IA en la Sombra: El reto de gobernanza que mantiene despiertos a los líderes

Para los CIO y CHRO, esto representa una crisis de gobernanza que la sola adquisición no puede resolver. El enfoque tradicional de "comprar la herramienta adecuada y obligar a usarla" falla cuando los empleados pueden acceder a capacidades similares a través de aplicaciones de consumo gratuitas. La cuestión que enfrentan los equipos de liderazgo es cómo establecer control sin aplastar las ganancias de productividad que hicieron atractiva a la IA en primer lugar.

Alcance del uso invisible de IA

La IA en la sombra (shadow AI) difiere de los desafíos previos de TI en la sombra (shadow IT) tanto en alcance como en accesibilidad. Un empleado no puede crear un servidor o sistema de adquisiciones en la sombra desde su teléfono durante el almuerzo. Pero sí puede pegar datos confidenciales de clientes en ChatGPT o Claude para redactar un correo electrónico de respuesta, escribir una evaluación de desempeño o analizar una hoja de cálculo.

En marzo de 2024, el 27,4% de los datos corporativos que los empleados introdujeron en herramientas de IA se clasificaron como sensibles, frente al 10,7% del año anterior. No se trata solo del volumen, sino de la velocidad. 

La naturaleza distribuida de la adopción de IA hace que los enfoques tradicionales de monitoreo sean insuficientes. A diferencia de las instalaciones de software que requieren privilegios de administrador o las herramientas SaaS que generan rastros administrativos, el uso de IA a través de cuentas personales deja una huella técnica mínima.

Entre las organizaciones que experimentan un alto uso de IA en la sombra, las brechas de seguridad resultaron en más información personal identificable comprometida (65%) y más propiedad intelectual expuesta (40%) en comparación con organizaciones con menores tasas de IA en la sombra, según el Informe sobre el costo de una brecha de datos de IBM para 2025. Estos incidentes también sumaron un promedio de $670,000 al costo de las brechas. 

Cuando los empleados procesan datos de RR. HH., información financiera o registros de clientes mediante herramientas de IA de consumo, las organizaciones pierden la cadena de custodia. No pueden demostrar el cumplimiento de las normativas de protección de datos, no pueden auditar qué información salió de la organización y no pueden garantizar la eliminación cuando la ley lo exige.

La concentración del riesgo es especialmente aguda en organizaciones pequeñas. Las empresas con entre 11 y 50 empleados mostraron el mayor uso de IA en la sombra, con un promedio de 269 herramientas de IA no autorizadas por cada 1,000 empleados.

Incluso las organizaciones medianas, con entre 500 y 1,000 empleados, tenían alrededor de 200 herramientas de IA en la sombra por cada 1,000 usuarios. No se trata de experimentos temporales: algunas aplicaciones de IA en la sombra muestran duraciones medias de uso superiores a 400 días de uso continuado sin aprobación ni supervisión formal.

Esta es una de las realidades más comunes en este momento: la adopción de IA ya está ocurriendo, haya o no planificación por parte del liderazgo. La peor respuesta es detenerla. Eso genera más uso en la sombra y erosiona la confianza.

Share This Quote on:

• Share on Twitter
• Share on LinkedIn
• Share on Facebook

Dave EvansOpens new window

CEO y cofundador de Fictiv

Mentalidad de velocidad versus seguridad

Investigaciones recientes revelan una verdad incómoda sobre la actitud de los empleados ante la gobernanza de la IA. El 60% de los trabajadores está de acuerdo en que usar herramientas de IA no autorizadas vale la pena si les ayuda a trabajar más rápido o cumplir los plazos. Otro 21% cree que su empleador "haría la vista gorda" ante el uso de herramientas de IA no aprobadas siempre que el trabajo se complete a tiempo.

