La sombra del fantasma, el Shadow IT
Desde mediados del Siglo XX., con la aparición de las primeras computadoras comerciales, y de forma más acelerada a partir de los años 80s, 90s y 2000s, la transformación digital introdujo las tecnologías a un ritmo tan acelerado que muchas organizaciones eran incapaces de gestionar completamente tal cantidad de dispositivos de una forma eficaz. Activos como los ordenadores personales, el software ofimático, el correo electrónico o los dispositivos móviles no dejaban de llegar, y los departamentos de TI de las organizaciones no siempre mantenían el control de todos estos activos.
En todo este caos nació el fantasma, el Shadow IT, o tecnología en la sombra. El INCIBE [1] lo define como:
“El Shadow IT se refiere al uso de sistemas, dispositivos, software, aplicaciones y servicios de tecnología de la información que no tienen el conocimiento y la aprobación del departamento TI de una empresa.”
El Shadow IT puede ser algo tan sencillo como un documento que envía un empleado a su cuenta personal de correo electrónico, que almacena de datos en la nube personal o, incluso, algo tan complejo como equipos completos que operan herramientas de análisis u operativa de negocio fuera del radar de la propia organización. Todo esto puede suponer un grave perjuicio para la supervivencia de la organización, y aunque muchas veces nace por necesidad (más agilidad, facilidad de uso, falta de alternativas, motivos económicos, etc.), desconocimiento (de las tecnologías, de las implicaciones, etc.) o incluso totalmente intencionales (por razones no legítimas o saltarse los controles establecidos), siempre representa un riesgo real y creciente para la seguridad y gobernanza de la información.
Según una publicación de Gartner [2], en 2022 el 41% de los empleados habían adquirido, modificado o creado elementos de Shadow IT y la previsión aumentaba hasta un 75% en 2027, lo cuál genera que los CISOs, típicamente responsables del diseño de controles sobre los activos empiecen a asumir un rol más orientado a ser facilitadores de la toma de decisiones basadas en los riesgos.
Peligros del Shadow IT
Los principales riesgos del Shadow IT a los que se enfrentan los CISOs son bien conocidos por los equipos de ciberseguridad [3] [4] [5] y se pueden resumir en los siguientes:◾ Falta de control y supervisión: al no pasar por el canal oficial, no hay monitoreo ni auditoría sobre los datos, los procesos que se manejan y las redes que se utilizan.
◾ Amenazas a la integridad de los datos: la ausencia de control puede abrir las puertas a actores malintencionados a alterar los datos de forma no autorizada.
◾ Pérdida de confidencialidad y privacidad: herramientas en la nube o apps no verificadas pueden cruzar y exponer datos sensibles a terceros y vulnerar la legislación de privacidad y exponer propiedad intelectual u otros secretos comerciales.
◾ Incompatibilidades y vulnerabilidades técnicas: software no autorizado puede crear conflictos con sistemas existentes o abrir puertas a vulnerabilidades. Se agrava todavía más a medida que pasa el tiempo, cuando estos sistemas no son mantenidos y se ven expuestos a cada vez más vulnerabilidades conocidas.
◾ Incumplimientos legales y normativos: muchas veces, sin saberlo, se violan normativas como el RGPD, requisitos de licenciamiento, contractuales o internos.
◾ Exposición a Malware: incluyendo software malicioso del tipo spyware, ransomware y rootkits, que potencialmente se pueden propagar a través de las redes corporativas.
Durante años, las organizaciones han combatido estos elementos de Shadow IT con elementos organizativos (políticas y campañas de concienciación) y tecnológicos (herramientas de descubrimiento y monitorización). Pero la tecnología sigue evolucionando y ahora, una nueva sombra emerge con más complejidad y más sigilo, el Shadow AI.
¿Repetimos? El Shadow AI
El Shadow AI es la nueva forma de tecnología en la sombra. Al ser un subconjunto nuevo dentro del Shadow IT ya existente, su definición no dista mucho de esta. Según IBM [6] se define como:“Shadow AI es el uso no autorizado de cualquier herramienta o aplicación de inteligencia artificial (IA) por parte de empleados o usuarios finales sin la aprobación o supervisión formal del departamento de tecnología de la información (TI).”El uso del Shadow AI puede adoptar muchas formas, algunos ejemplos:
◾ Un grupo de usuarios que usa aplicaciones de IA Generativa como ChatGPT, Copilot o Gemini (por nombrar algunas) en sus versiones gratuitas para redactar informes internos.
◾ Un grupo de usuarios que utiliza complementos, add-ons, módulos o elementos adicionales embebidos en programas ya existentes y aprobados que utilizan funciones de IA generativa.
◾ Un equipo de un departamento de la organización que entrena modelos con datos de clientes (muy probablemente sin tener en cuenta siquiera si es necesario solicitar un consentimiento).
◾ Un desarrollador o equipo de desarrolladores que integran una API de IA generativa sin revisar sus términos de servicio, las cesiones de datos o transferencias internacionales que se puedan llegar a producir.
