← Volver al blog

Héctor Matías

Shadow AI: la inteligencia artificial que tu equipo ya está usando sin que tú lo sepas

IAShadow AISeguridadGobernanzaEmpresas

Si llevas seis meses debatiendo en comité qué herramienta de IA aprueba la empresa, tengo malas noticias: tu equipo ya tomó la decisión hace tiempo. Y no te avisó.


Lo llaman Shadow AI. Es el uso de herramientas de inteligencia artificial fuera del radar de la dirección, sin permiso, sin control y muchas veces con cuentas personales. Y no es un caso aislado: es lo que está pasando ahora mismo en la mayoría de empresas medianas españolas, mientras el comité técnico discute la versión enterprise.


El problema no es que tu gente use IA. El problema es lo que están pegando dentro y dónde acaba esa información.


Qué es exactamente Shadow AI y por qué se ha vuelto inevitable

Shadow AI es la versión 2026 del Shadow IT clásico: empleados que adoptan herramientas que la empresa no ha aprobado porque la alternativa oficial no existe o tarda demasiado en llegar.


La diferencia es que con la IA la barrera de entrada se ha desplomado. Antes, instalar software no autorizado requería permisos de administrador. Hoy basta una pestaña del navegador, un email personal y treinta segundos. Cualquier empleado puede tener un asistente potentísimo trabajando para él en menos tiempo del que tarda en pedir un café.


Y lo va a usar. No por desobediencia, sino porque le hace su trabajo más fácil. La pregunta no es si tu equipo está usando IA por su cuenta. Es cuánta y con qué.


Las cinco señales de que ya tienes un problema de Shadow AI

Si te reconoces en tres de estas cinco, asume que el fenómeno está más extendido de lo que crees.


  • Documentos internos que aparecen mejor redactados de lo habitual, sin que nadie reclame el mérito.
  • Reuniones donde alguien comparte un análisis “que ha hecho rápido” pero que objetivamente requeriría dos días de trabajo.
  • Empleados que mencionan ChatGPT, Claude o Gemini en conversaciones informales con naturalidad, pero la empresa no ha contratado ninguna licencia.
  • Resultados que mejoran de forma irregular según quién toque el archivo.
  • Nadie ha pedido formación oficial en IA, pero todos parecen saber usarla.

Ninguna de estas señales aparece sola en un informe de gestión. Por eso casi ningún directivo lo ve hasta que estalla un incidente.


Los tres riesgos que casi nadie está midiendo

Shadow AI no es solo un problema de seguridad. Es un problema mayor del que la mayoría asume.


Riesgo uno: fuga de datos sensibles. El más obvio y el más grave. Cuando un empleado pega un contrato, una hoja de Excel con clientes o el código fuente de un producto en una herramienta gratuita, esa información puede acabar entrenando modelos públicos. No es paranoia, es la letra pequeña de los términos de uso de la mayoría de versiones gratuitas. Y una vez fuera, no vuelve.


Riesgo dos: decisiones tomadas sobre output que nadie ha revisado. Cuando una persona usa una IA en la sombra, no documenta cómo llegó al resultado. Eso significa que tu empresa está tomando decisiones, generando propuestas y mandando informes a clientes basados en outputs cuya cadena de prompts y verificación nadie conoce. Si el dato está mal, no hay rastro.


Riesgo tres: dependencia personal sin transferencia. El empleado que adopta IA por su cuenta se vuelve dramáticamente más productivo. Pero ese conocimiento es suyo, no de la empresa. Si se va, se lleva su sistema. Y deja a su sustituto haciendo el trabajo a la velocidad antigua sin saber por qué los números bajan.


El error de manual: prohibirla por decreto

La reacción típica cuando una dirección descubre el problema es prohibir el uso de cualquier IA no aprobada hasta que el comité termine la evaluación. Es comprensible y es un error.