Este cálculo varía según el nivel organizacional. Entre presidentes y ejecutivos nivel C, el 69% piensa que la rapidez supera las preocupaciones de privacidad o seguridad. A nivel director o vicepresidente senior, esa cifra es del 66%. En contraste, sólo el 37% de quienes ocupan cargos administrativos y el 38% de los ejecutivos junior comparten esta opinión. 

Las personas con mayor autoridad para cambiar las políticas de gobernanza son las más propensas a ignorarlas.

Los datos que los empleados comparten reflejan esta tolerancia al riesgo. Un tercio ha compartido investigaciones o conjuntos de datos a través de herramientas de IA no autorizadas, más de una cuarta parte ha compartido datos de empleados incluyendo nombres, nóminas o información de desempeño, y el 23% ha compartido estados financieros o datos de ventas.

Por qué el bloqueo fracasa

Las organizaciones que intentan resolver el uso de IA en la sombra mediante restricciones están descubriendo un problema fundamental. Los empleados encuentran formas de eludir el acceso a las aplicaciones bloqueadas. Bloquear no elimina el comportamiento; solo lo lleva más lejos y elimina la visibilidad.

La brecha de conocimiento agrava este desafío. Mientras que el 40% de los empleados recuerdan haber recibido capacitación en IA, el 40% todavía usa herramientas no aprobadas diariamente. Más paradójicamente, los investigadores hallaron una correlación positiva entre los usuarios que informan que entienden los requisitos de seguridad de IA y su uso regular de herramientas de IA no autorizadas. 

A medida que aumenta el conocimiento de los empleados sobre los riesgos de la IA, también crece su confianza para juzgar ese riesgo, incluso a expensas de seguir las políticas de la empresa.

Esto sugiere que la capacitación en concienciación sobre seguridad es insuficiente como salvaguarda. Menos de la mitad de los trabajadores dicen conocer y entender las políticas de uso de IA de sus empresas. Las políticas que existen a menudo no abordan las razones prácticas por las que los empleados recurren a la IA en la sombra desde el principio.

Cómo construir un marco de gobernanza de IA práctico

La Information Systems Audit and Control Association ha desarrollado una guía para que las organizaciones aborden todo el ciclo de vida de la gestión de IA. Según la investigación de ISACA, solo el 31% de las organizaciones cuentan con políticas formales y exhaustivas de IA, a pesar de que el 83% de los profesionales de TI y negocios creen que los empleados en sus organizaciones están usando IA.

"Los mejores marcos comienzan con el reconocimiento", dijo Evans. "Primero, un inventario de dónde ya se está utilizando la IA y por qué. Segundo, definir límites claros: qué datos están permitidos, qué herramientas están aprobadas y dónde se requiere supervisión humana. Tercero, asignar la responsabilidad: quién es responsable de los resultados cuando la IA informa las decisiones. La gobernanza debe permitir la rapidez de forma segura, no ralentizar a los equipos. Cuando se hace bien, convierte la experimentación informal en una ejecución responsable y repetible."

ISACA recomienda adaptar el marco COBIT  —tradicionalmente utilizado para la gobernanza de TI— para enfrentar los desafíos específicos de la IA. Este enfoque funciona porque la mayoría de las organizaciones ya cuentan con estructuras de gobernanza basadas en COBIT, haciendo de la gobernanza de IA una extensión en lugar de una reconstrucción completa.

Así que veamos los pasos que esto implica:

Alineación estratégica

Garantiza que las iniciativas de IA se relacionen directamente con los objetivos empresariales en lugar de existir como proyectos tecnológicos independientes. Esto significa preguntar no "¿qué puede hacer la IA?" sino "¿qué problemas de negocio necesitamos resolver y puede la IA ayudar?"

Inventario y clasificación de riesgos 

Catalogar las herramientas de IA existentes en uso, tanto autorizadas como no autorizadas, y clasificarlas por nivel de riesgo. Un chatbot de atención al cliente que resuelve consultas rutinarias presenta riesgos diferentes a los de una herramienta de IA que analiza datos de desempeño de empleados o proyecciones financieras. Esta clasificación determina los niveles de gobernanza adecuados para las distintas herramientas y casos de uso.

