráfico. Las herramientas de DLP detectan patrones de pegado masivo de datos. Y un SaaS Management te dice qué subscripciones IA está pagando alguien con tarjeta de empresa. Con esos tres datos cruzados tienes un mapa decente del shadow AI.

Encuestas y conversaciones, no solo telemetría

La telemetría te dice qué se usa, no por qué. Yo siempre acompaño con una encuesta corta y anónima a empleados: qué herramienta usan, para qué tarea y qué les ahorra. Te llevas dos sorpresas: descubres usos brillantes que merecen oficialización y otros que pintan rojo en el mapa de riesgos.

Marco de gobernanza realista para shadow AI en la empresa

Una vez tienes el mapa, toca poner orden sin frenar la productividad. El marco que aplico tiene cinco piezas. Ni una más, ni una menos. Cuanto más complejo lo hagas, menos se cumple.

Catálogo de herramientas IA autorizadas

Lista corta y pública de qué asistentes están aprobados, para qué casos y con qué datos. Si un empleado quiere usar otra cosa, puede pedirla. Esto es lo opuesto a «todo prohibido por defecto» y, en mi experiencia, baja shadow AI en la empresa entre un 60 y un 80 % en tres meses.

Sandbox corporativo y datos sintéticos

Da a los curiosos un sitio donde experimentar sin riesgo: un sandbox con datos sintéticos representativos de los reales. Los equipos avanzados lo agradecen y los conservadores se quedan tranquilos. Esto se alinea bien con los principios de IA responsable que aplico en otros proyectos.

Formación obligatoria y firma de uso aceptable

Una formación corta (60-90 minutos) anual y una firma de política de uso aceptable. Sin esto, cualquier reclamación interna queda débil. Es la pata legal del marco y la que más se descuida. La conecto con el resto de la gestión del riesgo en ciberseguridad para que no quede como un parche aislado.

Errores comunes al prohibir IA en la empresa

El error número uno es el bloqueo total sin alternativa. La gente sigue usando IA, solo que en el móvil personal y fuera de tu radar. El segundo es montar un comité de aprobación lentísimo: si tardas seis semanas en autorizar una herramienta, la gente no espera. El tercero, no medir nada después: sin métricas, no sabes si tu marco funciona.

Y un cuarto error que veo cada vez más: tratar el shadow AI como un problema solo de seguridad. No lo es. Es un problema de productividad mal canalizada y, por tanto, de gestión. Si el CISO va solo, no funciona. Tiene que ir con dirección, RR. HH. y representantes de los empleados.

Plan de 90 días para gobernar shadow AI en la empresa

Si me preguntas por dónde empezar el lunes, este es el plan que aplico. Tres fases de un mes cada una. Ni más rápido ni más lento.

Mes 1: diagnóstico. Cruza datos de proxy, DLP y SaaS Management. Lanza encuesta anónima. Saca un mapa con tres categorías: usos aceptables, usos a oficializar, usos a cortar. No publiques nada todavía.

Mes 2: marco mínimo. Publica el catálogo de herramientas IA autorizadas. Lanza sandbox con datos sintéticos. Prepara la formación corta. Negocia con dirección un presupuesto realista para licencias corporativas de los 2-3 asistentes que más se usen.

Mes 3: ejecución y métricas. Activa formación y firma de uso aceptable. Mide tres KPIs: porcentaje de empleados formados, número de herramientas no autorizadas detectadas y tiempo medio de aprobación de nuevas. Revisa cada quincena. Igual que con la gestión de riesgos en proyectos IT con GenAI, sin métricas no hay gestión, hay deseos.

Para profundizar en cómo definir esa política internamente, la guía de ENISA sobre inteligencia artificial es un buen punto de partida con vocabulario europeo.

Preguntas frecuentes sobre shadow AI en la empresa