De un vistazo - Portales Enterprise AI
- Un interfaz de chat por sí solo no basta - las empresas necesitan portales con SSO, Audit Trail, compartición de asistentes e integración de agentes para prevenir Shadow AI.
- Cinco opciones open source disponibles: LobeChat, OpenWebUI, LibreChat, chatbot-ui y very-ai - cada una adaptada a distintos requisitos de governance.
- La detección y anonimización de PII es el diferenciador crítico para entornos regulados donde datos de empleados entran en prompts de IA.
- Gartner (2024) informa que el 55% de las organizaciones con IA generativa carecen de un marco de governance para su uso.
- El factor decisivo para la adopción no es la tecnología sino la experiencia de usuario - el portal interno debe igualar o superar los servicios públicos de IA desde el primer día.
El problema: un modelo sin interfaz
Un modelo de IA sin interfaz controlado es como un servidor sin frontend. La tecnología está disponible, pero nadie puede usarla de forma ordenada. Lo que ocurre es previsible: los empleados recurren a servicios de IA públicos - ChatGPT, Gemini, Claude.ai - con sus cuentas personales. Introducen datos corporativos en sistemas fuera del control de IT. No hay Audit Trail, no hay clasificación de datos, no hay control de acceso.
Eso es Shadow AI. La cuestión no es si ocurre en su empresa. La cuestión es cuánto.
La solución no es prohibir el uso de IA. La solución es proporcionar un sistema interno que funcione mejor que las alternativas públicas, y que al mismo tiempo esté bajo control corporativo. Un simple interfaz de chat no basta. Lo que necesita es un portal enterprise AI.
Lo que un portal enterprise AI debe ofrecer
Un portal enterprise AI es más que una ventana de chat. Es la plataforma central a través de la cual todos los empleados interactúan con la IA - de forma controlada, registrada e integrada en el paisaje tecnológico existente. Seis requisitos distinguen un portal enterprise de un chat de consumo:
1. Multi-Model Routing
El portal debe conectar múltiples modelos simultáneamente - APIs propietarias en nube y modelos self-hosted. La lógica de routing decide automáticamente qué modelo atiende cada solicitud: por tipo de tarea, sensibilidad de datos y parámetros de coste. Los empleados ven un interfaz unificado. Qué modelo opera en segundo plano es transparente para ellos pero trazable.
2. Compartición de asistentes
Los departamentos crean asistentes especializados - con su propio system prompt, sus propios documentos y su propio reglamento. Un asistente para el departamento jurídico que prepara revisiones de contratos. Un asistente para RRHH que resume documentos de candidatos. Un asistente para compras que compara ofertas de proveedores. Estos asistentes se comparten dentro del departamento, se versionan y se gestionan centralmente.
Esta es la diferencia clave frente a un simple interfaz de chat: no todos los empleados tienen que escribir prompts desde cero. En su lugar, usan un asistente configurado y optimizado por compañeros de su área. Esto baja la barrera de entrada y sube la calidad de los resultados.
3. Integración de agentes
Un portal enterprise debe ir más allá del chat. Debe integrar agentes AI - workflows especializados que procesan documentos, extraen datos, preparan decisiones o se comunican con sistemas externos. El agente se lanza desde el portal, su progreso se muestra y su resultado se documenta en el portal.
4. SSO y control de acceso basado en roles (RBAC)
Los empleados se identifican a través del sistema de gestión de identidades existente - Azure AD, Okta, Google Workspace. Sin cuentas separadas, sin contraseñas separadas. El control de acceso es por roles: ¿quién puede usar qué modelos? ¿Quién puede crear asistentes? ¿Quién puede acceder a qué fuentes de documentos? ¿Quién tiene acceso a workflows de agentes?
5. Audit Trail
Cada interacción se registra. ¿Quién hizo qué consulta y cuándo? ¿Qué modelo respondió? ¿Qué documentos se referenciaron? ¿Qué costes se generaron? El Audit Trail es exportable - para auditoría interna, para revisiones de compliance, para documentación de la EU AI Act.
6. Flexibilidad de despliegue
El portal debe ser desplegable en distintos entornos: como servicio en nube (Supabase, Vercel), como contenedor en un centro de datos europeo, o On-Premises. La decisión de hosting del portal sigue los mismos criterios que la decisión de hosting de los modelos.
