Shadow AI: ¿qué es y qué riesgos de seguridad presenta?

13/03/2025

Inteligencia artificial. Dos palabras que han cambiado la forma de trabajar en los últimos años, ya que la IA puede ayudar a resolver dudas, automatizar tareas y multiplicar la productividad. Pero, como dijo Sófocles, “nada grande acontece en la vida de los mortales sin una maldición”.

Las herramientas de inteligencia artificial generativa pueden ser grandes aliadas, pero no saben guardar secretos. Ahí es donde aparece la “inteligencia artificial en la sombra” o Shadow AI, un riesgo silencioso que crece dentro de las empresas.

Hablamos de Shadow AI cuando se utilizan herramientas de IA no autorizadas por una compañía para abordar tareas laborales. A veces lo hacemos sin darnos cuenta: copiamos datos en un chat de IA para que nos ayude a escribir un informe, subimos una presentación estratégica para mejorarla o enviamos las notas de una reunión en Word para que la IA nos genere el acta. Parece inofensivo, pero puede no serlo.

Muchas de estas herramientas guardan y reutilizan la información que se introduce. Si la información es confidencial o personal, se pierde el control sobre ella. Datos personales o de clientes, documentos internos o estrategias empresariales pueden acabar en bases de datos externas sin ninguna garantía de protección. Según el estudio “Revealing the True GenAI Data Exposure Risk”, elaborado por LayerX, el 6% de los empleados ha copiado y pegado información sensible en herramientas de IA, y un 4% lo hace semanalmente.

¿Qué puede ocurrir si se utilizan aplicaciones de IA no autorizadas? Pérdida de control y brechas de seguridad que pueden salir muy caras. Aquí se muestran algunos de los mayores riesgos: 

• Fugas de información. Si se introducen datos confidenciales o personales en una IA no autorizada, no se puede saber quién más podría acceder a ellos ni dónde pueden acabar.
• La conversación con la IA puede comprometer la privacidad. A diferencia de una búsqueda en Google, con las herramientas de IA “charlamos” y se pueden llegar a revelar más datos de lo que se cree.
• Vulneraciones normativas: algunas regulaciones como el RGPD exigen aplicar una serie de garantías a la hora de tratar la información personal. Subir ciertos datos a herramientas externas podría suponer un incumplimiento grave si no se cuenta con una base de legitimación suficiente o si se producen transferencias internacionales de datos sin las garantías necesarias, por ejemplo.
• Ciberataques más sofisticados: la información enviada puede ser utilizada por ciberdelincuentes para mejorar sus ataques de ingeniería social, haciéndolos más creíbles y difíciles de detectar.

Para garantizar la seguridad de nuestros datos, aplicar medidas como las que indicamos a continuación podrá ayudar a mitigar algunos de los riesgos anteriormente indicados:

• No utilizar tecnología o aplicaciones no autorizadas. Nunca copiar información corporativa en plataformas de IA no autorizadas previamente por los equipos correspondientes.
• Hacer un uso responsable de la información corporativa. Compartirla solo con las personas que deban acceder a ella. Utilizar adecuadamente las herramientas corporativas para realizar una óptima gestión de los accesos que damos a la documentación.
• No usar credenciales corporativas en estas aplicaciones. Evitar iniciar sesión con el correo de empresa en servicios de IA no autorizados. Tampoco enviar información corporativa desde cuentas de IA personales. Recuerda: aunque tu cuenta sea de pago, la información sigue sin estar bajo tu control y, por tanto, podría quedar expuesta a filtraciones. 
• Informar, formar a los empleados y conocer la normativa interna sobre clasificación y tratamiento de la información de la organización ayudará a evitar errores.