Integrar la gestión de riesgos de IA en los procesos organizativos existentes.

La integración con el desarrollo de software, la gestión de proyectos y los procesos de gestión del cambio asegura que el riesgo se evalúe de forma temprana y frecuente. Desde la perspectiva de privacidad y gobernanza de datos, el seguimiento adecuado de activos, datos y modelos proporciona una visión integral del uso de IA. Los procesos de gestión de riesgos de terceros deben rastrear qué proveedores usan IA y cómo la están asegurando.

Establecimiento de límites de datos 

Las organizaciones necesitan políticas explícitas que definan qué información puede y no puede procesarse a través de sistemas de IA. Estos límites suelen funcionar en un sistema escalonado: la información pública puede utilizarse en cualquier herramienta de IA, la información interna requiere soluciones empresariales con acuerdos de protección de datos, y la información confidencial se restringe a entornos de IA específicos y altamente monitoreados.

El marco enfatiza que la gobernanza de la IA debe ser integral, supervisando todo el ciclo de vida de la IA de principio a fin. Esto incluye capturar metadatos relevantes en cada etapa, asegurando que el marco de gobernanza cubra todos los aspectos del desarrollo, despliegue y monitoreo de los modelos. 

La gobernanza de la IA debe proporcionar visibilidad total de todos los modelos de IA a lo largo del ecosistema empresarial, fomentando la transparencia y permitiendo que las partes interesadas comprendan cómo se crean, utilizan y gestionan los modelos.

Pasos prácticos para comenzar

Las organizaciones no necesitan implementar de inmediato un marco de gobernanza completo. El enfoque de ISACA sugiere una implementación por fases:

Fase 1: Establecer visibilidad (Semanas 1-4)

• Realizar una auditoría de herramientas de IA en todos los departamentos
• Crear un registro de IA en el que los empleados documenten qué herramientas utilizan y para qué fines
• Clasificar las herramientas por nivel de riesgo (bajo, medio, alto, crítico)
• Identificar los tipos de datos que se procesan a través de cada herramienta

Fase 2: Definir políticas y límites (Semanas 5-8)

• Desarrollar estándares claros de clasificación de datos (público, interno, confidencial, restringido)
• Crear políticas de uso escalonadas que asocien los niveles de riesgo de las herramientas con la sensibilidad de los datos
• Establecer procesos de aprobación para nuevas solicitudes de herramientas de IA
• Definir roles y responsabilidades (quién aprueba qué, quién monitorea el cumplimiento)

Fase 3: Implementar controles (Semanas 9-16)

• Implementar controles técnicos (prevención de pérdida de datos, gestión de accesos)
• Ofrecer alternativas autorizadas a las herramientas de IA no aprobadas más utilizadas
• Lanzar capacitaciones para empleados sobre herramientas autorizadas y políticas de manejo de datos
• Establecer sistemas de monitoreo para detectar patrones anómalos de uso de IA

Fase 4: Mejora continua (En curso)

• Realizar auditorías regulares (se recomienda trimestralmente) sobre el uso no autorizado de IA
• Revisar y actualizar las políticas a medida que evolucionan las capacidades de la IA
• Medir los niveles de cumplimiento y la eficacia de la gobernanza
• Recopilar comentarios de los empleados sobre carencias de herramientas y fricción en las políticas

La clave es tratar la gobernanza de la IA como un producto con propietarios dedicados en lugar de un simple documento de política. Así como las organizaciones cuentan con Directores de Seguridad con equipos que gestionan la seguridad, una gobernanza de IA efectiva requiere alguien —ya sea un Chief AI Officer, Chief Data Officer o un equipo dedicado de gobernanza de IA— responsable de mantener el marco como un sistema vivo.

