Nota de seguridad

Qué es Shadow AI?

Shadow AI (IA en la sombra) se refiere al uso de herramientas de inteligencia artificial sin aprobación ni supervisión del área de TI o del área de Seguridad.
Shadow IT es igual al concepto de (uso de aplicaciones no autorizadas, como Dropbox, WhatsApp, Google Drive, etc.), pero aplicado a las herramientas de IA.

Para entender el tema podemos poner un ejemplo:
Un colaborador sube información confidencial de la empresa a ChatGPT, Gemini, Copilot o Grok para que dichas herramientas le ayuden a redactar un informe. Aunque lo hace con buena intención, puede estar exponiendo datos sensibles sin que la organización lo sepa.

Riesgos principales del Shadow AI

Filtración de datos sensibles

  • Un usuario ingresa información privada de la compañía en herramientas externas, para que le genere un resumen, esta información puede ser almacenada en servidores fuera del control de la empresa.
    • Riesgo: pérdida de propiedad intelectual, datos de clientes, estrategias internas.

Cumplimiento legal y regulatorio

  • Al subir información o documentos sobre herramientas IA, estas pueden estar violando leyes de privacidad de la información como la Ley 1581 en Colombia sobre protección de datos.
    • La compañía es responsable de cualquier fuga, aunque lo haya realizado el colaborador por desconocimiento.

Falta de control y trazabilidad

  • El área de IT no sabe qué datos se compartieron, quién los compartió ni cómo fueron procesados.
    • No hay auditoría ni registros confiables.

Exposición a ataques

  • Cibercriminales ya explotan IA falsas (fake AI tools) para robar credenciales o infectar equipos.
    • Si un empleado descarga una “IA gratuita” no validada, puede instalar malware en el entorno corporativo.

Cómo gestionar el Shadow AI en la empresa

Podríamos definir una política de uso de IA: especificar qué herramientas están autorizadas y para qué casos.

 También debemos capacitar a los usuarios: explicar riesgos de subir datos confidenciales a IA no aprobadas.

Implementar controles técnicos:

  • DLP (Data Loss Prevention) para evitar fuga de datos.
  • Bloquear acceso a herramientas no autorizadas.
  • Crear alternativas seguras: ofrecer a los empleados IA aprobadas y configuradas con controles (ejemplo: Microsoft Copilot con protección empresarial).
  • Monitoreo continuo: revisar logs de uso de internet para detectar patrones de Shadow AI.
Scroll al inicio