El informe Tendencias del Ciberdelincuencia 2025 ya está aquí. Obtén información experta para afrontar los riesgos cibernéticos de próxima generación. Leer más.

Contacto
Languages

Cybersecurity

Qué riesgos enfrentan las empresas con la Shadow AI y cómo los líderes pueden crear una cultura de uso seguro de la IA

27 November 2025 · 9 min de lectura
Volver al blog

En abril de 2023, la multinacional Samsung Electronics se vio obligada a prohibir el uso de herramientas generativas de IA como ChatGPT tras descubrir que varios de sus empleados habían filtrado el código fuente y notas confidenciales al chatbot. Gracias a una combinación de eficiencia y falta de control, información vital —incluido el código de sus nuevos semiconductores— acabó en manos externas.

Este caso europeo plantea una cuestión crítica para CISOs, DPOs y directivos del área TI o formación: la proliferación de lo que se ha denominado Shadow AI, es decir, herramientas de inteligencia artificial utilizadas dentro de la organización sin supervisión, control, ni registro. En este entorno, los empleados no malintencionados, sino bien intencionados, serían los primeros vectores de riesgo. Según un estudio de Microsoft (2024), el 78 % de las empresas ya muestra signos de uso no autorizado de IA, y en las pymes esta cifra alcanza el 80 %.En este artículo abordaremos qué es la Shadow AI, por qué crece más rápido que los controles tradicionales, los riesgos que plantea, así como en qué se diferencia de la gestión de Shadow IT. Y, finalmente, cómo los líderes y responsables de seguridad pueden manejarla mediante un enfoque centrado en las personas, con la ayuda de herramientas de formación.

¿Qué es la Shadow AI?

La expresión Shadow AI se refiere al uso de herramientas de inteligencia artificial generativa o asistida por parte de empleados sin aprobación formal o control del área de TI. Esto incluye desde cuentas personales de chatbots, extensiones de navegador en SaaS, hasta funcionalidades embebidas de IA en aplicaciones de productividad. A diferencia del actor externo malicioso, en muchos casos los empleados utilizan estas tecnologías para trabajar más rápido, sin intención de vulnerar la organización.

Por ejemplo, un ingeniero puede pedir a una IA que optimice un guion y copiar parte del código confidencial al modelo. O bien un director de marketing introduce datos de clientes en un chatbot gratuito. Aunque el uso parece inocente, puede derivar fácilmente en filtración de datos. Este fenómeno difiere de la “Shadow IT” clásica —software no autorizado— porque la IA implica juicio, además de carga de trabajo.

¿Por qué la Shadow AI crece más rápido que los controles?

Mientras las organizaciones diseñan políticas para controlar el uso de la inteligencia artificial, el ritmo de adopción entre los empleados avanza a otra velocidad. La Shadow AI se expande de forma silenciosa, impulsada por la accesibilidad, la presión por innovar y la integración invisible de la IA en herramientas cotidianas. Estos son algunos de los factores que explican por qué crece más rápido que los controles.

  • Las herramientas de IA generativa son accesibles, gratuitas o con versiones de prueba de software, y se instalan con facilidad.
  • El trabajo remoto e híbrido reduce la supervisión directa del equipo de seguridad.
  • Existe una tensión constante por mejorar la productividad y no quedarse atrás en el boom de la IA.
  • Muchas plataformas SaaS integran funciones de IA discretamente, dificultando su identificación.

El resultado es que mientras los departamentos de seguridad trabajan en políticas formales, los empleados adoptan soluciones de IA en su rutina laboral en la empresa.

¿Cuáles son los riesgos de la Shadow AI?

En el ecosistema actual, donde la IA se integra en cada flujo de trabajo, la Shadow AI amplía la superficie de ataque y difumina las líneas de responsabilidad. Estos son los riesgos más críticos que ya están afectando a organizaciones en Europa, y que pueden llegar a afectar también a la tuya, si no se presta atención inmediata.

