Cada vez que un trabajador recurre a una herramienta de inteligencia artificial para responder un correo, revisar un contrato o depurar un fragmento de código sin pasar por los canales oficiales, se está levantando una barrera invisible entre la organización y sus controles de seguridad. Ese fenómeno, comúnmente denominado shadow AI, no es simplemente la versión moderna del conocido shadow IT: incorpora sistemas que procesan, generan y, en muchos casos, pueden almacenar información sensible fuera del perímetro que los equipos de seguridad creen gestionar.
La adopción de estas herramientas es comprensible: muchas soluciones de IA requieren poco o ningún despliegue, son intuitivas y ofrecen un beneficio inmediato en productividad. Sin embargo, esa facilidad de uso es también su principal riesgo. Cuando un empleado usa un asistente conversacional para conseguir fórmulas o pegar fragmentos de documentos, la información puede abandonar la compañía sin trazabilidad. Dependiendo del proveedor y del tipo de cuenta, esos datos podrían hasta incorporarse a procesos de entrenamiento del modelo, con lo que el control sobre su destino se diluye aún más. Para entender la magnitud de las implicaciones legales y regulatorias, conviene recordar que transferencias de datos sin control pueden entrar en conflicto con marcos como el GDPR o la normativa estadounidense sobre privacidad sanitaria, explicada por el Departamento de Salud y Servicios Humanos en su portal sobre HIPAA.
El problema adquiere varias caras. En primer lugar, la visibilidad: muchas plataformas de IA comunican por HTTPS, lo que impide a controles tradicionales inspeccionar el contenido a menos que exista una infraestructura de inspección TLS/SSL, una medida que no todas las organizaciones han desplegado. En segundo lugar, la superficie de ataque: integraciones improvisadas con APIs externas o plugins no auditados pueden abrir huecos explotables por atacantes. Y en tercer lugar, la identidad y acceso: los empleados crean cuentas personales, desarrolladores pegan claves en chats públicos o se vinculan cuentas de servicio a agentes de IA, generando lo que puede llamarse identidades no humanas que no pasan por los procesos de gobernanza habituales.
Estos retos no son teóricos. Organizaciones regulatorias y de ciberseguridad han empezado a advertir sobre los riesgos de la IA generativa y la necesidad de controles específicos; por ejemplo, la UE ya ha puesto en marcha el Acta de IA para regular usos de mayor riesgo, y agencias como la CISA ofrecen orientación sobre cómo incorporar prácticas de seguridad frente a IA. Además, los principios de identidad recomendados por el NIST siguen siendo relevantes al enfrentarnos a múltiples identidades distribuidas entre usuarios humanos y agentes automáticos.
Frente a este panorama, la tentación de adoptar una política de prohibición total de herramientas externas es grande, pero suele ser ineficaz. Cuando las normas son demasiado rígidas o las alternativas seguras no están disponibles, los empleados simplemente buscan atajos. En lugar de intentar cerrar por completo el fenómeno, las organizaciones que gestionan mejor el riesgo aceptan que cierta adopción de IA será inevitable y orientan sus esfuerzos a recuperar visibilidad, controlar el flujo de datos y gobernar identidades.
Ese cambio de enfoque implica varias líneas de trabajo: establecer políticas de uso claras y practicas que indiquen qué tipo de datos pueden compartirse con herramientas externas; ofrecer soluciones internas o aprobadas que cubran las necesidades reales de los equipos; mejorar la monitorización de tráfico y actividad en APIs para detectar patrones anómalos; y formar a la plantilla en peligros concretos —como no pegar credenciales, no subir listados de clientes o evitar compartir información financiera— para que las decisiones cotidianas se tomen con criterio. La educación es decisiva: muchas fugas son accidentales, nacen de la ilusión de que la IA es un simple “pegamento” para tareas recurrentes y no de la intención maliciosa.
Gestionar shadow AI también exige adaptar la gobernanza de identidades. Cuando las herramientas se integran en flujos de trabajo mediante cuentas de servicio, es imprescindible que esas identidades no humanas pasen por los mismos ciclos de creación, revisión y revocación que las cuentas humanas. Aplicar el principio de mínimo privilegio, auditar accesos y mantener un registro inalterable de quién, cuándo y con qué herramienta interactuó con un recurso crítico reduce notablemente la ventana de exposición.
Las ventajas de tomar estas medidas son claras: mayor control sobre qué herramientas están en uso y qué datos manejan, menor riesgo de incidentes que requieran notificación regulatoria, y adopción más rápida y segura de tecnologías aprobadas. Además, cuando el equipo de seguridad proporciona alternativas útiles y procesos sencillos, se atenúa la propensión de los empleados a recurrir a soluciones no gestionadas.
No se trata solo de tecnología: es un ejercicio cultural y organizativo. Las empresas que integran la IA con seguridad lo hacen mediante un diálogo continuo entre equipos de negocio, desarrolladores y seguridad, ofreciendo políticas claras, formación práctica y herramientas que faciliten el trabajo sin comprometer la protección de datos. En este sentido, existen productos en el mercado que ayudan a controlar el acceso privilegiado y a trazar la actividad de identidades, humanos y máquinas por igual; conocer estas opciones y alinearlas con los requisitos regulatorios y operativos forma parte de la respuesta.
El paisaje laboral ha cambiado: la IA está integrada en muchas tareas diarias y seguirá expandiéndose. Asumir que se puede erradicar su uso no aprobado es poco realista. La alternativa efectiva es aceptar la realidad, entender los puntos ciegos y desplegar controles que permitan un uso responsable y auditable de la IA. Solo así las organizaciones podrán aprovechar sus beneficios sin sacrificar la seguridad ni exponerse a problemas legales inesperados.
Para profundizar en regulaciones y recomendaciones sobre privacidad y seguridad relacionadas con el tratamiento de datos y nuevas tecnologías, pueden consultarse recursos oficiales como el sitio sobre protección de datos en la UE, la página del HHS sobre HIPAA, el texto y seguimiento del EU AI Act, la guía de identidad del NIST y los recursos de ciberseguridad de la CISA. Si busca soluciones concretas de gestión de accesos privilegiados y control de identidades que ayuden a mitigar riesgos asociados a agentes de IA, proveedores como Keeper Security ofrecen herramientas orientadas a auditar y restringir accesos en entornos híbridos donde conviven humanos y máquinas.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...