Tus empleados pueden estar usando IA fuera de los canales aprobados. Una encuesta internacional difundida por WalkMe en 2025 situó en el 78 % el uso de herramientas de IA no aprobadas entre las personas consultadas. El dato describe esa muestra y no debe trasladarse automáticamente a todas las pymes españolas; sirve como señal para comprobar qué ocurre dentro de cada empresa.
Esto es el shadow AI: el uso de inteligencia artificial fuera del radar de la empresa. No porque los empleados sean maliciosos. Sino porque las herramientas son útiles y los resultados son visibles. El problema es que nadie sabe qué datos salen, adónde van, ni qué riesgos está asumiendo la empresa.
Soy Javier Gutiérrez, cofundador de Iacta Studio. Me dedico a ayudar a pymes a implementar IA de forma práctica y responsable. Y el shadow AI es el tema del que más me preguntan cuando hablo con directivos.
Lo esencial antes de seguir
¿Qué es exactamente el shadow AI?
El término viene del «shadow IT» (tecnología en la sombra), que lleva años en el vocabulario de los departamentos de IT. El shadow AI es lo mismo pero aplicado a inteligencia artificial.
En términos concretos: cualquier sistema de IA que un empleado usa para hacer su trabajo sin que la empresa lo haya aprobado, evaluado ni incluido en sus políticas internas. No tiene que ser nada sofisticado. Puede ser ChatGPT gratuito para redactar emails, un plugin de IA en el navegador que resume páginas web, o una herramienta de transcripción automática en videollamadas. Si la empresa no lo sabe, es shadow AI.
La clave es que el riesgo no está en la herramienta en sí, sino en la ausencia de control sobre qué datos entran y cómo se usan.
Por qué el shadow AI es un problema real para tu empresa
El 69% de las organizaciones sospecha que sus empleados usan herramientas de IA prohibidas o no aprobadas (Gartner, 2025). La realidad es que en la mayoría de pymes, nadie lo sabe con certeza porque nadie lo ha mirado. El problema tiene tres dimensiones:
Dimensión legal: El artículo 4 del AI Act, aplicable desde febrero de 2025, obliga a proveedores y responsables del despliegue a adoptar medidas para procurar suficiente alfabetización en IA. Para adaptar la formación al contexto y a los sistemas utilizados, la empresa necesita identificar qué herramientas usa el equipo. Si se envían datos personales a servicios externos, se añaden las obligaciones del RGPD.
Dimensión de seguridad: Cuando un empleado pega un correo de cliente en ChatGPT para que lo mejore, ese texto sale de tu empresa y va a los servidores de OpenAI. Dependiendo de la configuración y del plan, puede usarse para entrenar modelos. Si ese correo contiene datos de clientes, secretos comerciales o información confidencial, has tenido una brecha de datos sin saberlo.
Dimensión de calidad: Los resultados del shadow AI son inconsistentes porque cada empleado usa herramientas distintas con criterios distintos. El equipo de ventas usa un modelo, marketing usa otro, y nadie ha definido cómo verificar la calidad de los outputs ni cuándo es obligatorio revisar lo que genera la IA.
Los 5 casos de shadow AI más habituales en pymes
No te voy a listar 20 casos hipotéticos. Estos son los que me encuentro realmente cuando hablo con empresas:
1. ChatGPT para redactar emails y propuestas comerciales con datos de clientes reales incluidos en el prompt. Nadie ha firmado un DPA con OpenAI. El empleado cree que «borra el historial» y ya está.
2. Herramientas de transcripción de reuniones (Otter.ai, Fireflies, Notion AI) que graban automáticamente sin avisar a todos los participantes. En España, grabar sin consentimiento de todos los participantes tiene implicaciones legales serias.
3. Plugins de navegador con IA que leen el contenido de todas las páginas que visita el empleado, incluidas plataformas internas, CRMs y documentación confidencial. El plugin tiene acceso a todo lo que el empleado ve en pantalla.
4. Generación de imágenes con Midjourney o DALL-E usando materiales con derechos de autor de la empresa para crear variaciones, sin evaluar las implicaciones de propiedad intelectual del output.
5. Uso de IA en RRHH de forma informal: un mánager que pide a ChatGPT que le ayude a «redactar motivos para no renovar el contrato de X» o que evalúe CVs usando IA sin ningún proceso formal. Esto puede constituir discriminación algorítmica sin que nadie en la empresa lo sepa.
