- El uso de herramientas digitales “por fuera” de los sistemas oficiales está creciendo en las empresas, impulsado por la inteligencia artificial y la necesidad de trabajar más rápido.
El avance de plataformas como ChatGPT, generadores de imágenes, traductores automáticos, editores online y softwares descargados directamente por usuarios, junto con aplicaciones masivas como WhatsApp cuando se usan para enviar información laboral fuera de los canales oficiales, está cambiando la forma en que se trabaja al interior de las organizaciones. Pero también está abriendo un nuevo frente de riesgo conocido como Shadow IT.
El concepto se refiere al uso de aplicaciones, software o servicios digitales dentro de una organización sin la aprobación ni supervisión del área de tecnología. En la práctica, esto ocurre cuando los propios equipos comienzan a incorporar herramientas tecnológicas para resolver tareas del día a día, sin que la empresa tenga visibilidad ni control sobre qué se está usando, cómo se está usando o qué información se está compartiendo.
“El problema no es la tecnología en sí, sino cómo se está usando. Vemos que muchas personas suben información interna a herramientas de inteligencia artificial para resumir documentos, generar reportes o tomar decisiones más rápidas, sin tener claridad sobre dónde quedan esos datos o quién puede acceder a ellos”, explica Pedro Oyarzún Recabarren, CEO de Egs-Latam, especialista en ciberseguridad con más de 35 años de experiencia.
Este uso no controlado puede generar múltiples riesgos para las organizaciones. Entre los principales están la exposición de información sensible, la pérdida de control sobre datos estratégicos y la apertura de nuevos vectores de ataque. Por ejemplo, copiar contratos en un chat de IA, subir bases de datos de clientes a plataformas externas o usar herramientas gratuitas para analizar información puede exponer datos críticos sin que la empresa lo sepa.
“El Shadow IT no siempre parte desde una mala intención. De hecho, muchas veces responde a la necesidad de ser más eficientes. Pero sin visibilidad ni control, se transforma en una puerta de entrada para incidentes de seguridad, especialmente cuando se trata de datos críticos o credenciales”, agrega el especialista.
La inteligencia artificial permite ejecutar tareas en segundos, pero también puede amplificar errores o malas prácticas al mismo tiempo. Esto se vuelve aún más crítico cuando se utilizan herramientas no autorizadas o incluso software sin licencia, lo que no solo expone a la empresa a brechas de seguridad, sino también a posibles incumplimientos legales o regulatorios.
Frente a este escenario, los expertos coinciden en que el desafío no es frenar el uso de estas tecnologías, sino gestionarlo adecuadamente. “Las empresas no pueden prohibir la inteligencia artificial, pero sí deben establecer reglas claras. Esto implica definir qué herramientas están permitidas, qué tipo de información se puede compartir y cómo se resguardan los datos. Además, es clave capacitar a los equipos, porque el principal punto de riesgo sigue siendo el factor humano”, señala Pedro Oyarzún.
En términos prácticos, las recomendaciones apuntan a fortalecer la gobernanza digital dentro de las organizaciones. Esto incluye implementar controles de acceso, monitorear el uso de aplicaciones no autorizadas, establecer políticas claras de uso de IA y fomentar una cultura de ciberseguridad basada en la prevención.
A nivel individual, también es fundamental adoptar buenas prácticas. Evitar compartir información sensible en plataformas abiertas, verificar las condiciones de uso de las herramientas y comprender que no todas las aplicaciones ofrecen el mismo nivel de protección son medidas clave para reducir riesgos.
“El Shadow IT nos muestra que las brechas no siempre están en la tecnología, sino en la falta de control sobre cómo se utiliza. Y ahí es donde el desarrollo de la higiene de la ciberseguridad, entendida como prácticas básicas, consistentes y sostenidas en el tiempo, se vuelve un elemento esencial para proteger la información. En ese punto, la ciberseguridad pasa a ser una responsabilidad compartida entre las organizaciones y las personas”, explica Pedro Oyarzún Recabarren
El desafío es identificar y controlar el Shadow IT, pero también entender cómo se está utilizando dentro de la organización. Levantar información interna para detectar buenas prácticas, herramientas útiles y casos de uso que pueden aportar valor al negocio. De esta forma, prácticas que hoy ocurren de manera aislada pueden escalar a nivel corporativo bajo estándares de seguridad, mientras que aquellas que representan riesgos pueden ser gestionadas o eliminadas.
La práctica de que los colaboradores compartan casos de usos de las distintas tecnologías que ocupa cada uno es una buena oportunidad para que la empresa aprenda y/o sepa qué y a quién enseñar, para ir mejorando la madurez dentro de la organización.
