Un caso típico en una empresa: un empleado debe hacer un reporte de ventas, tiene la información en unos archivos de Excel, pero no sabe por dónde empezar. Entonces recuerda ese video de Instagram donde alguien decía: “si tienes que hacer un reporte, sube tu Excel y ejecuta este prompt en xyz.ai”…
Cada vez más personas usan IA para sus labores diarias, y esto conlleva nuevos riesgos. ¿Qué información estarán compartiendo? Tengamos presente que esto no se hace con mala intención, pero la información ya salió de nuestro control.
¿Qué es Shadow AI?
¿Han escuchado el término Shadow AI? No es más que todas aquellas herramientas de IA que ya están en uso por los empleados de la empresa, pero sin que tengamos conocimiento ni control de ello. El objetivo principal que buscan los usuarios es mejorar su productividad.
El problema está en cómo acceden: el 77% de los empleados ya pegó información corporativa en una herramienta de IA, y el 82% lo hizo desde su cuenta personal, fuera de cualquier control corporativo (LayerX, 2025). Aquí es donde debemos poner atención.
IA personal vs. IA corporativa: una diferencia crítica
Primero entendamos la diferencia entre acceder de manera personal y corporativa.
IA personal (cuenta gratuita o personal del empleado): los términos de servicio de la mayoría de proveedores permiten usar las conversaciones para mejorar el modelo. Lo que el empleado sube puede usarse como dato de entrenamiento. No hay contrato empresarial, no hay DPA (Data Processing Agreement), no hay forma de solicitar eliminación garantizada. El empleado no lo sabe — simplemente abrió el navegador y empezó a trabajar.
IA corporativa (licencia pagada por la empresa): los contratos enterprise de ChatGPT, Copilot, Claude o Gemini incluyen explícitamente que los datos NO se usan para entrenamiento, hay acuerdos de confidencialidad, cumplimiento de regulaciones como GDPR, y la empresa tiene control sobre qué usuarios acceden y desde dónde.
El caso Samsung: cuando la productividad filtra secretos
Veamos lo que ocurrió en la realidad. El caso más sonado es el de Samsung: empleados filtraron código fuente confidencial, datos de reuniones y resultados de pruebas al pegar información en ChatGPT. Todo en menos de 20 días. Esos datos podían ser usados por el modelo para entrenamientos futuros — y Samsung terminó prohibiendo el uso de IA generativa internamente.
La brecha entre corporaciones y PYMEs
Aquí vemos una gran diferencia entre las corporaciones y las PYMEs. Las primeras tienen conciencia de que esto debe controlarse: el 37% ya tiene un modelo de gobierno de IA (IBM, 2025). Las PYMEs, en su mayoría, no.
Si pensamos en una empresa de 15 personas, fácilmente 10 ya están usando IA y las otras 5 están en camino — todas desde sus cuentas personales.
¿Qué debemos hacer?
Siguiendo los marcos de referencia del mercado como el NIST, siempre se debe iniciar con un inventario: qué herramientas están usando los empleados, para qué las usan, qué procesos se ven afectados.
Luego, un proceso de clasificación de la información según su sensibilidad — y definir explícitamente qué información nunca debe subirse a una IA: datos de clientes, datos financieros y todo lo que sea clasificado como sensible.
Por último, escribir una política de uso de IA para la empresa: quién puede usarla, en qué procesos y qué herramientas están permitidas.
Con esto ya tenemos una visión interna de lo que debemos hacer. Los cambios que la IA trajo no son temporales — llegó para quedarse y para cambiar la manera en que hacemos las cosas.
En el siguiente post veremos el otro lado: cómo la IA es usada por los delincuentes y cómo estar preparados. Lee el Post 0 de la serie aquí: ¿Qué significa proteger la IA en tu empresa?
Referencias
IBM Security. (2025, julio 30). IBM report: 13% of organizations reported breaches of AI models or applications, 97% of which reported lacking proper AI access controls. IBM Newsroom. https://newsroom.ibm.com/2025-07-30-ibm-report-13-of-organizations-reported-breaches-of-ai-models-or-applications,-97-of-which-reported-lacking-proper-ai-access-controls
IBM Security. (2025). 2025 Cost of a Data Breach Report: Navigating the AI rush without sidelining security. IBM Think. https://www.ibm.com/think/x-force/2025-cost-of-a-data-breach-navigating-ai
EY Colombia. (2025). Panorama de ciberseguridad en Latinoamérica: ¿qué riesgos enfrentan las empresas? EY Insights. https://www.ey.com/es_co/insights/cybersecurity/panorama-ciberseguridad-latinoamerica-riesgos-enfrentan-empresas
LatAm Intersect. (2026, febrero 6). Latin America’s AI-curious majority: What 2025 revealed and what 2026 will test. https://latamintersectpr.com/latin-americas-ai-curious-majority-what-2025-revealed-and-what-2026-will-test
Proofpoint. (2025). Shadow AI: Threat reference guide. Proofpoint Threat Reference. https://www.proofpoint.com/us/threat-reference/shadow-ai
Digital Perito. (2026, marzo 30). Shadow AI: Glosario de ciberseguridad. https://digitalperito.es/glosario/shadow-ai/
Miranda, L. (2023, abril 4). Empleados de Samsung filtraron información confidencial al usar ChatGPT. Hipertextual. https://hipertextual.com/2023/04/chatgpt-empleados-samsung-filtran-informacion-confidencial
Bloomberg News. (2023, mayo 2). Samsung prohíbe a personal usar IA tras fuga de datos en ChatGPT. https://www.bloomberg.com/news/articles/2023-05-02/samsung-prohibe-a-personal-usar-ia-tras-fuga-de-datos-en-chatgpt
RR.HH. Digital. (2025). Shadow AI: El riesgo silencioso que expone a las empresas en Latinoamérica. https://www.america.rrhhdigital.com/secciones/3099/ampliar.php?id_noticia=3711
Netskope. (2026). Cloud and Threat Report: AI apps in the enterprise. Citado en MarkTechPost (2026, mayo 13). Enterprise AI governance in 2026: Why the tools employees use are ahead of the policies that cover them. https://www.marktechpost.com/2026/05/13/enterprise-ai-governance-in-2026-why-the-tools-employees-use-are-ahead-of-the-policies-that-cover-them/
LayerX Security. (2025). Enterprise AI & SaaS Data Security Report 2025. Citado en Breached.Company (2026). Data Privacy Week 2026: Why 77% of employees are leaking corporate data through AI tools. https://breached.company/data-privacy-week-2026-why-77-of-employees-are-leaking-corporate-data-through-ai-tools/