AI Ciberseguridad

Shadow AI: el insider threat de 2026

ruben.mesquida099 views

La adopción de inteligencia artificial en la empresa ha crecido más rápido que su gobierno. Mientras las organizaciones despliegan políticas, controles y herramientas corporativas, los empleados utilizan asistentes de IA desde sus cuentas personales para resolver sus tareas. Este fenómeno (Shadow AI) está transformando al usuario en un nuevo vector de riesgo interno, replicando el patrón histórico de Shadow IT

Shadow AI replica ese patrón con una diferencia crítica: el dato es el producto. Cada prompt puede contener información confidencial, código, datos de clientes o decisiones de negocio. En segundos, información corporativa puede salir de la empresa hacia sistemas externos donde su uso, almacenamiento o retención queda fuera del control organizativo.

La evidencia muestra que el fenómeno no es marginal. El AI Adoption and Risk Report 2024 de Cyberhaven
indica que más del 57% de empleados utiliza herramientas de IA no aprobadas en el trabajo y aproximadamente el 33% introduce datos sensibles en ellas. En paralelo, el Microsoft Work Trend Index 2024
confirma una brecha estructural entre la adopción real de IA por los empleados y la capacidad de gobernanza de las organizaciones.

Este desacople entre adopción tecnológica y control organizativo redefine el modelo clásico de insider threat: el mayor riesgo ya no es únicamente el atacante externo, sino el uso descontrolado de herramientas legítimas.

Este post analiza qué es Shadow AI, por qué representa una evolución del riesgo interno tradicional, cómo se producen fugas de datos y exposición de propiedad intelectual, y qué controles técnicos y organizativos permiten reducir el impacto sin frenar la innovación.

Qué es Shadow AI y por qué no es solo Shadow IT?


Shadow IT se define como tecnología (dispositivos, software y servicios) fuera de la propiedad o control de IT, o usada sin conocimiento/aprobación.  Shadow AI toma ese patrón y lo amplifica con propiedades específicas de la IA:

  1. La materia prima del servicio es el dato que el usuario pega/adjunta
  2. El proveedor puede retener, registrar o reutilizar contenido (según plan, configuración y obligaciones legales)
  3. El output puede inducir a decisiones erróneas con apariencia de plausibilidad
  4. El “sistema” suele incluir plugins, conectores, navegadores y agentes, ampliando superficie de ataque (p. ej., prompt injection indirecta). 

Shadow AI es cualquier uso de IA (herramientas públicas, funciones de IA SaaS, extensiones, agentes o APIs) que procese datos corporativos sin

  1. Base legal/contractual válida,
  2. Controles técnicos equivalentes a los de sistemas corporativos (SSO, DLP, logging, retención), y
  3. Gobernanza (clasificación de datos, evaluación de riesgo, dueño del caso de uso y auditoría). 

La diferencia práctica con Shadow IT es la irreversibilidad un archivo subido o un prompt pegado puede salir del perímetro en segundos y “borrar” rara vez equivale a “deshacer” (copias, logs, backups, retenciones legales)

Adopción real: LLMs personales, datos corporativos y el BYOAI

Los datos de 2024–2026 convergen en tres hechos operativos.

1 Los empleados usan IA sus cuentas personales para el trabajo

Gartner reporta >57% usando cuentas personales de GenAI para tareas laborales (mayo–noviembre 2025).  TELUS Digital mide 68% accediendo a asistentes públicos desde cuentas personales (febrero 2025).  En ambos casos, el patrón central es el mismo: el acceso ocurre fuera de los dominios corporativos, sin SSO y sin control de políticas (o con control parcial vía navegador/endpoints). 

2 El prompt «sensible» es frecuente y heterogéneo.

Gartner cuantifica 33% admitiendo introducir información sensible en herramientas no aprobadas.  TELUS Digital cuantifica 57% introduciendo datos sensibles o de alto riesgo y detalla tipos datos personales (31%), detalles de producto/proyecto (29%), datos de clientes (21%) e información financiera confidencial (11%).  ManageEngine añade granularidad: 32% de empleados introduce datos confidenciales de clientes en herramientas de IA sin confirmar aprobación, y 37% introduce datos internos privados. 

