La shadow IT, o el uso de tecnología y herramientas sin la aprobación del departamento de TI, ha sido durante años un desafío para los equipos de ciberseguridad. Sin embargo, la rápida expansión y accesibilidad de la inteligencia artificial ha elevado este problema a un nuevo nivel. La denominada shadow AI se perfila como uno de los principales puntos ciegos para responsables tecnológicos y de seguridad.

“Aunque la IA lleva años utilizándose en ciertas áreas concretas de algunos entornos corporativos, el punto de inflexión llegó en 2023 con el éxito masivo de herramientas de IA generativa como ChatGPT, que alcanzó 100 millones de usuarios en apenas dos meses”, apunta Josep Albors, director de investigación y concienciación de ESET España. “Mientras los empleados adoptaban estas tecnologías para mejorar su productividad, muchas organizaciones no contaban todavía con estrategias claras para su uso. Por eso, en 2026, es fundamental que las empresas establezcan marcos de control y gobernanza que permitan aprovechar el potencial de la IA sin comprometer la seguridad ni el cumplimiento normativo”.

Este desfase entre adopción y control ha impulsado el uso de herramientas no autorizadas. Según Microsoft, el 78% de los usuarios de IA utiliza soluciones propias en el trabajo, y el 60% de los responsables de TI teme que la alta dirección no tenga un plan definido para implantar oficialmente estas tecnologías. La facilidad de acceso a plataformas como ChatGPT, Gemini o Claude desde dispositivos personales o entornos de teletrabajo ha acelerado esta adopción al margen de los equipos encargados de su control.

Un problema que va más allá de los chatbots

La shadow AI no se limita a aplicaciones independientes. También puede introducirse mediante extensiones de navegador o funciones activadas sin control en software corporativo legítimo. A esto se suma la aparición de la IA agéntica, basada en agentes autónomos capaces de ejecutar tareas sin supervisión constante. Sin controles adecuados, estos sistemas pueden acceder a datos sensibles o realizar acciones no autorizadas antes de ser detectados.

El uso no autorizado de modelos públicos de IA conlleva un alto riesgo de exposición de información confidencial o regulada, como propiedad intelectual, código, actas de reuniones o datos personales. Esta información se almacena en servidores de terceros, a menudo fuera de la jurisdicción de la empresa, lo que plantea serios problemas de cumplimiento normativo (RGPD, CCPA) y aumenta el riesgo de accesos indebidos o brechas, como la sufrida por el proveedor chino DeepSeek.

Además, algunas herramientas pueden contener vulnerabilidades o versiones maliciosas diseñadas para robar información. El uso de IA para programación sin una revisión adecuada también puede introducir errores explotables en productos finales, mientras que modelos entrenados con datos sesgados pueden dar lugar a decisiones empresariales erróneas.

En el caso de la IA agéntica, los riesgos incluyen la generación de contenido falso, código defectuoso o la ejecución de acciones no autorizadas. Las cuentas utilizadas por estos agentes también pueden convertirse en objetivos atractivos para los atacantes.

Estos riesgos ya tienen un impacto real. IBM estima que el 20% de las organizaciones sufrió el año pasado una brecha relacionada con shadow AI, y que su presencia puede aumentar el coste medio de una brecha en más de 500 mil euros, además de causar daños reputacionales y sanciones regulatorias.

Cómo afrontar el reto de la shadow AI

Para abordar estos riesgos, ESET, compañía líder en ciberseguridad, recomienda a las organizaciones:

• Reconocer el uso real de la IA dentro de la empresa, analizando qué herramientas se utilizan, con qué finalidad y en qué áreas, en lugar de prohibirlas de forma indiscriminada.
• Definir políticas de uso aceptable realistas, alineadas con el nivel de riesgo de cada organización y respaldadas por evaluaciones de seguridad y cumplimiento normativo de los proveedores de IA.
• Ofrecer alternativas oficiales cuando se restrinja el uso de determinadas herramientas, así como establecer procesos ágiles para que los empleados puedan solicitar nuevas soluciones de forma controlada.
• Formar y concienciar a los empleados sobre los riesgos reales asociados al uso no supervisado de herramientas de IA, especialmente en lo relativo a la protección de datos y la seguridad de la información.
• Reforzar la monitorización de red y las capacidades de seguridad, con el objetivo de mejorar la visibilidad sobre el uso de IA y reducir el riesgo de fugas de datos o accesos no autorizados.