opinión

Shadow AI: no puedes proteger la IA que no ves



Dirección copiada

El autor habla del peligro de introducir información confidencial de clientes en herramientas de IA de uso general, una práctica que se extiende cada vez más en las empresas

Publicado el 6 jul 2026

Guillermo Fernández

Manager sales engineering en el sur de Europa de WatchGuard



Guillermo Fernández, de WatchGuard

La IA generativa se ha generalizado y los clientes ya la están utilizando, tanto si sus departamentos de TI son conscientes de ello como si no. Los empleados recurren a asistentes de IA para redactar correos, resumir documentos, generar código, analizar hojas de cálculo y agilizar sus tareas cotidianas. En la mayoría de los casos, simplemente buscan ser más productivos.

¿El problema? Que, al hacerlo, pueden estar introduciendo información confidencial de clientes en herramientas de IA de uso general, conectando asistentes de reuniones basados en IA a Microsoft 365 o concediendo a aplicaciones de terceros amplios permisos de acceso a los datos corporativos, todo ello sin el conocimiento del departamento de TI.

El Shadow AI es el nuevo Shadow IT

Hace años, las organizaciones se enfrentaban al uso por parte de los empleados de aplicaciones en la nube no autorizadas y sin la aprobación del departamento de TI. Hoy, ese mismo desafío ha evolucionado.
En lugar de servicios desconocidos para compartir archivos o herramientas de colaboración, las organizaciones están viendo cómo los empleados conectan asistentes de IA, extensiones de navegador, herramientas de productividad y plataformas de automatización directamente a sus identidades corporativas.

Muchas de estas soluciones solicitan permisos amplios para acceder al correo, los calendarios, los archivos, los contactos y el almacenamiento en la nube. Sin embargo, pocas organizaciones saben exactamente cuántas de ellas están ya conectadas.

¿Por qué es importante?

Cada aplicación de IA conectada al entorno de una empresa amplía la superficie de riesgo, tanto desde el punto de vista de la seguridad como del cumplimiento normativo. Cuando un empleado introduce información sensible en una herramienta de IA no autorizada, esos datos pueden escapar al control de la organización y quedar expuestos a usos, tratamientos o ubicaciones que la empresa desconoce.

Este riesgo se manifiesta, en primer lugar, en la retención y reutilización de la información. Los datos compartidos pueden conservarse durante un periodo indeterminado, procesarse fuera del entorno corporativo o incluso utilizarse para entrenar modelos externos. A ello se suma que algunas aplicaciones solicitan permisos y accesos superiores a los que realmente necesitan para prestar el servicio, lo que incrementa innecesariamente la exposición de sistemas y recursos internos.

Otro de los principales problemas es el almacenamiento de la información fuera de las políticas corporativas. Determinadas herramientas pueden guardar contenidos sensibles en infraestructuras, regiones o bajo condiciones que no se ajustan a los requisitos internos de seguridad y privacidad.

Además, no debemos olvidar el riesgo que representa la exposición de datos regulados, pues los empleados pueden cagar, sin ser conscientes de las consecuencias, datos confidenciales de clientes, propiedad intelectual, credenciales o información sometida a regulación en servicios públicos de IA.

Este desafío no afecta únicamente a aplicaciones desconocidas o de dudosa procedencia. Incluso las soluciones desarrolladas por proveedores reconocidos pueden generar riesgos cuando se implantan sin una adecuada gobernanza, sin controles de acceso y sin visibilidad sobre los datos que procesan. La cuestión, por tanto, no es si las organizaciones deberían utilizar la IA, sino si están preparadas para hacerlo de forma segura, controlada y conforme a la normativa.

El marco normativo eleva el listón

Para las empresas europeas, este punto ciego tiene además una dimensión regulatoria. El RGPD o GDPR ya penaliza la exposición de datos personales fuera de los tratamientos autorizados; el Reglamento Europeo de IA (EU AI Act) introduce obligaciones de transparencia y gobernanza sobre el uso de sistemas de IA; y la directiva NIS2 amplía las exigencias de gestión de riesgos y notificación de incidentes a un número mucho mayor de organizaciones y a sus proveedores. Una herramienta de IA conectada sin control puede convertir una simple mejora de productividad en un incumplimiento normativo.