Sandboxes de IA para experimentación segura

Quizá el desarrollo más relevante en la gobernanza de la IA a la sombra es el concepto de "sandboxes de IA" o entornos controlados donde los empleados pueden experimentar con funcionalidades de IA sin poner en riesgo datos sensibles. 

Los sandboxes reconocen una verdad fundamental: los empleados utilizan IA a la sombra porque les ayuda a trabajar mejor. Bloquear el acceso sin ofrecer alternativas no elimina la necesidad.

La Universidad de Harvard fue pionera en este enfoque cuando su personal docente e investigadores necesitaban acceso seguro a grandes modelos de lenguaje sin arriesgar la filtración de datos a proveedores externos. La universidad lanzó un sandbox de IA seguro con soporte para GPT-3.5, GPT-4, Claude 2 y PaLM 2 Bison. 

Más de 50 usuarios piloto aprovecharon el sandbox para probar la IA en la enseñanza e investigación, protegiendo al mismo tiempo los datos confidenciales. Las pruebas controladas también informaron las decisiones de compra de Harvard para futuras integraciones de IA.

El gobierno de Massachusetts creó sandboxes similares y aislados usando la infraestructura de AWS para herramientas de IA como chatbots y sistemas de adquisiciones. Estos sistemas permitieron una experimentación segura y de bajo riesgo, agilizando servicios e informando estrategias más amplias de adopción de IA. Ciudades como Nueva Jersey y Washington D.C. implementaron enfoques comparables con Azure.

En el sector financiero, la Autoridad de Conducta Financiera del Reino Unido se asoció con NVIDIA para crear lo que denominaron un "sandbox superpotenciado", dando acceso a empresas a modelos de IA, conjuntos de datos y orientación regulatoria. El sandbox facilitó la innovación en la detección de fraude, gestión de riesgos y automatización, a la vez que garantizaba el cumplimiento y la supervisión.

El concepto de sandbox crea espacios designados donde los equipos pueden probar herramientas de IA para casos de uso específicos utilizando datos saneados. Un equipo de finanzas puede experimentar con modelos de previsión impulsados por IA utilizando datos históricos sin identificadores de clientes. Un equipo de RR. HH. puede probar herramientas de filtrado de currículums utilizando perfiles sintéticos de candidatos. Marketing puede crear prototipos de conceptos de campañas sin compartir información de productos no lanzados.

Estos entornos cumplen un doble propósito. Satisfacen el deseo de los empleados de acceder a capacidades de IA, al tiempo que brindan a los equipos de TI y cumplimiento espacios controlados para evaluar nuevas herramientas antes de su despliegue empresarial. 

Cuando un equipo identifica un caso de uso valioso de IA en el sandbox, la organización puede evaluar adecuadamente la herramienta y negociar los acuerdos de protección de datos apropiados antes de implementarla a mayor escala.

El rol del CHRO en la gobernanza de la IA

Si bien los CIO suelen liderar las iniciativas de gobernanza de IA, los CHRO desempeñan un papel igualmente fundamental que a menudo se subestima. La IA en la sombra no es solo un problema tecnológico, es un problema de personas arraigado en cómo trabajan los empleados, qué presiones de productividad enfrentan y si confían en que las herramientas oficiales satisfarán sus necesidades.

Los CHRO deben abordar las dinámicas culturales que impulsan la adopción de la IA en la sombra. Cuando los empleados creen que pedir acceso a nuevas herramientas de IA generará un proceso de adquisición de seis meses, buscarán atajos. Cuando perciban las políticas de TI como obstáculos para la productividad en lugar de una gestión legítima del riesgo, ocurrirá lo mismo.

Esto requiere que los CHRO defiendan marcos de gobernanza que equilibren la seguridad con la usabilidad. Un sistema que exige quince pasos de aprobación para usar una herramienta de escritura con IA fallará por muy seguro que sea en teoría. Los empleados simplemente usarán ChatGPT en su lugar y nunca lo mencionarán. Una gobernanza efectiva hace que el camino correcto sea el camino fácil.

