En la era de la IA generativa, la IA en la sombra se está desarrollando en
todas partes y supone un riesgo importante para las empresas.
El término
Shadow AI
designa el uso de herramientas de IA generativa en un contexto profesional
sin aprobación previa de la jerarquía.
En 2023 ya afectaba al 30 % de los empleados. Hoy, según un reciente estudio,
alcanza al 68 % de las empresas francesas. Esto genera graves problemas de
seguridad: al usar estas herramientas, los empleados transmiten
involuntariamente a terceros datos potencialmente sensibles.
Lo esencial en 30 segundos
-
Shadow AI es el uso no autorizado de herramientas de inteligencia artificial
por parte de los empleados -
El 68% de los empleados franceses utiliza soluciones IA sin informar a su
dirección ni obtener aprobación previa -
Los riesgos incluyen fugas de datos, incumplimiento del RGPD y exposición a
ciberamenazas -
El 71% de los franceses conoce las IA generativas como ChatGPT de OpenAI y
Bing de Microsoft -
El 44% de los encuestados usa estas IA tanto en el ámbito personal como
profesional -
El 50% de las empresas estadounidenses declara que está actualizando su
reglamento interno para regular el uso de ChatGPT y poner fin al Shadow GPT -
El 70% de las personas encuestadas en otro estudio de Microsoft delegaría
gustosamente las tareas repetitivas a la IA -
El 45% de los jóvenes de 18-24 años declara usar IA, frente a solo el 18 %
de las personas mayores de 35 años -
El 72% de los franceses considera que no tiene suficientes conocimientos
para usar las IA generativas
¿Qué es exactamente el Shadow AI?
El Shadow AI (o «IA fantasma») representa la evolución natural del Shadow IT
que ya conocemos. En la práctica, se trata del uso de herramientas y
aplicaciones de inteligencia artificial por parte de los colaboradores sin
aprobación ni supervisión del departamento de TI de la empresa.
Esta práctica adopta múltiples formas en las organizaciones. Un comercial que
usa ChatGPT para redactar propuestas comerciales, un responsable de RR.HH. que
recurre a un generador de texto para crear ofertas de empleo o un analista que
emplea modelos de machine learning no validados para tratar datos sensibles:
todos estos ejemplos ilustran perfectamente este fenómeno en fuerte
crecimiento.
La diferencia fundamental con la IA legítima radica en la autorización y el
control. Las soluciones oficiales están integradas en las políticas de
seguridad y cumplimiento de la empresa, mientras que el Shadow AI escapa
completamente a esta supervisión. La ausencia de un marco expone a la
organización a riesgos considerables, especialmente en materia de protección
de datos y cumplimiento normativo.
Las cifras hablan por sí solas: según el estudio INRIA-Datacraft 2024, casi 7
de cada 10 empleados franceses utilizan herramientas de IA generativa en su
entorno profesional sin informar a su jerarquía. Una cifra que pone de
manifiesto la magnitud del desafío para las empresas.
Los riesgos ocultos detrás de este uso descontrolado
El Shadow AI expone a las empresas a una multitud de peligros que deben
tomarse en serio. El primer gran riesgo es la exposición a ciberamenazas. Los
modelos de IA generativa como GPT o DALL-E pueden ser vulnerables a ataques de
envenenamiento de datos o a inyecciones de prompts maliciosas. Los
ciberdelincuentes explotan estas vulnerabilidades para manipular los
resultados y comprometer la seguridad de los sistemas.
A continuación vienen las fugas de datos. Cuando los empleados envían
información sensible a través de plataformas no seguras para entrenar o
consultar modelos de IA, exponen potencialmente datos confidenciales. Ya hemos
hablado de los riesgos de ChatGPT. Pero ya en 2017
Statoil
cayó en la trampa de DeepL (que usa tus datos para entrenar sus algoritmos –
ver más abajo), y en 2023 le tocó a
Samsung
con ChatGPT. Sus empleados usaron ChatGPT tres veces y transmitieron así a
OpenAI datos estrictamente confidenciales, incluido el código fuente de sus
chips electrónicos.
El tercer peligro es la reproducción de sesgos. La IA generativa puede
reforzar involuntariamente prejuicios existentes si los datos de entrenamiento
están sesgados. El problema se vuelve especialmente crítico en sectores
sensibles como las finanzas, los recursos humanos o la justicia, donde las
decisiones automatizadas pueden tener consecuencias importantes para las
personas. Nada nuevo: estas cuestiones de sesgo en el entrenamiento llevan
tiempo en el centro de las preocupaciones de los desarrolladores de algoritmos
de recomendación.