Interfaces open source en comparación
Cinco proyectos open source se han posicionado como candidatos para portales enterprise AI: LobeChat, OpenWebUI, LibreChat, chatbot-ui y very-ai. Los cinco son self-hosted, agnósticos respecto al modelo y ofrecen un interfaz de chat para modelos de lenguaje. Las diferencias residen en integración SSO, funciones de governance, protección PII y compatibilidad con el Comité de Empresa.
Nota de transparencia: very-ai es desarrollado por Gosign GmbH - el editor de esta serie de artículos. Presentamos las fortalezas y limitaciones de los cinco portales por igual. very-ai se basa en un fork de chatbot-ui (licencia MIT) y se ha convertido en un producto independiente a través de 16 extensiones enterprise.
Comparación: cinco portales enterprise AI
| Criterio | LobeChat | OpenWebUI | LibreChat | chatbot-ui | very-ai |
|---|---|---|---|---|---|
| Licencia | Apache 2.0 | MIT | MIT | MIT | Apache 2.0 |
| Base | Proyecto propio | Proyecto propio | Proyecto propio | Proyecto propio | Fork de chatbot-ui |
| Agnóstico de modelo | ✅ OpenAI, Anthropic, Google, Ollama | ✅ OpenAI, Ollama, LiteLLM | ✅ OpenAI, Anthropic, Google, Mistral | ✅ OpenAI, Anthropic, Google, Ollama | ✅ OpenAI, Anthropic, Google (Vertex AI), Ollama |
| SSO | ❌ No nativo | OAuth 2.0 (sin Entra ID nativo) | OAuth 2.0, OpenID Connect | ❌ No nativo | ✅ Azure Entra ID nativo con sincronización de grupos y permisos |
| Protección PII | ❌ | ❌ | ❌ | ❌ | ✅ Detección, anonimización y re-anonimización |
| PII por asistente/modelo | - | - | - | - | ✅ Configurable por asistente Y por modelo |
| Asistentes de grupo | ❌ | Modelos comunitarios (limitado) | Conversaciones compartidas | ❌ | ✅ Controlados vía grupos Entra ID |
| Audit Trail | ❌ | Logging básico | Logging básico | ❌ | ✅ Completo, exportable (CSV/JSON) |
| Estadísticas RGPD | ❌ | ❌ | ❌ | ❌ | ✅ Estadísticas de uso anonimizadas |
| Integración Trigger.dev | ❌ | ❌ | ❌ | ❌ | ✅ Trigger de workflow desde el chat |
| Thinking Level | ❌ | ❌ | ❌ | ❌ | ✅ Extended Thinking / control de reasoning |
| Búsqueda Web/Maps | Sistema de plugins | Búsqueda web (RAG) | Sistema de plugins | ❌ | ✅ Integrado |
| Docker Self-Hosted | ✅ | ✅ | ✅ | ✅ | ✅ |
| GitHub Stars (feb 2026) | ~50k | ~60k | ~20k | ~28k | Nuevo (lanzamiento open source) |
| Compatibilidad Comité Empresa | ⚠️ Limitada (sin auditoría, sin RBAC) | ⚠️ RBAC básico | ⚠️ RBAC básico | ❌ Sin governance | ✅ Audit Trail + RBAC + PII + Entra ID |
LobeChat
LobeChat es un interfaz de chat visualmente atractivo con arquitectura de plugins. Su fortaleza está en el ecosistema de plugins y la variedad de APIs en nube. Para enterprise, carece de RBAC robusto, Audit Trail exportable e integración nativa de agentes. Adecuado como prototipo rápido o para equipos pequeños; demasiado limitado para un despliegue organizativo.
OpenWebUI
OpenWebUI es el estándar de facto para configuraciones self-hosted basadas en Ollama. La integración con modelos ejecutados localmente es excelente. SSO y logging básico están disponibles. Lo que falta: compartición de asistentes, integración de agentes enterprise y gestión centralizada para cientos de usuarios.
LibreChat
LibreChat es un clon open source del interfaz de ChatGPT con soporte multi-modelo. SSO y RBAC básico están implementados. Para empresas que quieren replicar internamente una experiencia tipo ChatGPT, LibreChat es un punto de partida sólido. Los límites están en la integración de agentes y la compartición de asistentes.
very-ai - portal enterprise con protección PII y governance
very-ai es un portal enterprise AI basado en chatbot-ui (MIT) que añade 16 funciones enterprise inexistentes en los otros cuatro portales. Es desarrollado por Gosign GmbH y está disponible bajo Apache 2.0 en GitHub.