La visibilidad se está convirtiendo en una necesidad empresarial

Los clientes recurren cada vez más a sus MSP para adoptar un enfoque proactivo frente a la ciberseguridad, y no solo para reaccionar cuando ya se ha producido un problema. Según el Informe de Tendencias de Ciberseguridad para MSP de WatchGuard de 2026, el 75% de las organizaciones sufrió algún incidente de ciberseguridad durante el último año. Además, el 44% afirma que estaría dispuesto a pagar más por servicios de detección y respuesta basados en IA, mientras que el 47% valora lo suficiente la supervisión ininterrumpida y una respuesta más rápida como para pagar un precio adicional.

Ese cliente espera que su MSP se adelante a los riesgos que ni siquiera sabe que tiene. Y el Shadow AI es, hoy, uno de los más invisibles: es muy probable que las organizaciones estén creando nuevos puntos ciegos de seguridad sin ser conscientes de ello, pero esperarán que sus MSP los identifiquen y gestionen antes de que se conviertan en incidentes.

El mayor desafío para los MSP no consiste en detener el Shadow AI, sino en descubrir dónde se está utilizando. No se puede proteger aquello que no se ve, y rastrear manualmente nuevas aplicaciones de IA o integraciones OAuth en cada entorno de cliente no es un modelo sostenible. Casi a diario se incorporan nuevas funcionalidades de IA a las plataformas SaaS existentes, lo que convierte la visibilidad continua en un requisito esencial.

Convertir la detección en una oportunidad

Cuando un MSP identifica herramientas de IA hasta entonces desconocidas en el entorno de un cliente, la conversación cambia. En lugar de hablar de riesgos teóricos, puede mostrar exactamente qué aplicaciones están conectadas, qué permisos se les han concedido y dónde existen carencias de gobernanza.

Esto representa una oportunidad para reforzar la seguridad y, al mismo tiempo, ayudar a los clientes a adoptar la IA con mayor confianza. En vez de decir “no utilicéis la IA”, el MSP puede ayudar a las organizaciones a responder a una pregunta mucho más importante: ¿cómo podemos utilizar la IA de forma segura?

El futuro de la seguridad cloud incluye la IA

La adopción de la IA no hará más que acelerarse. Cada mes aparecen nuevos asistentes, integraciones y formas de conectar aplicaciones cloud con las identidades corporativas. Las estrategias de seguridad que ignoren esta realidad se quedarán rápidamente atrás.

Por este motivo, la visibilidad en la nube se está convirtiendo en una capa esencial de los servicios de seguridad gestionada modernos. Tecnologías como CloudDR ayudan a los MSP a descubrir continuamente aplicaciones basadas en IA e integraciones de terceros desconocidas, identificar permisos OAuth de riesgo, supervisar las identidades cloud y detectar amenazas emergentes en entornos SaaS. Todo ello desde una única plataforma diseñada para la prestación de servicios gestionados.

Para los MSP, el Shadow AI no es simplemente otra preocupación de seguridad. Ya se está extendiendo por los entornos de sus clientes, y la cuestión no es si está presente, sino si serán ellos quienes la detecten primero.

Para los MSP, esto supone una oportunidad para proporcionar una seguridad proactiva, reforzar la confianza de los clientes y desarrollar servicios gestionados de mayor valor en torno a uno de los riesgos cloud que más rápidamente están creciendo en la actualidad.

La recomendación para los MSP es sencilla: empieza por descubrir. Una evaluación de las aplicaciones de IA y las integraciones OAuth conectadas en el entorno de un cliente convierte una conversación abstracta sobre riesgos en un inventario concreto y accionable, y sienta las bases de un servicio gestionado de mayor valor en torno a uno de los riesgos cloud que más rápido están creciendo. Detectar primero es, hoy, la mejor forma de proteger y de diferenciarse.

Artículos relacionados