El «shadow IT»: un fenómeno global que desafía la ciberseguridad en las empresas
Mientras los equipos directivos de empresas y organizaciones planifican la implementación de soluciones digitales avanzadas, muchos empleados ya las están utilizando de manera informal. Este fenómeno, conocido como «shadow IT» (o TI en la sombra), consiste en el uso no autorizado de herramientas de inteligencia artificial (IA), software y otros recursos digitales sin la aprobación de los departamentos de TI o especialistas en seguridad de datos. Aunque puede impulsar la productividad, también introduce riesgos significativos para las organizaciones.
Según datos del estudio Work Trend Index de 2024, cerca del 80% de los empleados en todo el mundo recurren al shadow IT en su trabajo diario. Letonia no es una excepción: la tendencia refleja un patrón global donde la accesibilidad de herramientas digitales —especialmente las basadas en IA— facilita su adopción sin supervisión. Sin embargo, esta práctica conlleva consecuencias que van más allá de la eficiencia operativa.
Riesgos ocultos: desde fugas de datos hasta incumplimientos regulatorios
El uso no controlado de herramientas digitales expone a las empresas a múltiples amenazas. Un informe de la empresa de ciberseguridad Cyberhaven reveló que el 83,8% de los datos que los empleados introducen en herramientas de IA no autorizadas terminan en entornos de alto riesgo. Estos riesgos incluyen:
- Vulnerabilidades de ciberseguridad: La falta de supervisión aumenta la probabilidad de ataques, filtraciones de información confidencial o el uso de plataformas con estándares de protección insuficientes.
- Incumplimiento normativo: En Europa, el Reglamento General de Protección de Datos (GDPR) exige controles estrictos sobre el manejo de información sensible. El shadow IT puede derivar en sanciones por no cumplir con estas obligaciones.
- Pérdidas económicas: El uso de herramientas no aprobadas puede generar costos adicionales, como suscripciones duplicadas o gastos imprevistos en licencias.
- Falta de trazabilidad: Cuando los empleados recurren a soluciones externas, los equipos de TI pierden visibilidad sobre los flujos de datos, dificultando la detección de incidentes.
En Letonia, la situación se agrava. Según datos de Cert.lv, a finales de 2025 se registró el mayor número de incidentes cibernéticos en la historia del país. Aunque el informe no vincula directamente estos ataques con el shadow IT, la correlación entre el aumento de herramientas no autorizadas y la exposición a riesgos es evidente.
¿Prohibir o gestionar? El dilema de las empresas
Ante este escenario, muchas organizaciones optan por prohibir el uso de herramientas no aprobadas. Sin embargo, expertos advierten que esta estrategia puede ser contraproducente. «Los vetos generan una falsa sensación de seguridad», señala el artículo de IR.lv. En su lugar, proponen un enfoque proactivo basado en tres pilares:
- Crear entornos seguros para la experimentación: Permitir que los empleados prueben herramientas innovadoras bajo supervisión, reduciendo la tentación de recurrir a soluciones no autorizadas.
- Monitoreo activo: Implementar sistemas que identifiquen qué herramientas se utilizan en la organización, sin limitarse a bloquearlas.
- Formación en higiene digital: Capacitar a los empleados sobre los riesgos del shadow IT y las alternativas seguras disponibles.
Este enfoque no solo mitiga riesgos, sino que también puede convertirse en una ventaja competitiva. Las empresas que logran equilibrar innovación y seguridad suelen mejorar su agilidad operativa y fortalecer la confianza de clientes y socios.
El factor humano: hábitos que amplifican los riesgos
El problema no se limita a fallos técnicos. Los hábitos de los empleados juegan un papel crucial. Por ejemplo, introducir información confidencial —como datos de clientes, estrategias comerciales o propiedad intelectual— en herramientas de IA públicas puede tener consecuencias irreversibles. Aunque estas plataformas prometen eficiencia, su uso indiscriminado expone a las empresas a brechas de seguridad difíciles de detectar a tiempo.
La solución requiere un cambio cultural. Las organizaciones deben fomentar una mentalidad donde la innovación y la seguridad no sean conceptos opuestos, sino complementarios. Esto implica:
- Establecer canales claros para que los empleados propongan herramientas digitales.
- Evaluar rápidamente las solicitudes y ofrecer alternativas seguras.
- Reconocer que la productividad no debe sacrificar la protección de datos.
Un desafío global con impacto local
El shadow IT no es un problema exclusivo de Letonia o los países bálticos. Es un fenómeno global que refleja la tensión entre la adopción acelerada de tecnologías emergentes y los marcos de gobernanza corporativa. En un contexto donde la IA y otras herramientas digitales se integran cada vez más en los procesos empresariales, las organizaciones deben actuar con rapidez para evitar que la innovación se convierta en un vector de vulnerabilidad.
La clave está en transformar el shadow IT de una amenaza en una oportunidad. Aquellas empresas que logren entender las necesidades reales de sus empleados y ofrezcan soluciones seguras y accesibles no solo reducirán riesgos, sino que también impulsarán su competitividad en un mercado cada vez más digitalizado.
Foto de portada: Elvīra Zaltāne / Publicitātes foto.