Por último, el incumplimiento normativo representa un riesgo financiero
enorme. El uso no controlado de herramientas IA puede derivar en violaciones
del RGPD u otras normas de protección de datos. Las multas pueden alcanzar los
20 millones de euros o el 4% de la facturación anual mundial de la empresa.
¡La factura puede ser muy elevada!
Cómo transformar este desafío en oportunidad
En lugar de actuar como policía, las empresas tienen todo el interés en
adoptar un enfoque constructivo para regular el Shadow AI. El primer paso
consiste en definir marcos claros de gobernanza: redactar una carta ética para
guiar el uso de la IA y designar responsables dedicados, como
Chief AI Officers (CAIO), que velen por el cumplimiento de la
normativa.
También hay que reforzar la seguridad de los datos. Los CIO y CISO deben
asegurarse de que las plataformas utilizadas cumplan los estándares más
estrictos en materia de cifrado y almacenamiento de datos. ¿Lo ideal?
Privilegiar soluciones cloud híbridas o locales y poner a disposición
plataformas IA seguras para automatizar tareas rutinarias.
La formación de los equipos es una inversión crucial. Una comprensión profunda
de las tecnologías IA y de sus riesgos evita configuraciones erróneas o
exposiciones accidentales de datos sensibles. Los empleados deben comprender
los retos para convertirse en actores responsables de esta transformación.
Por último, son imprescindibles auditorías y evaluaciones periódicas de los
sistemas. Los controles de seguridad regulares permiten identificar y corregir
vulnerabilidades potenciales, adaptándose a las amenazas emergentes. Este
enfoque proactivo evita muchos disgustos.
A pesar de las perspectivas positivas, los riesgos han llevado a algunas
empresas a prohibir totalmente el uso de ChatGPT —empezando por Samsung (que
está implantando una herramienta interna), pero también JPMorgan Chase,
Amazon, Verizon y Accenture. El punto común de todas estas empresas es que
trabajan con grandes cantidades de datos propietarios de los que obtienen una
ventaja competitiva. El uso de ChatGPT —y en general de cualquier herramienta
algorítmica que ofrezca versión gratuita— implica la transferencia de datos
del usuario con fines de entrenamiento. Aunque el intercambio es comprensible
(servicio gratuito a cambio de datos), pocos usuarios son conscientes de ello.
En el caso de ChatGPT, la ausencia de consentimiento llevó incluso al gobierno
italiano a prohibir ChatGPT en su territorio. La decisión fue dura y
repentina, pero tuvo el mérito de poner de relieve todas las carencias de
OpenAI.
Estadísticas y ejemplos concretos de Shadow AI
Para comprender mejor la magnitud del fenómeno, aquí van algunos datos
reveladores. Según el estudio INRIA-Datacraft, el 68% de los empleados
franceses usa herramientas IA sin informar a su dirección. La proporción sube
al 75% entre los cuadros y alcanza el 82% en el sector tecnológico.
Los usos más frecuentes son la redacción de contenidos (45%), el análisis de
datos (32%), la traducción automática (28%) y la generación de imágenes (18%). Estas cifras muestran que el Shadow AI afecta a todos los oficios y
funciones de la empresa.
En cuanto a riesgos, los incidentes abundan. En 2024 varias empresas han
reportado fugas de datos vinculadas al uso no controlado de herramientas IA.
Un caso destacable fue el de una consultora que vio expuesta información
confidencial de clientes después de que un consultor usara un chatbot público
para analizar documentos sensibles.
En el sector bancario, una entidad financiera descubrió que sus analistas
empleaban modelos de machine learning no validados para evaluar riesgos
crediticios, exponiendo a la institución a decisiones potencialmente sesgadas
y sanciones regulatorias.
Buenas prácticas para dominar el Shadow AI
Frente a estos desafíos, varias estrategias resultan eficaces. En primer
lugar, el enfoque «sandbox» permite a los empleados experimentar con
herramientas IA en un entorno seguro y controlado. Este método satisface su
necesidad de innovación al tiempo que preserva la seguridad de la empresa.
La creación de un catálogo de herramientas IA aprobadas también es una
excelente práctica. Al ofrecer alternativas seguras a las soluciones públicas,
la empresa canaliza los usos hacia plataformas controladas. Naturalmente
acompañado de una política de uso clara que defina lo permitido y lo
prohibido.