Los CHRO también son responsables de la gestión del cambio necesaria para que los empleados pasen de usar IA en la sombra a alternativas autorizadas. Esto implica comunicar por qué importa la gobernanza, formar sobre las herramientas aprobadas y crear canales claros para que los empleados soliciten nuevas capacidades cuando las herramientas actuales no sean suficientes.

Tampoco se puede ignorar el aspecto de gestión del desempeño. Las organizaciones deben decidir cómo proceder con los empleados que violen las políticas de uso de IA. Un número creciente de empleados confía más en las herramientas de IA que en sus propios gerentes o colegas, lo que indica un cambio de confianza de las relaciones humanas a la tecnología. Esta dinámica complica la aplicación de las normas: si es demasiado dura, los empleados ocultan mejor su uso de IA; si es demasiado laxa, las políticas pierden sentido.

Sistemas de monitoreo que funcionan

El monitoreo efectivo de la IA exige equilibrar las necesidades de seguridad frente a las preocupaciones de privacidad y la confianza de los empleados. Los enfoques más efectivos se centran en el movimiento de datos más que en el comportamiento individual. Los sistemas monitorean grandes volúmenes de información potencialmente sensible copiada a portapapeles o subida a sitios externos: patrones que indican posibles fugas de datos en lugar de trabajo rutinario.

El contexto es enormemente importante en la monitorización. Un ingeniero que pega código en una herramienta de IA podría estar buscando ayuda para depuración o compartiendo algoritmos propietarios. El sistema de monitoreo necesita diferenciar, usualmente a través de sistemas de clasificación de datos que marquen los repositorios de código sensible de manera diferente a los proyectos de código abierto.

Algunas organizaciones están implementando sistemas de educación "justo a tiempo" que intervienen cuando se detecta un comportamiento riesgoso. Si un empleado intenta pegar lo que parecen ser datos de clientes en una herramienta de IA externa, el sistema genera una advertencia explicando las políticas de protección de datos y lo dirige a alternativas aprobadas. Esto educa sin castigar y ofrece una salida antes de que ocurran violaciones de las políticas.

La cuestión de las adquisiciones

Un factor importante que impulsa la IA en la sombra es la fricción en el proceso de adquisición. Los empleados pueden crear una cuenta en ChatGPT o Claude en minutos y empezar a trabajar. Conseguir que TI apruebe, adquiera y despliegue una herramienta empresarial de IA puede llevar meses. Esta diferencia de plazos garantiza la adopción de IA en la sombra.

Las organizaciones con visión de futuro están creando procesos de adquisiciones acelerados para herramientas de IA que cumplen ciertos criterios. Si una herramienta no requiere acceso a datos sensibles, no se integra con sistemas clave y sirve a una base de usuarios limitada, la aprobación puede darse en días en vez de meses. Esto reduce el incentivo al uso en la sombra mientras se garantiza una supervisión apropiada para implementaciones de mayor riesgo.

Algunas organizaciones están adoptando "bibliotecas de herramientas de IA", catálogos preaprobados de servicios de IA a los que los empleados pueden acceder inmediatamente mediante acuerdos empresariales. En lugar de negociar contratos para cada nueva herramienta de IA, el área de TI establece acuerdos marco con los principales proveedores y los empleados pueden activar el acceso según lo necesiten. Esto ofrece la velocidad de la IA en la sombra junto con la gobernanza de las herramientas autorizadas.

Donde la gobernanza no alcanza

Los marcos actuales de gobernanza de la IA enfrentan varios retos emergentes. El primero es la creciente capacidad de las herramientas de IA integradas en otro software. Microsoft Copilot se integra directamente en Office 365, las funciones de IA de Adobe están incorporadas en Creative Cloud y Salesforce Einstein opera dentro de los flujos de trabajo del CRM. Estas capacidades de IA "invisibles" no se registran como herramientas independientes que requieran gobernanza, pero procesan grandes cantidades de datos empresariales.