Cómo detectar shadow AI en tu empresa sin espiar a nadie
La detección no tiene que ser invasiva ni costosa. Hay maneras simples y directas:
Pregunta directamente. Haz una encuesta anónima preguntando qué herramientas de IA usa el equipo para trabajar. La honestidad sorprende cuando se hace sin amenazar. Normalmente descubres 5 herramientas que no sabías que existían y que la mitad del equipo usa a diario.
Revisa las extensiones del navegador. La mayoría de plugins de IA se instalan como extensiones de Chrome o Edge. Un repaso rápido al listado de extensiones en los equipos corporativos da mucha información en 30 minutos.
Analiza el tráfico de red. Los servicios de IA generan tráfico hacia dominios identificables (openai.com, claude.ai, gemini.google.com, perplexity.ai). Si tienes departamento de IT o un proveedor de servicios, pueden hacer un análisis de tráfico en días.
Revisa facturas y gastos. Muchos empleados pagan herramientas de IA con tarjeta de empresa o piden el reembolso en notas de gastos. Un repaso a los extractos de los últimos 6 meses suele ser revelador.
La solución no es prohibir: es formalizar
Aquí es donde muchos directivos se equivocan. Cuando descubren el shadow AI, la respuesta instintiva es prohibir. «Queda prohibido el uso de herramientas de IA no aprobadas.» Y a otra cosa.
El problema: no funciona. Los empleados siguen usando las herramientas desde el móvil, desde casa, o sencillamente ignorando la política que nadie ha explicado y que no tiene sentido para ellos. La respuesta correcta es formalizar. Es decir:
1. Aprueba las herramientas que ya usan (las que son seguras y tienen los contratos en regla). Si ChatGPT ya lo usa medio equipo, habilita ChatGPT Team o Enterprise con las garantías de datos correctas en lugar de prohibirlo.
2. Crea una política de uso de IA sencilla, de máximo 2 páginas, que explique qué se puede hacer, qué no, y por qué. Que alguien se la pueda leer en 10 minutos y entender.
3. Forma a tu equipo con una formación en IA para empresas centrada en el uso responsable. No para que sepan programar: para que entiendan qué datos no deben salir de la empresa, cómo verificar los resultados de la IA, y cuándo pedir ayuda.
4. Crea un proceso de aprobación de nuevas herramientas. Cuando alguien quiera usar una herramienta nueva, que haya un formulario simple y una persona que lo evalúe. No tiene que ser un comité; puede ser una persona con un checklist de 10 preguntas.
Esto no es burocracia: es gestión de riesgos básica. Y encima, cuando lo haces bien, los empleados suelen agradecer tener claridad sobre qué pueden y no pueden usar.
Preguntas frecuentes sobre shadow AI
¿El shadow AI es ilegal por sí mismo?
El término shadow AI no constituye por sí mismo una categoría legal. El uso concreto puede incumplir el RGPD, deberes de confidencialidad, normas laborales o el AI Act. La responsabilidad de la empresa dependerá del caso y de las medidas de control, información, formación y supervisión adoptadas; documentarlas reduce exposición y permite acreditar diligencia.
¿Qué dice el AI Act sobre el shadow AI?
El AI Act no utiliza el término «shadow AI». Su artículo 4 obliga a proveedores y responsables del despliegue a adoptar medidas para procurar un nivel suficiente de alfabetización en IA. Inventariar las herramientas, formar al equipo y establecer un canal de aprobación permite adaptar esas medidas al contexto real y demostrar que la empresa ha actuado preventivamente.
¿Debo comunicar a los empleados que voy a revisar qué herramientas usan?
Sí, siempre con transparencia. La detección de shadow AI no es un control encubierto; es una auditoría de herramientas de la empresa. El mensaje correcto: «Queremos entender qué herramientas de IA usa el equipo para poder aprobarlas y daros soporte.» Enfocarlo como ayuda, no como control.
¿Qué herramientas de IA puedo usar sin riesgo para datos confidenciales?
Depende del uso y de los datos que entren. Las versiones de pago con contratos para empresas (ChatGPT Team o Enterprise, Microsoft Copilot 365, Google Workspace con Gemini) tienen cláusulas de protección de datos más robustas. Las versiones gratuitas generalmente no tienen las garantías necesarias para datos confidenciales o de clientes.
El shadow AI puede estar ya dentro de tu empresa y conviene medirlo antes de que aparezca un incidente. El primer ciclo puede ser ágil: inventario de herramientas, política básica, canal de aprobación y formación inicial; el alcance dependerá del tamaño, los datos y los casos de uso. Para ordenar el siguiente paso, revisa también qué exige el artículo 4 del AI Act y cómo encaja con una revisión de compliance de IA. En Iacta Studio hacemos diagnósticos de shadow AI y políticas de uso de IA a medida para pymes.