3 La fuga no se limita a “chatbots evidentes” y se observa ya a escala en telemetría corporativa. 

Harmonic Security analizó Q2 2025 (1.000.000 prompts y 20.000 archivos, >300 herramientas) y halló 22% de archivos y 4,37% de prompts con contenido sensible. Además, el “promedio” de empresa vio 23 herramientas de IA nuevas (no previamente conocidas) usadas por empleados solo en ese trimestre.  El mismo estudio identifica concentración por proveedor (72,6% de prompts sensibles hacia ChatGPT) y un dato operativo crítico, una fracción relevante de exposición ocurre en planes gratuitos o no enterprise

    En una línea similar, LayerX reporta, sobre telemetría de navegación empresarial, que 77% de empleados “pega” datos en prompts GenAI y 82% de esos pegados proviene de cuentas personales no gestionadas. Además, ~40% de archivos subidos incluia datos PII o PCI.

    Como contexto de privacidad y gobernanza, Cisco (Cisco 2024 Data Privacy Benchmark Study) reporta que 48% admite introducir información no pública de la empresa en herramientas GenAI y que 27% de organizaciones había prohibido GenAI al menos temporalmente por riesgos de privacidad y seguridad. 

    Casos reales y señales de exposición de datos e IP

    Caso corporativo

    En abril de 2023 se reportaron tres incidentes en los que empleados de Samsung Electronics introdujeron datos sensibles en ChatGPT (código fuente, código para optimización y transcripción de reunión), el propio reporte indica medidas posteriores de limitación del tamaño de subida por prompt en el entorno afectado. La empresa no respondió a solicitudes de comentario en esa cobertura. 

    Caso proveedor

    OpenAI documentó en marzo de 2023 una incidencia donde un fallo en una librería open source permitió que algunos usuarios vieran títulos de historial de chat de otros, además, el mismo fallo pudo exponer datos de pago de un 1,2% de suscriptores ChatGPT Plus activos en una ventana de nueve horas (nombre, email, dirección de pago, tipo de tarjeta y últimos cuatro dígitos, entre otros). Este ejemplo no requiere que el usuario “publique” nada: basta con depender de un servicio externo para introducir un nuevo riesgo sistémico. 

    Caso institucional

    En enero de 2026 se informó que el jefe interino de CISA subió documentos sensibles (no clasificados, pero marcados “for official use only”) a una versión pública de ChatGPT, activando revisiones internas. El patrón relevante no es el sector público, sino la recurrencia: incluso entornos con cultura de seguridad pueden caer en Shadow AI cuando la herramienta es inmediata y el control no está integrado en el flujo de trabajo. 

    Señal jurídica de riesgo (responsabilidad por output)

    Mata v. Avianca (S.D.N.Y., 22 de junio de 2023), el tribunal sancionó a abogados por presentar citas judiciales inexistentes generadas por ChatGPT. No es una fuga de datos, pero sí un incidente material de cumplimiento/profesionalidad derivado de uso acrítico de LLMs en procesos con consecuencias legales. Para Shadow AI, es el recordatorio de que el riesgo no acaba en “confidencialidad”: también está en integridad, diligencia y trazabilidad. 

    Señal jurídica de IP (litigio por generación de código)

    Doe v. GitHub (N.D. Cal.), el tribunal emitió en enero de 2024 una orden que concede en parte y deniega en parte una moción de desestimación en la demanda relativa a GitHub Copilot, incluyendo reclamaciones contractuales ligadas a licencias open source. El caso es relevante para empresas porque Shadow AI en desarrollo software combina: (a) exposición de IP propia al “prompt”, y (b) riesgo de introducir IP/licencias de terceros en el output y su cadena de suministro. 

    Mapa de riesgos de Shadow AI: vectores, probabilidad e impacto

    Gartner proyecta que, para 2030, más de 40% de las empresas experimentará incidentes de seguridad o cumplimiento vinculados a Shadow AI no autorizado. Esa magnitud convierte el problema en “incidente masivo” por prevalencia, no por un único breach espectacular. 

    La superficie de riesgo se puede modelar como un flujo simple: el empleado actúa como integrador de datos, el LLM público actúa como “procesador” externo y el daño nace del desacople entre clasificación de datos y canal de salida. 