Origen y diferenciación: chatbot-ui ofrece un sólido interfaz de chat pero carece de integración SSO, Audit Trail y protección PII. very-ai aborda exactamente eso: la base de código se ha ampliado con funciones enterprise necesarias para el uso productivo en entornos regulados. La atribución al proyecto original está documentada en el archivo NOTICES.
Detección y re-anonimización de PII: El diferenciador central. very-ai detecta datos personales (nombres, correos electrónicos, números de teléfono, IBANs) en los prompts del usuario, los sustituye por marcadores ([PERSON_1], [EMAIL_1]), envía el texto anonimizado al modelo de lenguaje y reinserta los datos originales en la respuesta. El usuario ve los nombres reales; el modelo de lenguaje nunca los vio.
Este comportamiento PII es configurable por asistente y por modelo: el Asistente A puede permitir PII, el Asistente B anonimiza automáticamente. El Modelo X recibe datos anonimizados, el Modelo Y (un modelo alojado localmente) recibe datos en bruto.
Azure Entra ID con sincronización de grupos: No solo autenticación, sino sincronización automática de grupos y roles de Entra ID. Empleados en el grupo Entra ID “RRHH” ven automáticamente los asistentes de RRHH. Empleados en “Finanzas” ven asistentes de Finanzas. Sin asignación manual de permisos en el portal. Cuando cambia la pertenencia a un grupo en Entra ID, el acceso en el portal cambia en el siguiente inicio de sesión.
Asistentes de grupo: Los administradores crean asistentes y los asignan a grupos de Entra ID. Estos asistentes solo son visibles y utilizables por miembros del grupo correspondiente. Esto permite herramientas de IA departamentales sin un sistema de gestión de permisos separado.
Audit Trail y estadísticas RGPD: Cada interacción se registra: usuario, modelo, asistente, prompt, respuesta, marca de tiempo, consumo de tokens, modo PII. El Audit Trail es exportable (CSV, JSON) y filtrable por periodo y usuario. Las estadísticas de uso están anonimizadas conforme al RGPD - muestran uso de modelos y asistentes sin datos identificativos de usuario.
Integración de workflows Trigger.dev: Los usuarios pueden lanzar workflows Trigger.dev desde el chat. Esto conecta el portal AI con la capa de automatización.
Limitaciones (honestamente): very-ai es un proyecto open source nuevo. La comunidad es pequeña comparada con LobeChat (50k estrellas) u OpenWebUI (60k estrellas). Los ecosistemas de plugins de los portales establecidos son más extensos. Quien busque un portal con máximo soporte comunitario y variedad de plugins está mejor servido con LobeChat u OpenWebUI. Quien necesite protección PII, sincronización de grupos Entra ID y logging compatible con el Comité de Empresa, actualmente solo encontrará esta combinación en very-ai.
Demo en vivo: veryai.de
¿Qué portal para qué uso?
Máxima variedad de modelos y ecosistema de plugins: LobeChat - el mayor sistema de plugins, la comunidad más activa, amplio soporte de modelos. Ideal para equipos que priorizan flexibilidad e innovación rápida.
Inicio más fácil con Ollama: OpenWebUI - integración nativa de Ollama, instalación rápida, interfaz intuitivo. Ideal para hosting local de LLM y equipos que comienzan con modelos open source.
Máxima configurabilidad: LibreChat - el control más fino sobre endpoints y parámetros de modelos. Ideal para equipos técnicos que operan múltiples proveedores con distintas configuraciones.
Enterprise governance con protección PII: very-ai - la única opción con anonimización PII nativa, sincronización de grupos Entra ID y Audit Trail completo. Ideal para entornos regulados donde Comité de Empresa, protección de datos y compliance codeciden.
Proyecto de evaluación y desarrollo: chatbot-ui - base de código limpia, buen punto de partida para desarrollos propios. Nota: chatbot-ui no tiene desarrollo enterprise activo; very-ai es la evolución enterprise de esta base de código.
La mayoría de las empresas evalúan 2-3 portales en paralelo con contenedores Docker - es factible en una tarde. Lo decisivo no es el interfaz, sino la capacidad de governance: SSO, Audit Trail, protección PII y compatibilidad con el Comité de Empresa determinan qué portal pasa a producción.