Filtración de datos y exposición de IP

Cuando un empleado introduce datos sensibles en un chatbot sin control, esos datos pueden ver la luz pública o ser reutilizados por el proveedor del modelo. En el incidente de Samsung, empleados subieron código a ChatGPT.

Incumplimiento regulatorio

El uso no aprobado de IA puede impedir la trazabilidad, base legal de tratamiento y auditoría. Bajo marcos como la Ley de AI de la UE o el Reglamento General de Protección de Datos (RGPD), esta falta de control es crítica.

Alucinaciones del modelo y decisiones erróneas

Los chatbots pueden generar información incorrecta o sesgada (se estima que los “hallazgos” erróneos ocurren hasta en el 82 % de las veces).

Sesgo incorporado y discriminación

Si se usan modelos sin entender su origen o sesgo, algunas decisiones sobre clientes, personal o crédito pueden perpetuar una discriminación inadvertida.

Pérdida de explicabilidad

Decisiones asistidas por IA sin registro dificultan explicar el motivo por el cual se optó por un camino, algo fundamental en auditorías y cumplimiento normativo.

Contaminación de la cadena de suministro de decisiones

Salidas de herramientas no supervisadas pueden incorporarse a sistemas oficiales sin revisión, contaminando decisiones posteriores.

Impacto reputacional y coste económico

Brechas vinculadas a IA pueden ser más graves que una brecha tradicional.

Superficie de ataque más amplia

A diferencia del Shadow IT, la Shadow AI puede estar presente en cada rol, en extensiones de navegador, cuentas personales o aplicaciones de productividad.
Cada uno de estos riesgos es relevante para los responsables de seguridad, porque combina vulnerabilidad técnica con comportamiento humano.

Dota a tu plantilla del criterio necesario para usar la IA de forma responsable.

Descarga el Informe de Alfabetización en IA

¿Cómo es gobernar Shadow AI frente a Shadow IT?

La estrategia para gestionar software, hardware y dispositivos no autorizados (Shadow IT) implicaba inventario y bloqueo. Sin embargo, la Shadow AI plantea un reto diferente: va más allá de la carga de trabajo; implica decisiones, juicios y creatividad.
El control debe adaptarse porque:

  • Los modelos evolucionan rápidamente, lo que requiere supervisión continua.
  • La IA puede estar embebida en herramientas existentes, sin detección regular.
  • Los empleados pueden usar cuentas personales o plugins para saltarse restricciones.

Por ello, el enfoque clave es que Shadow AI no solo mueve datos; mueve juicio. Por Los líderes exigen una combinación de política, visibilidad y formación.

¿Por qué intentar prohibir completamente la Shadow AI es poco realista (y contraproducente)?

Un veto total puede producir un efecto de underground: los empleados buscarán alternativas menos visibles, reduciendo la supervisión. Prohibir no solventa la necesidad urgente de productividad y transformación digital. Además, parte del uso puede generar un valor muy potente al trabajo diario: la clave está en adoptarlo de forma responsable. Los esfuerzos de detección tipo CASB pueden ayudar, pero la mejor palanca aquí es la formación, ayudar a tus empleados comprender cómo usar estas herramientas.

Dota a tu plantilla del criterio necesario para usar la IA de forma responsable.

Descarga el Informe de Alfabetización en IA

Solución: gobernar Shadow AI mediante controles centrados en las personas

La Shadow AI no se gestiona únicamente con tecnología. Su núcleo es humano, porque los incidentes no surgen de la malicia, sino de la curiosidad o la presión por ser más eficientes. En este contexto, el enfoque más pragmático combina formación, visibilidad y liderazgo.

Formación: construir juicio digital

La primera línea de defensa son las personas. Los programas de concienciación en IA —como el módulo AI Awareness add-on de SoSafe— ayudan a que cada empleado entienda qué información puede compartir, cuándo debe revisar una respuesta generada y cómo detectar errores o sesgos en los modelos.