    Prioridad real de los riesgos

    No todos los vectores tienen el mismo peso operativo. La evidencia de adopción y telemetría muestra una concentración clara en tres riesgos dominantes:

    Alta probabilidad · alto impacto

    • Fuga de datos sensibles (PII, clientes, finanzas, contratos)
    • Exposición de propiedad intelectual (código, algoritmos, diseños)
    • Baja visibilidad del uso desde cuentas personales

    Riesgos secundarios

    • Incumplimiento regulatorio
    • Responsabilidad por outputs del modelo
    • Prompt injection y exfiltración indirecta

    Factores que amplifican el riesgo

    El impacto de Shadow AI no es el mismo entre organizaciones. Aunque el vector técnico es igual, la severidad del incidente depende del tipo de información gestionada, del contexto regulatorio y del valor estratégico del dato. Existen tres condiciones estructurales que amplifican significativamente el riesgo.

    Alta densidad de datos personales

    Las organizaciones que procesan grandes volúmenes de información personal presentan mayor superficie de exposición. Sectores como salud, banca, seguros o retail gestionan datos sensibles de clientes, historiales, transacciones o perfiles de comportamiento, lo que convierte cualquier transferencia no controlada en un riesgo directo de incumplimiento regulatorio.

    En estos entornos, el uso de herramientas de IA sin control puede implicar exposición de datos protegidos, obligaciones de notificación de brecha, sanciones regulatorias y pérdida de confianza del cliente. El impacto no es únicamente técnico, sino legal y reputacional.

    Alta concentración de propiedad intelectual

    Las organizaciones en sectores como (software, ingeniería, industria tecnológica, investigación o farmacéutica) presentan un riesgo elevado por la posible exposición de activos estratégicos. El uso de asistentes de IA para tareas como depuración de código, análisis técnico o generación de documentación puede implicar la transferencia de información crítica.

    El dato expuesto suele incluir código propietario, algoritmos internos, diseños industriales, documentación técnica o planes de producto. La pérdida de control sobre estos activos afecta directamente a la ventaja competitiva y al valor económico del negocio.

    Exigencias regulatorias estrictas

    Sectores con alta carga regulatoria (finanzas, administración pública, seguros, legal) enfrentan riesgos adicionales cuando los datos se procesan en sistemas externos sin garantías contractuales o controles auditables. En estos contextos, el problema principal no es únicamente la fuga de información, sino el incumplimiento normativo.

    Esto puede generar transferencias internacionales no autorizadas, falta de trazabilidad, incumplimiento de requisitos de retención o uso de resultados no verificables en procesos sujetos a auditoría.

    Naturaleza transversal del riesgo

    La evidencia observada en entornos reales muestra exposición recurrente de código propietario, datos personales, documentación financiera interna e información estratégica como procesos de fusiones y adquisiciones. Esto confirma que no afecta a una industria específica, sino que introduce un vector de riesgo transversal donde cualquier organización que procese información sensible puede verse impactada.

    El factor determinante no es el sector, sino el valor del dato y el nivel de control sobre su uso.

    Controles técnicos y organizativos: arquitectura mínima viable


    El objetivo no es “prohibir IA”, es desplazar el uso desde cuentas personales y herramientas no aprobadas hacia un canal gobernado, con controles comparables a correo corporativo, repositorios etc. Sin herramientas enterprise y sin control práctico, el trabajador las traerá por su cuenta. 

    Controles por capas

    Política y clasificación de datos

    1. Que datos nunca entran en la IA externa (secretos empresariales, credenciales, PII de terceros, M&A, datos regulados),
    2. Qué datos pueden entrar solo en la IA aprobada enterprise,
    3. Qué casos de uso quedan prohibidos (p. ej., decisiones automatizadas en empleo/selección sin evaluación),
    4. Registro de casos de uso y dueño responsable. En España, AEPD ha publicado recomendaciones de uso responsable y una política institucional de IA generativa que ilustra enfoque de “marco + práctica” (inventario, controles, uso seguro). 

    Identidad y Control de Acceso

    • Forzar SSO/SAML, RBAC y control de funciones (subidas de archivos, conectores) en el LLM corporativo. OpenAI expone explícitamente SAML SSO y control de retención como características de ofertas enterprise, junto con el check de no entrenar por defecto con datos de negocio.  Para Anthropic, la documentación indica retención estándar de 30 días en Team/Enterprise/API y opción de “zero data retention” en determinados escenarios con claves API configuradas. 

