Puntos Clave
- El uso de la IA en la sombra ha aumentado drásticamente en el entorno laboral, como evidencia el informe Technology at Work 2025 de Ivanti.
- El diálogo abierto y las políticas claras fomentan un uso responsable de la IA y minimizan los riesgos asociados con la IA en la sombra y las herramientas de IA gratuitas.
- Una implementación gradual y controlada —en consulta con los empleados para comprender sus necesidades de uso de la IA— permite a los responsables de seguridad equilibrar los objetivos empresariales y los requisitos de seguridad.
Las herramientas de IA han experimentado un ascenso meteórico en el entorno laboral. Lo que antes era territorio de perfiles tecnológicos muy especializados ahora es habitual: el informe Technology at Work 2025 de Ivanti reveló que el 42 % de los trabajadores de oficina afirma utilizar herramientas de IA generativa, como ChatGPT, en el trabajo, 16 puntos más que el año anterior.
¿El problema? Estos aumentos de productividad se producen sin visibilidad oficial. Entre quienes declararon utilizar herramientas de IA generativa, el 46 % afirma que algunas —o todas— las herramientas que utilizan no las proporciona la empresa. Además, uno de cada tres trabajadores oculta a sus empresas las herramientas de productividad basadas en IA.
Las herramientas de IA generativa pueden multiplicar la productividad. Pero también suponen un riesgo para la seguridad de los datos, especialmente cuando se utilizan sin supervisión de la empresa.
¿Qué es la IA en la sombra?
El uso no autorizado de la IA no es más que otra variante de la TI en la sombra (es decir, el uso de tecnología sin aprobación de TI).
Los riesgos que introduce la IA en la sombra son similares a otros riesgos de la TI en la sombra, pero con una capa adicional de preocupación: la enorme cantidad de datos propios que la IA generativa necesita para ser eficaz. Las herramientas gratuitas de IA generativa (y también algunas de pago) pueden utilizar los datos de una organización o las búsquedas de los empleados para entrenar su modelo, lo que amplifica el riesgo de fugas de datos e incumplimiento normativo.
La reciente revelación de que las conversaciones compartidas de ChatGPT eran rastreables por los motores de búsqueda (aunque OpenAI cambió rápidamente de rumbo) debería servir de llamada de atención: sin los controles adecuados, los terceros pueden utilizar sus datos de formas con las que usted no está de acuerdo. Algunas herramientas gratuitas, incluido ChatGPT, pueden configurarse para cumplir las políticas de seguridad, pero eso sencillamente no es posible cuando los empleados las utilizan de forma encubierta.
Las herramientas gratuitas como ChatGPT no son el único riesgo de la IA en la sombra. Una fuente inesperada es, de hecho, el software existente. Con la carrera por añadir funciones de IA, herramientas que antes podrían haber sido aprobadas por TI ahora pueden plantear nuevos riesgos y, si los equipos de seguridad de la información no conocen ni evalúan estas nuevas funciones, en la práctica eluden los procesos de gestión de riesgos de terceros.
Por qué es crucial un enfoque que priorice el riesgo en la IA
Ya se trate de IA generativa o de otras herramientas, la TI en la sombra es consecuencia de no contar con una forma definida y razonable de probar herramientas o realizar el trabajo. Dado que la IA no va a desaparecer, las empresas deben abordar su adopción de forma proactiva, porque prohibir herramientas no significa que los empleados no vayan a intentar utilizarlas para aumentar su productividad y facilitar su trabajo.
Dedico la mayor parte de mi tiempo a evaluar riesgos, incluidos los que plantean las herramientas de IA. A menudo tenemos que evaluar el riesgo en relación con una oportunidad de mejorar el negocio; en este caso, los aumentos de productividad de los empleados y los impactos de segundo orden (como la satisfacción de los empleados o disponer de tiempo para trabajar en proyectos más estratégicos).
En resumen, debemos preguntarnos: ¿existe alguna forma de introducir las herramientas que piden los empleados y aprovechar las ventajas que ofrecen manteniendo el riesgo en un nivel aceptable?
Aquí es donde entra en juego un enfoque que prioriza el riesgo. Un enfoque que prioriza el riesgo en la adopción de la IA se centra en los datos que deben introducirse en la IA y en cómo gestiona esos datos el tercero. Este enfoque es similar a la gestión de riesgos de proveedores, lo que permite a las organizaciones utilizar prácticas y procesos consolidados, pero adaptados a preguntas específicas sobre IA.

Entre las preguntas clave que conviene plantearse se incluyen:
- ¿Se utilizarán nuestros datos para entrenar el modelo de IA?
- ¿Durante cuánto tiempo se conservan nuestros datos?
- ¿Qué protecciones existen para reducir el riesgo de que nuestros datos queden expuestos?
