Un empleado de marketing redacta un informe de mercado con ChatGPT y pega datos de clientes en el prompt. Un analista financiero usa Gemini para resumir contratos internos. Una responsable de RRHH genera descripciones de puesto con una cuenta personal de Claude. Ninguno de estos usos ha sido aprobado por TI. Ninguno cumple la política de datos de la empresa. Y, sin embargo, ocurren cada día en miles de organizaciones.
Esto es el shadow AI: el uso no autorizado, no supervisado y no trazable de herramientas de inteligencia artificial por parte de los empleados. Si gestionáis una empresa en España, necesitáis entender la magnitud del problema y actuar antes de que lo haga el regulador.
À retenir
- El shadow AI afecta al 65 % de las empresas europeas — el uso no autorizado de IA es la norma, no la excepción
- Las fugas de datos por shadow AI suponen un coste medio de 4,88 millones de dólares por incidente
- El Reglamento Europeo de IA (AI Act) responsabiliza a la empresa, no al empleado individual
- Prohibir la IA no funciona: la solución es gobernarla con formación, políticas y alternativas oficiales
Qué es el shadow AI (y qué no es)
El shadow AI es la variante moderna del shadow IT: herramientas tecnológicas que los empleados adoptan al margen de los canales oficiales de la empresa. La diferencia clave es la velocidad y la escala. Mientras que adoptar un software SaaS sin autorización requería al menos un proceso de registro, usar IA generativa es tan sencillo como abrir una pestaña del navegador.
El shadow AI incluye:
- Uso de cuentas personales de ChatGPT, Gemini, Claude, Perplexity u otros LLMs para tareas laborales
- Extensiones de navegador con IA integrada no aprobadas por TI
- Copias de datos corporativos en prompts de herramientas externas
- Automatizaciones caseras con APIs de IA conectadas a hojas de cálculo o flujos de trabajo
No es shadow AI cuando la empresa proporciona herramientas de IA aprobadas, con políticas claras y formación adecuada sobre su uso. La diferencia está en la visibilidad y el control.
Por qué los empleados recurren al shadow AI
Antes de culpar a los empleados, conviene entender las causas. El shadow AI no nace de la malicia, sino de la fricción.
1. Productividad inmediata. Un empleado que descubre que ChatGPT le ahorra 2 horas al día no va a esperar 6 meses a que TI apruebe una herramienta oficial. La IA generativa es demasiado útil para ignorarla.
2. Ausencia de alternativas oficiales. Si la empresa no ofrece herramientas de IA aprobadas, los empleados buscan las suyas. Según un estudio de Microsoft (2025), el 78 % de los usuarios de IA en el trabajo empezaron por su cuenta antes de que existiera una política corporativa.
3. Políticas prohibitivas o inexistentes. Muchas empresas han optado por prohibir el uso de IA generativa. El resultado: el shadow AI no disminuye, simplemente se oculta mejor. Los empleados usan sus móviles personales y redes fuera de la empresa.
4. Falta de formación. Sin preparación sobre los riesgos de la IA, los empleados no perciben el peligro de introducir datos sensibles en una herramienta externa.
78%
de los empleados que usan IA en el trabajo empezaron antes de que existiera una política corporativa
Source : Microsoft Work Trend Index, 2025
Los riesgos concretos del shadow AI
El shadow AI no es un problema teórico. Sus consecuencias son cuantificables y, en algunos casos, devastadoras.
Fugas de datos y propiedad intelectual
Cuando un empleado pega código fuente, datos de clientes o documentos estratégicos en un prompt, esos datos salen del perímetro de seguridad de la empresa. En las versiones gratuitas de la mayoría de los LLMs, los datos pueden usarse para el entrenamiento del modelo.
Samsung prohibió el uso de ChatGPT en 2023 después de que ingenieros subieran código fuente propietario. Pero la prohibición llegó tarde: los datos ya estaban fuera.
Incumplimiento del RGPD
Si un empleado introduce datos personales de clientes o empleados en un LLM alojado fuera de la UE, la empresa está realizando una transferencia internacional de datos sin base legal. En España, la AEPD puede imponer sanciones de hasta 20 millones de euros o el 4 % de la facturación global.
Decisiones sin trazabilidad
Las decisiones empresariales basadas en outputs de IA no supervisada carecen de trazabilidad. Si un informe financiero contiene datos fabricados por un LLM y nadie lo verifica, la responsabilidad recae sobre la empresa.
Exposición regulatoria ante el AI Act
El Reglamento Europeo de IA (AI Act) establece que la responsabilidad del uso de sistemas de IA recae sobre el “deployer” — es decir, la organización, no el empleado individual. Si un empleado usa IA en un contexto clasificado como alto riesgo (RRHH, crédito, servicios públicos) sin las salvaguardas exigidas, la empresa responde ante el regulador.
4,88 M$
coste medio de una filtración de datos en 2024 — el shadow AI multiplica la superficie de ataque
Source : IBM Cost of a Data Breach Report, 2024
Cómo detectar el shadow AI en vuestra organización
La detección del shadow AI requiere un enfoque combinado: tecnológico y humano.