Por qué “solo un chat” no basta
La diferencia entre un interfaz de chat y un portal enterprise AI se hace evidente en la operación. Una comparación:
| Aspecto | Interfaz de chat | Portal enterprise AI |
|---|---|---|
| Uso | Pregunta-respuesta individual | Herramienta organizativa |
| Conocimiento | Cada usuario empieza de cero | Los asistentes agrupan conocimiento especializado |
| Control | El usuario decide qué introduce | Routing y RBAC gestionan el flujo de datos |
| Trazabilidad | Ninguna o limitada | Audit Trail completo |
| Integración | Standalone | Conectado a SSO, agentes, sistemas documentales |
| Escalabilidad | Por usuario | Por organización |
| Riesgo Shadow AI | Alto (oferta interna insuficiente) | Bajo (oferta interna superior) |
La conclusión central: Shadow AI no surge porque los empleados actúen con mala intención. Surge porque la oferta interna es peor que la alternativa pública. Cuando el portal interno es tan intuitivo como ChatGPT pero además ofrece asistentes especializados, acceso a documentos corporativos y workflows de agentes, no hay razón para recurrir a servicios externos.
Práctica: una empresa mediana con 2.000 empleados
Un ejemplo concreto muestra el impacto. Una empresa manufacturera con 2.000 empleados tenía la siguiente situación de partida:
Antes del portal: Una encuesta interna reveló que 340 empleados usaban regularmente servicios de IA públicos para tareas laborales. De ellos, 180 con cuentas gratuitas (sin encargo de tratamiento de datos), 120 con cuentas Pro personales (datos corporativos en cuentas privadas) y 40 con cuentas proporcionadas por la empresa (pero sin Audit Trail ni control de acceso). IT no tenía visibilidad sobre qué datos fluían a qué sistemas.
Despliegue del portal enterprise AI: En cuatro semanas se desplegó very-ai - conectado a Azure AD para SSO, con tres asistentes iniciales (departamento jurídico, RRHH, compras) y un endpoint gpt-oss-120b para datos confidenciales.
Tras 90 días:
- 15 asistentes especializados creados por departamentos
- 1.200 usuarios activos al mes (de 2.000 empleados)
- Uso de Shadow AI reducido un 85% (encuesta de seguimiento)
- Audit Trail completo: 47.000 interacciones registradas
- Identificación de tres procesos para los que workflows de agentes dedicados tenían sentido
- Coste total (portal + hosting + APIs en nube): aprox. 4.800 EUR al mes
El factor decisivo no fue la tecnología, sino la adopción. El portal fue aceptado porque era mejor que la alternativa, no porque fuera obligatorio.
Los cinco factores de éxito en el despliegue
De la práctica se derivan cinco factores que determinan el éxito o fracaso de un portal enterprise AI:
1. La primera impresión cuenta. Si el portal interno es más lento, más incómodo o menos capaz que ChatGPT, los empleados no volverán a usarlo tras el primer intento. La calidad de respuesta debe igualar a los servicios públicos desde el primer día.
2. Asistentes en vez de prompts. La mayoría de los empleados no son ingenieros de prompts. Quieren usar una herramienta, no configurarla. Asistentes especializados preparados por compañeros del área bajan significativamente la barrera de entrada.
3. Valor añadido visible. El portal debe ofrecer algo que los servicios públicos no pueden: acceso a documentos internos (vía RAG), asistentes especializados para tareas específicas de la empresa, integración en workflows existentes.
4. Propiedad de IT, no control de IT. IT opera el portal y establece las reglas de governance. Pero los departamentos crean sus propios asistentes. Esta división - infraestructura centralizada, contenidos descentralizados - ha demostrado ser el modelo más exitoso.
5. Medir y comunicar. Cifras de uso, tiempo ahorrado, Shadow AI reducido - estas métricas deben recogerse y comunicarse a la dirección. Sin resultados medibles, falta la base para la siguiente fase de expansión.
Siguiente paso: del portal al agente
El portal enterprise AI es el fundamento. Proporciona a los empleados acceso a IA, controlado y registrado. El siguiente paso es integrar agentes - workflows especializados que van más allá de interacciones pregunta-respuesta.
Lectura adicional: Infraestructura AI | Decision Layer y Shadow AI
very-ai es el portal enterprise AI open source de Gosign. Más información - o hable directamente con nosotros sobre qué configuración se adapta a su organización.
Reservar una reunion - Le mostramos very-ai en una demo en directo y comentamos su plan de despliegue.
Bert Gogolin
Director General, Gosign
AI Governance Briefing
IA empresarial, regulación e infraestructura - una vez al mes, directamente de mi parte.