No se trata solo de cumplir políticas, sino de desarrollar un pensamiento crítico digital. Un profesional entrenado sabrá reconocer cuándo una herramienta “alucina”, cuándo una petición de datos es inapropiada o cuándo una automatización requiere revisión humana.Además, el aprendizaje continuo permite anticipar nuevas amenazas: la IA evoluciona mensualmente, pero los hábitos perduran.

Definir límites y responsabilidades

Los llamados guardrails o límites operativos son esenciales. Determinan qué datos pueden introducirse en herramientas de IA, qué contenido debe pasar por revisión y en qué casos se necesita aprobación explícita.Establecer estas reglas no frena la innovación, al contrario: da seguridad para experimentar dentro de un marco controlado. Cuando las políticas son claras y comunicadas con ejemplos reales, los empleados las interiorizan sin percibirlas como una barrera.

Aumentar la visibilidad del uso de IA

Buena parte del riesgo surge del desconocimiento. Mapear las aplicaciones, extensiones y cuentas personales utilizadas con IA permite a los equipos de TI detectar patrones y priorizar acciones.

Herramientas de descubrimiento o encuestas internas ayudan a construir un inventario vivo de riesgos. Sin visibilidad, cualquier intento de control será reactivo.

Aprobar un conjunto básico de herramientas seguras

Intentar prohibir la IA es tan inútil como prohibir Internet. Una estrategia eficaz consiste en autorizar un catálogo de herramientas verificadas, con revisión de privacidad y almacenamiento de datos.

Esto permite a los empleados trabajar de forma más rápida y segura sin recurrir a soluciones externas. En paralelo, la organización mantiene el control de auditoría y el cumplimiento normativo.

Medir para mejorar

La concienciación debe traducirse en métricas tangibles. Los líderes pueden evaluar el impacto mediante indicadores como:

  • Reducción del número de prompts que incluyen datos confidenciales.
  • Incremento de reportes voluntarios de uso indebido o sospechoso.
  • Mejora en la percepción del riesgo y comprensión de políticas internas.
  • Disminución de incidentes de filtración o exposición involuntaria.

Estos datos transforman la formación en argumentos ante el consejo directivo: demuestran retorno y consolidan la cultura de seguridad como inversión, no como gasto.

Liderazgo visible y cultura sostenida

El cambio solo prospera si viene acompañado de ejemplo. Cuando los directivos participan en los programas de formación y comunican abiertamente su compromiso con la IA responsable, el resto de la organización percibe que el mensaje es real.

Las iniciativas más efectivas no solo enseñan a “no cometer errores”, sino que promueven conversaciones: cómo equilibrar productividad y seguridad, cómo aprovechar la IA sin ceder control.

En última instancia, el control más poderoso sobre la Shadow AI es una cultura informada. Políticas, inventarios y herramientas ayudan, pero son las decisiones cotidianas —un clic, un prompt, una duda— las que marcan la diferencia. 

Y esas decisiones se fortalecen con conocimiento, no con miedo.

Conclusión: el riesgo humano centrado exige controles centrados en las personas

Las herramientas de inteligencia artificial evolucionan a tal velocidad que muchas llegan al entorno laboral sin supervisión. Las políticas de privacidad pueden quedarse atrás, pero los hábitos entre los empleados se mantienen activos. 

Cuando el equipo entiende los límites, la IA deja de ser un problema y se convierte en una ventaja competitiva. Formar ahora al personal proporciona una ventaja a largo plazo y ayuda a navegar la incertidumbre con seguridad. Por ello, es en la cultura donde realmente se forja la resiliencia digital.Con el módulo AI Awareness add-on de SoSafe, la concienciación sobre IA no es un evento anual: se incluye en la forma de trabajar, pensar y responder del equipo, día tras día.

Dota a tu plantilla del criterio necesario para usar la IA de manera responsable.

Descarga el Informe de Alfabetización en IA

👉 Empieza a usar la IA de forma segura.

También podría interesarte:

El punto ciego de la IA: cómo los líderes pueden recuperar el controlRead more Clock 6 min de lectura

Cybersecurity

El punto ciego de la IA: cómo los líderes pueden recuperar el control

La IA está ocupando el epicentro de la vida laboral, pero muchos jefes siguen sin descifrar cómo se usa realmente de forma controlada. En este artículo revelamos la brecha entre la percepción de los directivos y la práctica diaria, y mostramos cómo la alfabetización en IA se ha convertido en el nuevo estándar del liderazgo responsable.

