A comienzos de febrero de 2026, las organizaciones se enfrentan a una nueva evolución de un problema conocido: el uso de tecnología al margen de los canales oficiales. Si hace una década el reto era el shadow IT asociado a dispositivos personales, hoy el foco se desplaza hacia el Shadow AI, el uso no autorizado de herramientas de inteligencia artificial dentro del entorno corporativo. Analistas y firmas de ciberseguridad coinciden en que este fenómeno se está intensificando a medida que la IA se integra en el trabajo diario, sin siempre pasar por los controles de IT.
El empleado como arquitecto de automatización no visible
La democratización de los modelos de lenguaje, junto con la proliferación de herramientas de código abierto y plataformas de bajo código, ha permitido que profesionales sin perfil técnico diseñen sus propios flujos de automatización. Estos sistemas ya no se limitan a redactar correos o resumir documentos: acceden a aplicaciones corporativas, procesan información sensible y ejecutan acciones de forma autónoma.
Estudios recientes muestran la magnitud del fenómeno. Según un informe de UpGuard, el 68% de los responsables de seguridad reconoce que sus organizaciones experimentan uso de herramientas de IA no autorizadas, mientras que encuestas recogidas por medios especializados indican que más de la mitad de los empleados utilizan soluciones de IA fuera del marco corporativo aprobado. La presión por aumentar la productividad individual aparece como uno de los principales catalizadores.
El problema surge cuando estas iniciativas operan fuera de los modelos de gobernanza. Al no pasar por los filtros de seguridad ni por las políticas internas, los datos pueden quedar expuestos, almacenados en infraestructuras externas o utilizados para entrenar modelos públicos, con implicaciones directas para la propiedad intelectual y el cumplimiento normativo, incluido el RGPD.
Riesgos de seguridad y pérdida de control del dato
La expansión del Shadow AI introduce vectores de riesgo bien documentados por la comunidad de ciberseguridad. Entre los más relevantes destacan:
- Inyección indirecta de prompts, donde agentes automatizados ejecutan acciones no deseadas al procesar documentos o fuentes externas no verificadas.
- Persistencia de datos fuera del perímetro corporativo, como registros o resultados almacenados en cuentas personales o servicios no controlados por IT.
- Desalineación operativa, cuando decisiones automatizadas no siguen los protocolos internos, los estándares éticos o los requisitos de cumplimiento.
Firmas como Google, Microsoft y CrowdStrike advierten de que la evolución natural del Shadow AI apunta hacia agentes autónomos no gobernados, capaces de encadenar tareas y decisiones sin supervisión centralizada. El uso de configuraciones de agentes múltiples por parte de empleados finales aún requiere mayor evidencia pública para evaluar su alcance real.
La brecha entre la IA oficial y la IA real
Esta tendencia revela una paradoja creciente: mientras las organizaciones trabajan en desplegar la IA de forma centralizada y controlada, el talento interno ya está resolviendo ineficiencias cotidianas con soluciones improvisadas. La diferencia entre la velocidad del negocio y la velocidad de la gobernanza tecnológica se amplía.
El nuevo papel de RRHH e IT en la gobernanza agéntica
La respuesta no puede limitarse a la prohibición, una estrategia que históricamente ha alimentado aún más el uso clandestino. El reto para CIOs y responsables de RRHH es canalizar este impulso innovador sin comprometer la seguridad.
Cada vez más organizaciones exploran entornos sandbox autorizados, donde los empleados pueden experimentar con agentes y automatizaciones bajo arquitecturas de confianza, con trazabilidad y auditoría. El objetivo no es frenar la automatización del puesto de trabajo, sino hacerla visible, segura y alineada con la estrategia corporativa.
La gestión del Shadow AI marcará la agenda de la gobernanza digital a lo largo de 2026. No se trata solo de controlar una tecnología, sino de liderar una transición en la que la autonomía del empleado y la seguridad corporativa encuentren un equilibrio sostenible. La transparencia y la formación técnica se consolidan, más que nunca, como los antídotos clave frente a los riesgos de la sombra digital.
