La IA en la sombra ya está en tu empresa — solo que aún no lo sabes

El martes pasado, alguien de tu equipo financiero pegó un contrato confidencial de un cliente en ChatGPT para resumir las condiciones de pago. Alguien de marketing subió tu presentación de ingresos del Q1 a una herramienta de IA para generar textos para redes sociales. Alguien de ingeniería introdujo código fuente propietario en un asistente de código para depurar un problema en producción.

Ninguno avisó a TI. Ninguno revisó una política. Ninguno lo pensó dos veces.

Bienvenido a la IA en la sombra — y ya está en todas partes en tu organización.

La magnitud del problema

El Work Trend Index 2024 de Microsoft reveló un dato que debería quitar el sueño a cualquier CISO: el 78 % de los usuarios de IA en el trabajo traen sus propias herramientas — una tendencia que Microsoft llama BYOAI (Bring Your Own AI). En pequeñas y medianas empresas, la cifra es aún mayor: un 80 %.

No se trata de un puñado de early adopters expertos en tecnología. Es la mayoría de tu plantilla.

El Generative AI Snapshot de Salesforce confirmó el patrón: más de la mitad de los empleados que usan IA generativa en el trabajo lo hacen sin aprobación formal del empleador. Y la investigación de BlackBerry en 2024 encontró que el 75 % de las organizaciones a nivel mundial están implementando o considerando prohibiciones de ChatGPT y herramientas similares.

La brecha es asombrosa. Los empleados usan IA lo apruebes o no. La única pregunta es si lo sabes.

Cómo se ve realmente la IA en la sombra

La IA en la sombra no es un acto deliberado de espionaje corporativo. Son personas intentando ser más productivas con las herramientas disponibles. Y eso es lo que la hace tan peligrosa — nace de buenas intenciones.

Así se ve en la práctica: un representante de ventas pega el email de un prospecto en ChatGPT para redactar una respuesta. Un product manager sube notas de reunión a un resumidor de IA. Una empleada de RRHH introduce evaluaciones de desempeño en un asistente de escritura para ayudar con las revisiones de fin de año. Un desarrollador pega logs de errores — que contienen datos de clientes — en un asistente de código.

Cada una de estas acciones envía datos de la empresa a un servicio de terceros con el que tu organización no tiene acuerdo, ni registro de auditoría, ni control alguno.

Samsung lo aprendió por las malas. En 2023, ingenieros de Samsung pegaron código fuente propietario de semiconductores en ChatGPT en al menos tres ocasiones distintas en un solo mes. El código se envió a los servidores de OpenAI, donde potencialmente se convirtió en datos de entrenamiento. La respuesta de Samsung fue una prohibición de emergencia a nivel de toda la empresa. El daño ya estaba hecho.

Samsung no es la excepción — simplemente es la empresa que salió en las noticias. La investigación de CybSafe en 2024 reveló que el 38 % de los empleados admiten compartir información laboral sensible con herramientas de IA sin conocimiento de su empleador. La cifra real es casi con certeza más alta.

La bomba de tiempo del RGPD

Si operas en Europa — o manejas datos de residentes europeos — la IA en la sombra no es solo una preocupación de seguridad. Es una violación regulatoria esperando a ser sancionada.

Bajo el RGPD, toda transferencia de datos personales a un tercero requiere una base legal, un acuerdo de procesamiento de datos y — si los datos salen de la UE — garantías adecuadas según el Capítulo V. Cuando un empleado pega un email de un cliente que contiene nombres, direcciones o detalles contractuales en ChatGPT, activa los tres requisitos simultáneamente. (Cubrimos en detalle el panorama más amplio de cumplimiento del RGPD e IA.)

Ninguno de esos requisitos se cumple en un escenario de IA en la sombra. No hay DPA con OpenAI. No hay registro de la transferencia. No hay base legal más allá de “necesitaba un resumen rápido.” El Artículo 30 del RGPD requiere que las organizaciones mantengan registros de todas las actividades de procesamiento — la IA en la sombra crea actividades de procesamiento que nadie registra.

El Comité Europeo de Protección de Datos ha señalado específicamente los servicios de IA como procesadores de datos de alto riesgo. Y las multas del RGPD no son teóricas — la aplicación ha superado los 4.500 millones de euros desde 2018, con sanciones que alcanzan hasta el 4 % de la facturación anual global.

Un empleado dedicando 30 segundos a pegar datos de clientes en una herramienta de IA gratuita podría desencadenar una multa que supera la ganancia de productividad en varios órdenes de magnitud.

Por qué prohibir la IA no funciona

El instinto de Samsung — prohibir todo — es la respuesta corporativa más común a la IA en la sombra. También es la menos efectiva.