- ¿Quién tiene los derechos sobre la propiedad intelectual generada mediante el uso de la IA?
Minimizar la proliferación de la IA es una parte fundamental de este trabajo. A medida que más proveedores introducen herramientas de IA especializadas —y a medida que incorpora más proveedores y concede a sus herramientas de IA acceso a sus datos—, el riesgo aumenta. Esto también se aplica a las herramientas existentes que de repente incorporan IA sin cambios de coste ni de contrato, lo que dificulta mantener un inventario preciso de herramientas de IA.
Adopción de un marco de gobernanza de la IA en Ivanti
En Ivanti, combatimos la IA en la sombra con un enfoque que prioriza el riesgo y que empieza y termina con el compromiso de los empleados.

Sacar el uso de la IA de la sombra
Aunque nunca fomentaríamos la IA en la sombra, los empleados que la utilizan tienen conocimientos valiosos que compartir sobre cómo integrar la IA en los flujos de trabajo. Por eso, en lugar de prohibir todo uso de la IA, debemos asegurarnos de que los empleados dispongan de una vía clara para solicitar herramientas de IA que puedan utilizar en el trabajo y de que existan oportunidades periódicas para un diálogo abierto.
Fomentar un diálogo abierto hace que los empleados se sientan cómodos hablando de qué herramientas les ayudan a tener éxito y, en última instancia, significa que las utilizarán —o utilizarán herramientas equivalentes— de forma segura. Esto brinda a los empleados la oportunidad de ser socios activos en el desarrollo de una gobernanza adecuada, en lugar de intentar sortear las restricciones.
Un enfoque medido para la implementación y adopción de la IA
Una vez aprobada una herramienta, es importante garantizar una implementación adecuada y comprender a qué datos se le ha dado acceso. Esto es especialmente importante si se tiene en cuenta el riesgo para la gobernanza y la seguridad de los datos que las herramientas de IA generativa plantean a las organizaciones. Cuando analizamos la IA desde la perspectiva de la gobernanza de datos, podemos abordar muchas partes del riesgo asociado a la IA.
En Ivanti adoptamos un enfoque medido: dedicamos un equipo a realizar pruebas controladas de herramientas de IA generativa con otros equipos. Después establecemos ciclos de feedback, y la adopción se despliega gradualmente para evitar interrupciones.
Creación de un ciclo de feedback para las herramientas de IA
Debemos preguntarnos de forma constante:
- ¿Cómo utilizan la IA los empleados de Ivanti?
- ¿Les gusta?
- ¿Qué feedback tienen?
- ¿Cómo podemos mejorar la herramienta?
Esta conversación continua garantiza que utilicemos la IA de forma responsable, al tiempo que satisfacemos las necesidades de productividad de los empleados.
No se trata de subirse a la ola de la IA. Se trata de saber si merece la pena: para la empresa y para las personas que la utilizan. La IA en la sombra aumenta la productividad de una persona. Pero si se toma esa productividad y se amplía, se obtiene una mejora significativa para la empresa en su conjunto.
Combatir de forma proactiva la IA en la sombra
La idea central es que, aunque la IA, y en particular la IA en la sombra, plantea riesgos nuevos y preocupantes, ha llegado para quedarse. Los empleados que utilizan la IA fuera de los canales oficiales no tienen malas intenciones; más bien intentan beneficiar a la empresa, aunque no lo estén haciendo de la forma adecuada.
Un enfoque proactivo que prioriza el riesgo en la adopción de la IA reconoce esta realidad. En lugar de prohibiciones reactivas que solo fomentan que se eludan las normas, debemos implicar a los empleados para comprender los problemas que intentan resolver con la IA, de modo que podamos ofrecerles opciones seguras que cumplan nuestros requisitos de seguridad y privacidad de datos.
Preguntas frecuentes
¿Qué es la IA en la sombra?
La IA en la sombra es un tipo de TI en la sombra en el que los empleados utilizan herramientas de IA no autorizadas sin el conocimiento de sus equipos de TI o seguridad.
¿Cómo pone en riesgo los datos de la empresa la IA en la sombra?
La IA en la sombra puede exponer datos propios e introducir amenazas de seguridad porque opera fuera de la supervisión y las salvaguardas oficiales.
¿Qué es un enfoque que prioriza el riesgo en la adopción de la IA?
Un enfoque que prioriza el riesgo en la adopción de la IA implica evaluar y gestionar los posibles riesgos para la seguridad de los datos, la privacidad y la propiedad intelectual antes de implementar cualquier herramienta de IA.
¿Cómo pueden las empresas adoptar herramientas de IA de forma segura?
Las empresas deben ofrecer políticas claras, formación continua sobre los riesgos y canales aprobados para solicitar y utilizar herramientas de IA de forma segura.