El gran problema es que el uso de IA suele parecer inofensivo, productivo y eficiente en costes. Pero al igual que el Shadow IT, puede derivar en graves problemas de seguridad, privacidad y cumplimiento.
Riesgos del Shadow AI
Los riesgos del Shadow AI no solo replican los del Shadow IT, sino que además al ser una subcategoría nueva, los amplían:
◾ Exposición involuntaria de datos sensibles: al introducir datos corporativos en modelos de lenguaje o IA en la nube, podrían quedar almacenados o utilizados para entrenar otros modelos, incluidos los miembros de la competencia y el público en general.
◾ Falta de trazabilidad: muchas IAs no son lo suficientemente transparentes y generan contenido (resúmenes, decisiones, respuestas) sin dejar claro cómo o por qué llegaron a esa salida.
◾ Dependencia de respuestas sesgadas o erróneas: sin control sobre los modelos utilizados, pueden producirse decisiones basadas en información cuanto menos cuestionables. Llegan incluso a dar por hecho aspectos que no pueden ser comprobados, que son imprecisos o que directamente no existen, lo que se denomina alucinaciones [7].
◾ Violación de regulaciones: especialmente en países y sectores regulados, el uso de IA no aprobada puede contravenir normas como el RGPD, el Reglamento de Inteligencia Artificial (RIA – Reglamento 2024/168) de la UE [8] o políticas internas de las compañías y de su gobierno de datos.
El Shadow AI es un enemigo feroz porque no se ve a simple vista, no se instala como un software, ni ocupa un servidor físico. El Shadow AI vive en los navegadores, en sus plugins, en automatizaciones, extensiones o detrás de la propia lógica de negocio totalmente invisible para el usuario… y por eso es aún más difícil de detectar.
¿Qué se puede hacer?
La respuesta habitualmente pasa por no poner puertas al campo prohibiendo toda IA, porque de una u otra manera los usuarios encontrarán mecanismos para utilizarla, sino establecer unos
marcos correctos y asegurar una cultura empresarial adecuada para gobernarla con criterio.
Algunas medidas clave incluyen:
◾ Establecer una política de uso de las herramientas de IA: en la que se debe definir qué herramientas están aprobadas, qué contextos son aceptables para su uso, cuáles están prohibidos y las consecuencias de un uso inadecuado.
◾ Crear un procedimiento de registro de los modelos y herramientas de IA utilizadas en la organización. Este procedimiento debería contener los mecanismos de actualización, revisión y auditoría periódica correspondientes. Es difícil proteger lo que conoces, pero es imposible proteger lo que ni siquiera sabes que tienes.
◾ Formar e implicar al personal en los riesgos asociados al uso no supervisado de herramientas IA. Habitualmente responsabilizando a cada área de sus herramientas y rompiendo con la idea de que el departamento técnico de TI es el responsable de todos los riesgos tecnológicos.
◾ Implementar herramientas de descubrimiento activo que ayuden a detectar su uso no autorizado, como navegadores seguros o DLP con visibilidad de tráfico, proxys de navegación, firewalls, etc. Esta medida siempre irá de la mano de una correcta configuración de los permisos de usuario para impedir el uso de software no autorizado.
◾ Designar responsables de IA (“Chief AI Officers”, comités de IA o roles específicos que suelen recaer dentro de las área de cumplimiento o del CISO).
Conclusión
El paso del Shadow IT al Shadow AI no es solo una evolución tecnológica: es un salto exponencial en la escala de complejidad e impacto. Si el Shadow IT eran dispositivos o aplicaciones sin control, el Shadow AI son algoritmos que deciden, predicen y generan, a menudo sin que sepamos exactamente cómo lo hacen.
Lo invisible puede llegar a ser más peligroso que lo externo, por lo que ser capaz de gobernar estas sombras no es solo una tarea técnica, sino una necesidad estratégica para cualquier organización que quiera proteger sus datos, su reputación y su futuro.
Referencias:
🔗 [1] https://www.incibe.es/empresas/blog/shadow-it-lo-que-hay-en-la-sombra-de-tu-organizacion
🔗 [2] https://www.gartner.com/en/newsroom/press-releases/2023-03-28-gartner-unveils-top-8-cybersecurity-predictions-for-2023-2024
🔗 [3] https://www.incibe.es/incibe-cert/blog/it-shadow-al-descubierto-riesgos-y-buenas-practicas
🔗 [4] https://www.bbva.com/es/innovacion/shadow-it-un-peligro-en-la-sombra/
🔗 [5] https://www.bbva.com/es/innovacion/shadow-it-el-peligro-de-que-los-empleados-usen-la-tecnologia-por-su-cuenta/
🔗 [6] https://www.ibm.com/think/topics/shadow-ai
🔗 [7] https://www.ibm.com/es-es/think/topics/ai-hallucinations
🔗 [8] https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=OJ:L_202401689
