Qué es Shadow AI?
Shadow AI es el equivalente en IA del Shadow IT. Los empleados utilizan ChatGPT, Google Gemini, Microsoft CoPilot u otras herramientas de IA para su trabajo, sin conocimiento, aprobación ni control del departamento de TI.
El gestor que introduce una reclamación de cliente en ChatGPT para redactar una respuesta. La responsable de RRHH que redacta un informe de evaluación con CoPilot. El controller que analiza cifras trimestrales en Gemini. Cada uno de estos usos envía datos corporativos a un servicio externo.
Shadow AI no es malintencionado. Los empleados utilizan herramientas de IA porque son más productivos. Pero sin gobernanza, la organización no tiene control sobre qué datos abandonan la empresa, qué modelos se utilizan y si los resultados son trazables.
De un vistazo - Shadow AI Governance
- Shadow AI significa que los empleados usan herramientas de IA externas sin conocimiento de IT, enviando datos corporativos a sistemas no controlados.
- Las prohibiciones no funcionan - los empleados usan dispositivos personales y herramientas alternativas. La prohibición genera evasión no controlada.
- PwC (2024) encontró que el 54% de las empresas tienen empleados usando herramientas de IA generativa sin aprobación formal de la organización.
- La solución es infraestructura controlada: interfaz de IA corporativa, Model Routing, protocolo de uso y Audit Trail.
- Tres fases: inventario del uso actual, despliegue de infraestructura controlada, luego agentes especializados para los casos de uso frecuentes.
Por qué las prohibiciones no funcionan
La reacción obvia ante Shadow AI es la prohibición. Muchas empresas han bloqueado ChatGPT y herramientas similares, mediante reglas de firewall, políticas internas o acuerdos de empresa.
El problema: las prohibiciones no funcionan. Los empleados utilizan sus smartphones personales. Utilizan extensiones del navegador. Utilizan herramientas alternativas que aún no están en la lista de bloqueo. La prohibición no genera compliance, genera evasión no controlada.
Al mismo tiempo, la empresa pierde la ventaja de productividad que la IA puede ofrecer. Mientras los empleados ocultan su uso de IA, TI no puede ni apoyar, ni dirigir, ni optimizar.
En España, algunos acuerdos de empresa incluyen cláusulas restrictivas sobre el uso de herramientas de IA. Sin embargo, la experiencia demuestra que la restricción pura no es sostenible. El comité de empresa, conforme al art. 64 del Estatuto de los Trabajadores, debe ser informado y consultado sobre la implantación de nuevas tecnologías, lo que incluye tanto la restricción como la habilitación de herramientas de IA.
La alternativa: infraestructura de IA controlada
La solución no es la prohibición, sino la infraestructura. Una infraestructura de IA propia da a los empleados herramientas de IA potentes, bajo el control de la organización.
Interfaz de IA corporativa: En lugar de ChatGPT, los empleados utilizan una interfaz de chat interna que accede a modelos corporativos. La experiencia de usuario es idéntica. La diferencia: todos los datos permanecen en la infraestructura propia.
Model Routing: TI decide qué modelos se utilizan para qué casos de uso. Los datos sensibles van a modelos self-hosted. Las solicitudes no críticas pueden enrutarse a modelos en la nube. La decisión es basada en reglas y trazable.
Protocolo de uso: Cada interacción con IA se registra, no para vigilar a los empleados, sino para dirigir el uso de IA. ¿Qué departamentos utilizan más la IA? ¿Para qué tareas? ¿Con qué modelos? Estos datos son la base para el siguiente paso: agentes especializados para los casos de uso más frecuentes.
Audit Trail: En áreas reguladas (finanzas, RRHH, compliance) cada decisión asistida por IA se documenta en el Audit Trail. El Decision Layer asegura que los procesos críticos de negocio no se basan en salidas de IA no controladas. Esto es esencial para cumplir los requisitos del RGPD, la LOPDGDD y el EU AI Act, supervisado en España por la AESIA (Agencia Española de Supervisión de Inteligencia Artificial).
De Shadow AI a Governance by Design
Shadow AI es un síntoma. La causa raíz es la falta de infraestructura. Cuando los empleados no tienen herramientas de IA controladas, utilizan las no controladas.
| Fase | Enfoque | Entregables clave |
|---|---|---|
| 1 - Inventario | Mapear el uso actual de IA en todos los departamentos | Inventario de herramientas, análisis de flujos de datos, clasificación de riesgos |
| 2 - Infraestructura controlada | Plataforma IA corporativa con gobernanza | Hosting LLM, interfaz de chat, Model Routing, protocolo de uso |
| 3 - Agentes especializados | Agentes dedicados para casos de uso frecuentes | Document Agent, Knowledge Agent, Workflow Agent - cada uno con Decision Layer |
El camino de Shadow AI a Governance by Design:
Fase 1: Inventario. ¿Qué herramientas de IA se utilizan en la empresa? ¿Para qué tareas? ¿Con qué datos? Este inventario suele ser revelador: el uso real de IA supera significativamente al uso oficial.
Fase 2: Infraestructura controlada. Construcción de una infraestructura de IA corporativa. Hosting de LLMs, interfaz de chat, Model Routing, protocolo de uso. Los empleados reciben una herramienta al menos tan potente como ChatGPT, pero bajo el control de TI.
Fase 3: Agentes especializados. Los casos de uso más frecuentes se convierten en agentes especializados. En lugar de un chat genérico, hay un Document Agent para el procesamiento de documentos, un Knowledge Agent para consultas de RRHH, un Workflow Agent para el procesamiento de facturas. Cada agente con Decision Layer y gobernanza.
El riesgo de la inacción
Shadow AI no va a desaparecer. Las herramientas de IA son cada vez mejores, más accesibles y están más integradas en el software existente. Cada actualización de Office trae nuevas funciones de IA. Cada navegador tiene capacidades de IA.
Las empresas que no construyan una infraestructura de IA controlada descubrirán que sus empleados llevan tiempo usando IA, sin gobernanza, sin Audit Trail, sin conformidad con el RGPD ni la LOPDGDD. La cuestión no es si se convierte en un problema, sino cuándo. En la próxima inspección de la Agencia Tributaria. En la próxima solicitud de la AEPD. En la próxima brecha de datos. En la próxima consulta del comité de empresa.
Más sobre este tema: Infraestructura de IA
Más sobre gobernanza: Gobernanza de IA
Agendar reunión. Le mostramos cómo transformar Shadow AI en infraestructura de IA controlada.

Bert Gogolin
Director General, Gosign
AI Governance Briefing
IA empresarial, regulación e infraestructura - una vez al mes, directamente de mi parte.