    AI gateway / proxy

    • Implementar un “punto de control” para tráfico hacia LLMs (permitidos y no permitidos) con inspección de contenido, clasificación y enmascaramiento, bloqueos por tipo de dato y alertas.
    • La justificación está en la telemetría: copy/paste predomina y ocurre en cuentas no gestionadas, sin control en el canal, el DLP file-based llega tarde. 

    DLP y Prevención de secretos. 

    • Detección de PII/PCI/credenciales/código y tokens, reglas específicas para repositorios, gestores de secretos y datos de clientes. Los hallazgos de Harmonic son un argumento directo para un DLP

    Seguridad de aplicaciones LLM (prompt injection y tool use)

    • Si hay RAG, agentes o herramientas conectadas, se deben aislar permisos, separar “sistema” de “datos”, sanitizar entradas, validar salidas y limitar acciones. 
    • OWASP cataloga Prompt Injection como LLM01 y manejo inseguro de outputs como LLM02, con consecuencias que van desde exfiltración hasta ejecución no deseada en sistemas downstream. 

    Gobernanza de IA

    • Adoptar un marco alineado a riesgo para mapear, medir y gestionar. 
    • NIST provee AI RMF con foco en gestión de riesgos en todo el ciclo. En paralelo, ISO 42001 establece requisitos para un sistema de gestión de IA (AIMS)

    Operacionalizar el control: respuesta y concienciación

    La gestión de Shadow AI no termina en la definición de controles técnicos. Las organizaciones deben asumir que el uso no gobernado ocurrirá y preparar mecanismos de detección y respuesta.

    Ante un incidente, el objetivo inicial es contener el canal de exposición (bloquear el acceso no autorizado, revocar sesiones y evaluar los datos transferidos) seguido de análisis del alcance, evaluación de impacto legal y refuerzo de controles para evitar recurrencia.

    La prevención depende en gran medida del comportamiento del usuario. Por ello, las organizaciones deben complementar los controles técnicos con políticas claras de uso, comunicación interna sin ambigüedad y formación basada en escenarios reales.

    El principio operativo es simple, si un dato no puede compartirse con un tercero externo, tampoco debe introducirse en una herramienta de IA pública.

    La efectividad del programa debe medirse mediante indicadores de uso real , en lugar de métricas tradicionales de cumplimiento formativo.

    Conclusión: Shadow AI como riesgo estructural del uso cotidiano

    Shadow AI no es un problema tecnológico aislado, sino un cambio estructural en el modelo de riesgo empresarial. La adopción de inteligencia artificial ha superado la capacidad de control organizativo, desplazando el perímetro de seguridad desde los sistemas hacia el comportamiento del usuario.

    El riesgo principal no reside en el modelo ni en el proveedor, sino en el flujo no controlado de datos corporativos hacia servicios externos utilizados desde cuentas personales. La combinación de alta adopción, entrada frecuente de información sensible y pérdida inmediata de control convierte Shadow AI en una evolución directa del riesgo interno tradicional.

    La evidencia muestra que la fuga de datos, la exposición de propiedad intelectual y el incumplimiento regulatorio no son escenarios hipotéticos, sino consecuencias operativas del uso no gobernado de estas herramientas. El impacto depende del valor del dato y del contexto regulatorio, pero el vector es transversal a sectores.

    La respuesta efectiva no consiste en prohibir el uso de inteligencia artificial, sino en integrarla dentro del modelo de control organizativo mediante gobernanza, visibilidad y controles técnicos equivalentes a los de otros sistemas críticos.

    En el contexto actual, la pregunta relevante para las organizaciones ya no es si los empleados utilizan IA generativa, sino bajo qué condiciones lo hacen y qué nivel de control existe sobre el dato que procesan.

    Related posts

    La economía incómoda de la IA: adopción masiva, retorno concentrado

    Model Context Protocol (MCP) Explicado: Conecta tus LLMs con herramientas externas

    La privacidad como pilar fundamental en el desarrollo con IA

    Add Comment

    Este sitio web usa cookies para mejorar tu experiencia. Asumiremos que te parece bien, pero puedes desactivarlas si prefieres. Leer más