Gartner predijo que para 2025, las organizaciones que intentaran bloquear el uso de IA enfrentarían tasas de adopción en la sombra más altas que aquellas que proporcionaran alternativas autorizadas. Los datos lo confirman: el Estudio de Referencia de Privacidad de Datos 2024 de Cisco encontró que el 63 % de los empleados bajo una prohibición de IA reportaron usar herramientas de IA generativa de todos modos.

Esto tiene sentido intuitivo. No puedes prohibir la productividad. Las personas que han experimentado la velocidad de redactar un email con asistencia de IA, o tener un documento complejo resumido en segundos, no van a volver a hacerlo manualmente. Simplemente dejarán de contarte.

Prohibir la IA no elimina la IA en la sombra — la empuja más bajo tierra, haciéndola completamente invisible para tus equipos de seguridad y cumplimiento. Pasas de un problema que podrías potencialmente gestionar a uno que ni siquiera puedes ver.

El Work Trend Index de Microsoft encontró que el 52 % de las personas que usan IA en el trabajo son reacias a admitir que la usan para sus tareas más importantes — por miedo a parecer reemplazables. Añadir una prohibición encima de ese estigma no cambia el comportamiento. Solo elimina la escasa posibilidad de visibilidad que tenías.

Los datos que estás filtrando ahora mismo

Seamos concretos sobre cómo se ve la filtración de datos por IA en la sombra.

Cuando los empleados usan herramientas de IA de consumo, los datos fluyen a servidores que tu organización no controla, bajo términos de servicio que tu equipo legal nunca revisó. La mayoría de los servicios de IA gratuitos declaran explícitamente que las entradas de los usuarios pueden usarse para entrenar modelos. Incluso los planes de pago varían — el plan Team de OpenAI no entrena con tus datos, pero los planes gratuito y Plus sí lo hacen por defecto.

Tus empleados no conocen la diferencia. No deberían tener que conocerla.

Los datos en riesgo no son abstractos: PII de clientes, términos contractuales, proyecciones financieras, hojas de ruta de producto, evaluaciones de empleados, estrategias legales, código fuente y comunicaciones del consejo. La investigación de adopción de IA de Cyberhaven en 2024 encontró que el 4,2 % de los trabajadores del conocimiento han pegado datos empresariales confidenciales en ChatGPT — y esa es solo una herramienta, autorreportado, de personas dispuestas a admitirlo.

Para una empresa con 1.000 trabajadores del conocimiento, son 42 personas que ya enviaron datos sensibles a un servicio con el que no tienes contrato. El mes pasado.

La solución real: IA que la gente quiera usar, donde ya trabajan

El patrón es claro. La gente quiere IA. Las prohibiciones fracasan. Ignorarlo es negligente. La única estrategia viable es proporcionar una herramienta de IA autorizada que sea lo suficientemente buena para que la gente realmente la prefiera sobre traer la suya propia.

Aquí es donde la mayoría de las empresas fallan. Despliegan una herramienta de IA “aprobada” que es más difícil de acceder, menos capaz, o está enterrada en una plataforma que nadie abre. Los empleados la prueban una vez, la encuentran torpe, y vuelven a ChatGPT en una pestaña del navegador. La IA en la sombra gana.

La herramienta autorizada debe cumplir tres criterios. Primero, debe estar donde la gente ya trabaja — no otra app, no otro login, no otra pestaña. (Por eso la IA pertenece a Microsoft Teams, no a una ventana de navegador separada.) Segundo, debe ser genuinamente útil — no una versión descafeinada, limitada hasta la inutilidad de lo que pueden obtener gratis. Tercero, debe ser cumpliente por diseño — preparada para el RGPD, con soberanía de datos, con acuerdos de procesamiento adecuados y registros de auditoría integrados.

Si logras esos tres puntos, la IA en la sombra se resuelve sola. No porque hayas prohibido las alternativas, sino porque la opción autorizada es simplemente mejor que pegar datos en una herramienta de consumo y esperar que nadie se dé cuenta.

De riesgo invisible a control visible

La IA en la sombra no es un problema futuro. Tus empleados están usando herramientas de IA no autorizadas hoy. La pregunta no es si se filtran datos — es cuántos.

amaiko está construido exactamente para este escenario. Vive dentro de Microsoft Teams — la herramienta que tu equipo ya tiene abierta todo el día. Proporciona capacidad real de IA con memoria persistente entre conversaciones, para que nadie necesite ir a otro lugar. Y es conforme al RGPD por arquitectura: alojado en la UE, con acuerdos de procesamiento de datos adecuados, sin entrenamiento con tus datos y con registros de auditoría completos.

Sin sombras. Sin filtraciones. Sin fingir que el problema no existe.

Las empresas que navegarán bien esto no son las que tienen las prohibiciones más estrictas. Son las que dieron a sus equipos una IA que vale la pena usar — antes de que la IA de otro llegara primero.