La implicación de los departamentos operativos en la gobernanza IA es crucial.
En lugar de imponer reglas desde arriba, es mejor co-construir las políticas
con los usuarios finales. Este enfoque colaborativo favorece la adhesión y la
comprensión de los retos.
Por último, la sensibilización continua de los equipos marca la diferencia.
Sesiones de formación regulares, intercambio de experiencias y comunicación de
buenas prácticas crean una verdadera cultura de seguridad IA en la
organización.
El futuro del Shadow AI: hacia una convivencia controlada
El Shadow AI no es una moda pasajera, sino una realidad duradera de nuestro
entorno profesional. El desafío para las empresas consiste, por tanto, en
transformar esta restricción en una oportunidad de innovación controlada.
Las organizaciones más avanzadas ya están desarrollando estrategias de IA
híbrida que combinan soluciones oficiales con experimentos supervisados. Este
enfoque permite aprovechar la agilidad del Shadow AI manteniendo un nivel de
seguridad aceptable.
Las empresas que abrazan la IA generativa también han comprendido que hay que
salvar la brecha generacional. La adopción de IA depende de la edad: en 2024,
el 45% de los 18-24 años la usaba frente a solo el 18% de los mayores de 35
años. No sorprende que el 72% de los franceses considere que no tiene
suficientes conocimientos para usar estas tecnologías.
Esta brecha debe hacer tomar conciencia a las empresas de que los riesgos no
están distribuidos uniformemente entre todos los empleados. Algunos están más
“en riesgo” que otros, por lo que los esfuerzos de sensibilización deberán
diferenciarse según el público objetivo.
La evolución regulatoria, especialmente con el AI Act europeo, estructurará
aún más el sector. Las empresas que anticipen estos cambios ganarán ventaja
sobre sus competidores.
En definitiva, dominar el Shadow AI requiere un delicado equilibrio entre
innovación y seguridad, entre libertad de experimentación y control de
riesgos. Las empresas que logren esta transición serán aquellas que sepan
convertir a sus empleados en socios responsables de esta transformación
digital.
Preguntas frecuentes sobre Shadow AI
¿Cómo detectar el Shadow AI en mi empresa?
Varios indicios pueden alertarle. Vigile las facturaciones anómalas en
tarjetas de empresa, analice el tráfico de red hacia plataformas IA públicas
y, sobre todo, realice encuestas internas anónimas. A menudo un simple
cuestionario revela la magnitud de los usos ocultos. Cree un clima de
confianza para que sus empleados se sinceren sin miedo a sanciones.
¿Debo prohibir completamente el uso de herramientas IA externas?
Una prohibición total puede resultar contraproducente. Sus equipos
probablemente seguirán usándolas, pero de forma aún más discreta. Es mejor un
enfoque progresivo: identificar los usos, evaluar los riesgos y ofrecer
alternativas seguras. El objetivo es acompañar, no castigar.
¿Cuáles son las sanciones por incumplimiento del RGPD relacionado con Shadow
AI?
¡Las multas pueden ser especialmente elevadas! El RGPD prevé sanciones de
hasta 20 millones de euros o el 4 % de la facturación anual mundial. Pero más
allá del aspecto financiero, piense también en el daño reputacional. Una fuga
de datos de clientes causada por Shadow AI puede comprometer duraderamente la
confianza de sus socios y clientes.
¿Cómo formar a mis equipos sobre los riesgos del Shadow AI?
La formación debe ser concreta e interactiva. Organice talleres prácticos que
muestren riesgos reales, comparta casos de uso seguros y cree guías sencillas.
La idea es hacer entender que la seguridad IA no es un freno, sino un
acelerador de innovación responsable. Forme también a sus managers para que se
conviertan en relevos eficaces. Como explica el investigador del MIT Ethan
Mollick, se necesitan al menos 4 horas de trabajo con estas herramientas para
empezar a entenderlas de verdad.
¿Existen herramientas para monitorizar el uso de IA en la empresa?
¡Absolutamente! Están apareciendo varias soluciones en el mercado. Puede usar
herramientas de monitorización de red para detectar conexiones a plataformas
IA, soluciones DLP (Data Loss Prevention) adaptadas a IA o plataformas
especializadas de gobernanza IA. Lo importante es elegir herramientas que
respeten la privacidad de sus empleados y garanticen al mismo tiempo la
seguridad de la empresa.
Fuente:
IntoTheMinds