Jere Romano
← Inicio ← Blog
SonrIA lo estamos filmando: el insider que no contrataste (y que no podés despedir)

SonrIA lo estamos filmando: el insider que no contrataste (y que no podés despedir)


IA ciberseguridad gobernanza

En muchas organizaciones, la llegada de la inteligencia artificial fue silenciosa. No hubo comité de aprobación, no se redactó un contrato ni se configuraron permisos. Simplemente apareció: integrada en un flujo de trabajo, conectada a datos internos, tomando decisiones sin que nadie del área de seguridad lo supiera.

A eso lo llamamos Shadow AI: el uso de inteligencia artificial en una empresa sin autorización, supervisión ni control. Un nuevo tipo de “empleado” que no figura en el organigrama, no tiene legajo ni credenciales formales… pero que accede a información crítica y puede influir en operaciones estratégicas.

Un insider sin contrato

La Shadow AI funciona como un insider no humano. Una vez incorporada, puede permanecer activa aunque la persona que la implementó se vaya. Su permanencia no depende de un contrato laboral, sino de que su código siga vivo en algún punto de la infraestructura. Y eso la convierte en un riesgo persistente.

Un fenómeno impulsado por la hiperadopción

El auge de la IA generativa y los agentes autónomos ha llevado a que, en menos de dos años, más del 70 % de las empresas utilicen alguna forma de IA para automatizar tareas. En muchos casos, estas implementaciones nacen desde áreas de negocio que buscan optimizar tiempos, mejorar la atención al cliente o procesar grandes volúmenes de datos. El problema es que, sin la intervención de TI y Seguridad, estas iniciativas pueden:

  • Procesar información sensible en entornos externos.
  • Introducir dependencias tecnológicas sin evaluación de riesgos.
  • Escapar a cualquier auditoría o control formal.

Un caso real

En 2024, una empresa de servicios financieros descubrió que un equipo de marketing estaba utilizando un asistente de IA para redactar informes y responder consultas internas. El modelo, alojado en la nube de un tercero, había procesado datos de clientes sin encriptar y sin cumplir con las políticas internas de protección de datos. La alerta surgió por casualidad, durante una auditoría de red. Para entonces, la IA llevaba más de seis meses operando sin supervisión.

Por qué es un riesgo real

  • Falta de trazabilidad: no se sabe qué datos procesa ni cómo los almacena.
  • Superficie de ataque ampliada: cada agente de IA no controlado es un nuevo vector potencial.
  • Cumplimiento normativo comprometido: dificulta cumplir con regulaciones de protección de datos y seguridad.
  • Resistencia a la detección: al integrarse en procesos legítimos, puede pasar inadvertida para los sistemas de monitoreo.

Gobernanza y mejores prácticas

La respuesta a la Shadow AI no es prohibir la IA, sino gobernarla:

  1. Inventariar todos los usos de IA en la organización, autorizados o no.
  2. Definir políticas claras que establezcan criterios técnicos y legales para su implementación.
  3. Implementar controles técnicos que detecten y alerten sobre uso no autorizado.
  4. Formar a los equipos para que comprendan los riesgos y actúen como primera línea de defensa.

Conclusión

La inteligencia artificial es una herramienta de enorme valor cuando se integra de forma controlada, alineada a la estrategia y con un marco de gobernanza sólido. Pero cuando opera en las sombras, se transforma en un actor impredecible y difícil de neutralizar.

En este nuevo escenario, el reto no es solo adoptar IA, sino asegurarse de que todas las inteligencias que trabajan para la organización estén bajo contrato, con reglas claras y responsabilidades definidas.

Publicado originalmente en LinkedIn.

© 2026  By Jere Romano