¿Quieres saber lo último en ciberseguridad?

Suscríbete a nuestra newsletter para recibir los artículos, eventos y recursos más recientes sobre ciberseguridad. No recibirás spam, solo contenido relevante.

Newsletter visual

La plataforma de riesgo humano que se implanta en días, no en meses

Implementa la concienciación en ciberseguridad adecuada para grandes empresas en solo 2 días con apenas 20 minutos de tiempo de gestión necesarios.

Comprueba cómo con nuestro enfoque de microaprendizaje gamificado se consigue un 70 % de avisos activos de amenazas en 6 meses.

Descubre cómo organizaciones como la tuya han reducido los porcentajes de clics de phishing del 20 % al 3,5 % en solo 18 meses.

Conformidad y seguridad

ISO 27001
TISAX
GDPR

Experimente nuestros productos de primera mano

Utilice nuestro entorno de pruebas en línea para ver cómo nuestra plataforma puede ayudarle a capacitar a su equipo para evitar continuamente las ciberamenazas y mantener segura su organización.

Producto

Formación en concienciación en ciberseguridad

Fomenta hábitos seguros con una formación personalizada, gamificada y basada en historias reales.

Simulaciones inteligentes de phishing

Mejora la capacidad de reporte de amenazas y acelera su detección en toda la organización.

Copiloto humano siempre activo en ciberseguridad

Convierte a tus equipos en una defensa proactiva con Sofie, nuestro chatbot conversacional impulsado por IA.

Herramienta de gestión del riesgo humano

Monitoriza, mide y mitiga el riesgo humano en tiempo real con la plataforma Human Risk OS.

Descubra nuestras soluciones con nuestras visitas a productos

Iniciar visitas virtuales
Soluciones

Cumple con las normativas

Automatiza y acelera el cumplimiento de las normativas

Construye una cultura de seguridad

Integra los hábitos seguros en el ADN de tu organización

Concienciación en ciberseguridad para el sector público

Prepara a tus empleados para situaciones de ataque realistas

Descubre los casos de éxito de nuestros clientes

Explorar
Precios
Recursos

Leer

Informes Guías Blog Glosario Casos de éxito

Asistir

Todos los eventos Human Firewall Conference

Ponte a prueba

Danger Lab Juego de phishing Pon a prueba tu resiliencia cibernética Comprobar preparación para NIS2

Recurso destacado

Tendencias de ciberdelincuencia 2025

La inteligencia artificial, los ataques a la cadena de suministro y las amenazas a las identidades personales están transformando el panorama de las ciberamenazas. Lee el informe para evaluar tu nivel de seguridad y obtener consejos prácticos.

Leer más
Empresa

Conviértete en un héroe cibernético

¿En busca de tu misión? Únete a nuestro objetivo de hacer el mundo un lugar más seguro.

Únete a nuestro objetivo de hacer el mundo un lugar más seguro.

Apuntarme
Partners
Contacto Login
Languages

This page is not available in English yet.

This page is not available in your language yet. You can continue in English or return to the US homepage.

This page is not available in your language yet. You can continue in English or return to the Aus homepage.

Diese Seite ist noch nicht in Ihrer Sprache verfügbar. Sie können auf Englisch fortfahren oder zur deutschen Startseite zurückkehren.

Cette page n’est pas encore disponible dans votre langue. Vous pouvez continuer en anglais ou revenir à la page d’accueil en français.

Deze pagina is nog niet beschikbaar in uw taal. U kunt doorgaan in het Engels of terugkeren naar de Nederlandse startpagina.

Esta página aún no está disponible en español. Puedes continuar en inglés o volver a la página de inicio en español.

Questa pagina non è ancora disponibile nella tua lingua. Puoi continuare in inglese oppure tornare alla home page in italiano.