El segundo desafío involucra los dispositivos personales. Muchas organizaciones tienen políticas de "trae tu propio dispositivo" que permiten a los empleados acceder al correo electrónico laboral y documentos desde sus teléfonos y laptops personales. Cuando esos dispositivos cuentan con asistentes de IA—Siri, Google Assistant o herramientas de terceros—capaces de acceder a datos laborales, la supervisión tradicional basada en la red se vuelve ineficaz.

El tercer desafío es distinguir entre el uso de IA y la dependencia de la IA. Los marcos de gobernanza pueden controlar a qué herramientas acceden los empleados, pero es difícil abordar si los empleados están desarrollando habilidades críticas adecuadas o si están volviéndose excesivamente dependientes de los resultados de la IA. Un empleado que utiliza la IA para redactar todos sus correos electrónicos puede no estar violando ninguna política, pero desarrolla sus habilidades de redacción a una fracción de lo que lo hacía antes de la IA.

Cómo se ve el éxito

Las organizaciones que logran gobernar el uso de la IA sin aplastar la productividad comparten varias características. 

• Establecen políticas claras y sencillas que los empleados pueden entender y seguir sin interpretación legal. 
• Proporcionan alternativas autorizadas que realmente satisfacen las necesidades de los empleados, en vez de sustitutos inferiores que hacen que la gente vuelva a herramientas informales. 
• Crean mecanismos de retroalimentación donde los empleados pueden informar sobre carencias en las herramientas aprobadas o solicitar nuevas capacidades.
• Tratan la gobernanza como una conversación continua en lugar de un libro de reglas estático. 

La comunicación regular sobre por qué existen las políticas, qué riesgos mitigan y cómo evolucionan mantiene el compromiso de los empleados. Cuando los empleados entienden que la gobernanza los protege de responsabilidades legales, filtraciones de datos que podrían comprometer su propia información y violaciones regulatorias, el cumplimiento se vuelve parte de la cultura en lugar de ser impuesto.

Las organizaciones que tienen problemas con la IA informal suelen mostrar características opuestas: 

• Políticas complejas que requieren interpretación legal
• Herramientas aprobadas que quedan rezagadas frente a las ofertas de consumo en capacidad y facilidad de uso
• Comunicación unidireccional en la que TI impone políticas sin explicar la razón ni solicitar retroalimentación.

El camino a seguir

La IA informal no va a desaparecer. Las herramientas de IA para el consumidor seguirán mejorando en capacidad y accesibilidad, haciéndolas siempre atractivas para empleados que buscan aumentar su productividad. El reto de la gobernanza no es eliminar la IA informal, sino canalizar la adopción de IA hacia sistemas gestionados que protejan tanto los intereses de la organización como la productividad de los empleados.

Esto requiere una colaboración entre los CIO, CHRO y líderes empresariales para crear marcos que funcionen en la práctica y no solo en documentos de políticas. Requiere invertir en herramientas aprobadas que realmente compitan con las alternativas de consumo, en vez de servir solo como sustitutos burocráticos. Requiere confiar en que los empleados tomarán buenas decisiones cuando se les brinde una orientación clara, y que el liderazgo proporcionará los recursos necesarios para trabajar eficazmente dentro de los límites de la gobernanza.

La alternativa es una desconexión creciente entre la política oficial y la práctica real, donde el uso de la IA informal sigue expandiéndose de formas que las organizaciones no pueden ver ni gestionar. En 2025, los datos mostraron que se esperaba que aproximadamente un tercio de los proyectos empresariales de IA generativa se estancaran debido a la mala calidad de los datos, controles de riesgo inadecuados, costos en aumento o valor empresarial poco claro. La investigación indica que más del 80% de los proyectos de IA fracasan en general.