Lo único que consigues con una prohibición es que el uso baje en la superficie y suba en discreción. La gente seguirá usándola desde el móvil personal, en cuentas privadas, sin avisar. Y entonces sí pierdes toda capacidad de gobernarlo.


La prohibición sin alternativa rápida convierte a tu empleado más curioso, motivado y técnicamente capaz en el primer infractor. Justo el perfil que necesitas a bordo cuando lances el programa oficial.


El protocolo de cuatro semanas para sacar la IA de la sombra

He visto este enfoque funcionar en empresas de cien a quinientos empleados. No requiere comité, ni proveedor enterprise, ni inversión inicial fuerte. Requiere disciplina y velocidad.


Semana uno: amnistía y mapeo. Comunica que durante diez días cualquiera puede declarar qué herramientas de IA está usando, para qué, y cómo. Sin consecuencias, sin auditoría, sin reproches. Solo información. Lo que descubrirás te va a sorprender. Casi siempre el uso real es más amplio, más útil y mejor pensado de lo que el comité asumía.


Semana dos: clasificación. Divide los casos de uso declarados en tres grupos: los que no tocan datos sensibles y se pueden seguir haciendo, los que tocan datos sensibles y necesitan migrarse a una versión empresarial, y los que directamente no se deberían estar haciendo en ninguna herramienta. Esa clasificación es la base de tu política real, no la teórica.


Semana tres: licencias enterprise para lo crítico. Para los casos del segundo grupo, contrata licencias empresariales de la herramienta que ya están usando. No intentes migrarlos a otra distinta. La fricción de cambio es brutal. Si tu equipo lleva meses usando ChatGPT, dale ChatGPT Enterprise. Si usan Claude, dales Claude para empresas. Lo importante no es la marca, es que los datos dejen de salir.


Semana cuatro: política mínima viable. Una página, no veinte. Tres reglas claras: qué datos no se pegan nunca en ninguna herramienta, qué herramientas están aprobadas para qué tipos de uso, y a quién se acude cuando aparece un caso nuevo. Si tu política de IA no cabe en una hoja A4, nadie la va a leer y nadie la va a cumplir.


Las cuatro métricas para saber si has recuperado el control

Saber si el plan funciona no se hace mirando si la gente cumple la norma. Eso es ingenuo. Se hace mirando lo siguiente:


  1. Número de casos de uso declarados voluntariamente en cada trimestre. Si baja, no es que la gente use menos IA. Es que ha vuelto a la sombra.
  2. Tiempo medio entre que alguien identifica una herramienta nueva y la incorpora al inventario oficial. Cuanto menor, más sana es la cultura.
  3. Porcentaje de empleados que saben citar las tres reglas de tu política de IA sin mirarla.
  4. Número de incidentes reportados internamente. Sí, que suban incidentes reportados al principio es buena señal: significa que la gente confía en avisar.

El mensaje que tienes que mandar como dirección

La conversación con tu equipo no puede ser sobre control. Tiene que ser sobre velocidad y responsabilidad compartida. Algo cercano a esto:


“No vamos a frenar el uso de IA en esta empresa. Vamos a hacer que sea más rápido, más seguro y que el conocimiento que generéis con ella sea de todos. A cambio, necesitamos que nos contéis qué estáis usando, para qué, y nos avises cuando aparezca algo nuevo. La regla es simple: si ahorrarte una hora con IA pone en riesgo la información de un cliente, no merece la pena. Para todo lo demás, queremos que la uses.”


Si ese mensaje sale claro y consistente desde dirección, el Shadow AI deja de ser una amenaza y se convierte en lo que realmente es: una señal de que tu equipo está intentando trabajar mejor antes de que la empresa se lo permita.


El problema no es que la IA esté entrando por la puerta de atrás. Es que la dirección sigue debatiendo si abrir la puerta principal mientras todos los empleados ya pasaron por la ventana. Tu trabajo no es cerrar ventanas. Es abrir la puerta antes.