Auditoría técnica
- Análisis de tráfico de red: identificar conexiones salientes hacia dominios de APIs de IA (api.openai.com, generativelanguage.googleapis.com, api.anthropic.com)
- Revisión de extensiones de navegador: auditar las extensiones instaladas en los equipos corporativos
- Monitorización de DLP (Data Loss Prevention): configurar alertas cuando se copien grandes volúmenes de texto hacia destinos no autorizados
Auditoría humana
- Encuesta anónima: preguntad directamente a los equipos qué herramientas de IA usan. El anonimato es clave — si los empleados temen represalias, no responderán con honestidad
- Entrevistas por departamento: los equipos de marketing, legal, finanzas y RRHH son los que más recurren al shadow AI
- Observación de procesos: si un equipo ha multiplicado su productividad de forma inexplicable, probablemente estén usando IA
No convirtáis la detección en vigilancia punitiva. Si los empleados perciben que la auditoría es una caza de brujas, el shadow AI se volverá más sofisticado y más difícil de detectar. El objetivo es entender la situación real, no castigar.
Gobernanza del shadow AI: de la prohibición a la gestión
La prohibición total de la IA generativa no funciona. Los datos lo demuestran: las empresas que prohíben el uso de IA tienen niveles de shadow AI más altos que las que lo regulan. La solución es un marco de gobernanza que canalice el uso de IA hacia prácticas seguras y conformes.
1. Establecer una política de uso de IA
Una política de uso de IA eficaz debe definir:
- Qué herramientas están aprobadas y para qué casos de uso
- Qué tipos de datos pueden y no pueden introducirse en herramientas de IA
- Qué procesos requieren validación humana obligatoria
- Las consecuencias del incumplimiento
2. Ofrecer herramientas oficiales
Proporcionad a los equipos herramientas de IA con las licencias corporativas adecuadas (ChatGPT Enterprise, Gemini for Workspace, Microsoft Copilot, etc.). Estas versiones ofrecen garantías de privacidad, no usan datos para entrenamiento y permiten auditoría.
3. Formar a toda la organización
La formación es la medida más rentable contra el shadow AI. Cuando los empleados comprenden los riesgos de la IA, cambian su comportamiento. El Artículo 4 del AI Act exige específicamente que las empresas garanticen un nivel suficiente de competencia en IA entre su personal.
4. Crear un inventario de usos de IA
Documentad todos los usos de IA en la organización: herramientas, departamentos, tipos de datos procesados, nivel de riesgo. Este inventario es además una exigencia del AI Act para los sistemas clasificados como alto riesgo.
5. Auditar periódicamente
Programad auditorías trimestrales que combinen revisión técnica y feedback de los equipos. El shadow AI evoluciona rápido: lo que detectáis hoy puede ser obsoleto en tres meses.
Evaluar vuestra exposición al shadow AI
¿Sabéis cuál es el nivel de shadow AI en vuestra organización? Este ejercicio rápido os ayuda a evaluar vuestra exposición y priorizar las acciones.
El AI Act y el shadow AI: lo que dice la normativa
El Reglamento Europeo de IA no utiliza el término “shadow AI”, pero sus disposiciones cubren directamente el problema.
- Artículo 4: obliga a las empresas a garantizar que todo el personal que trabaja con IA tenga un nivel suficiente de competencia. Si los empleados usan IA sin formación, la empresa incumple esta obligación.
- Artículo 26: los “deployers” de sistemas de alto riesgo deben garantizar la supervisión humana, la trazabilidad y el uso conforme a las instrucciones del proveedor. El shadow AI viola sistemáticamente estos requisitos.
- Sanciones: hasta 15 millones de euros o el 3 % de la facturación global por incumplimiento de estas obligaciones.
En España, la futura Agencia Española de Supervisión de la IA (AESIA) será la encargada de fiscalizar el cumplimiento. Las empresas que se preparen ahora tendrán ventaja competitiva cuando comience la aplicación efectiva.
El shadow AI es síntoma, no enfermedad. Cuando los empleados recurren a herramientas de IA no autorizadas, están enviando un mensaje claro: necesitan IA para hacer su trabajo, pero la empresa no les ofrece una vía oficial. La gobernanza inteligente transforma esa demanda en una estrategia de adopción controlada que beneficia a toda la organización.
Conclusión
El shadow AI no es un problema que vaya a resolverse solo. Cada día que pasa sin una estrategia de gobernanza, más datos corporativos salen del perímetro de seguridad, más decisiones se basan en outputs no verificados y más exposición acumula la empresa ante el regulador. La buena noticia: las empresas que abordan el shadow AI de forma proactiva no solo reducen riesgos, sino que aceleran su adopción de IA con mejores resultados.
La receta no es prohibir, sino gobernar: herramientas oficiales, políticas claras, formación documentada y auditoría continua.
¿Queréis detectar y gestionar el shadow AI en vuestra organización?
Artículos relacionados
Riesgos de la IA en empresa: guía práctica 2026
Identifica los riesgos reales de la IA en tu empresa: alucinaciones, sesgo, shadow AI y protección de datos. Estrategias de mitigación incluidas.
Riesgos IA: 6 amenazas y cómo gestionarlas (2026)
Los 6 riesgos principales de la IA en empresas: sesgo, alucinaciones, ciberseguridad, privacidad y cumplimiento. Plan de gestión aplicable.
Gobernanza IA empresarial: marco práctico y AI Act
Implemente un marco de gobernanza IA en su empresa. Política, evaluación de riesgos, auditoría y formación para cumplir con el AI Act.