OutlierReport
1 de cada 5 empresas, vulnerada por shadow AI

1 de cada 5 empresas, vulnerada por shadow AI

·5 min de lecturaSeguridad y Privacidad
Arthur Roschildt
Escrito porArthur Roschildt
En este artículo

En México, el 88% de las empresas reportó incidentes de seguridad vinculados a la inteligencia artificial durante el último año. Pero la mayoría de esas brechas no llegaron por un hacker sofisticado ni por un correo de phishing bien diseñado. Llegaron por los propios empleados, pegando datos confidenciales en herramientas de IA que nadie aprobó, nadie supervisó y, en muchos casos, nadie sabía que existían.

El IBM 2025 Cost of a Data Breach Report, elaborado por el Ponemon Institute con datos de 600 organizaciones, encontró que las filtraciones causadas por shadow AI (el uso no autorizado de herramientas de IA) cuestan en promedio 4.44 millones de dólares. Las empresas con alto uso de shadow AI pagan 670 mil dólares adicionales. En el 65% de estos incidentes se expuso información personal de clientes. En el 40%, propiedad intelectual: la categoría más costosa, con 178 dólares por registro.

El shadow AI no es un problema de tecnología, es un problema de personas

Lo que vuelve peligrosa a la IA en la sombra es que los empleados no actúan con mala intención. Buscan ser más productivos. Un gerente de marketing sube una presentación estratégica a ChatGPT para obtener un resumen rápido. Un desarrollador pega código propietario en un asistente de programación. Un analista financiero alimenta un modelo gratuito con cifras trimestrales para redactar un reporte.

Según el reporte de seguridad de datos de IA de Cyberhaven (2026), el 39.7% de todas las interacciones con IA involucran datos sensibles. Los empleados ingresan información confidencial en herramientas no autorizadas aproximadamente cada tres días. Y el 71.6% del acceso a IA generativa ocurre desde cuentas personales, completamente invisible para los equipos de seguridad corporativa.

Una encuesta de Gartner a 302 líderes de ciberseguridad lo confirmó: el 69% de las organizaciones sospecha que sus empleados utilizan activamente herramientas de IA prohibidas. Sin embargo, solo el 37% cuenta con alguna política de gobernanza de IA.

La brecha de gobernanza es peor que la filtración misma

De las organizaciones que reportaron brechas relacionadas con IA en el estudio de IBM, el 97% carecía de controles adecuados de acceso a IA. No es un error tipográfico. Prácticamente todas las empresas afectadas no tenían forma de rastrear qué herramientas de IA usaban sus empleados, qué datos fluían hacia ellas ni si cumplían algún estándar de seguridad.

En Latinoamérica la situación se agrava: la región enfrenta un déficit estimado de 329 mil profesionales de ciberseguridad, según datos recientes. Y aunque el 80% de las grandes empresas ya utiliza agentes de IA, solo el 47% implementa controles específicos. En otras palabras, hay más herramientas de IA circulando que personas capacitadas para supervisarlas.

Este es el mismo patrón que hace tan costosos los atajos de ciberseguridad que toman los empleados a diario: la distancia entre la política escrita y el comportamiento real es donde viven las filtraciones.

Lo que realmente cuesta el shadow AI (más allá de la brecha)

La prima de 670 mil dólares por brecha de shadow AI solo captura los costos directos del incidente. El daño real se acumula en silencio:

  • Fuga de propiedad intelectual: cada conjunto de datos, fragmento de código o documento estratégico pegado en una IA de consumo se convierte en datos de entrenamiento que nunca podrás recuperar
  • Exposición regulatoria: leyes como la LFPDPPP en México, el GDPR europeo y regulaciones sectoriales responsabilizan a las empresas por datos compartidos con procesadores no autorizados, sin importar la intención del empleado
  • Demora en la detección: las brechas por shadow AI tardan en promedio 241 días en identificarse y contenerse, dando meses de acceso a información sensible
  • Erosión competitiva: cuando las herramientas de IA pueden ser secuestradas sin que nadie lo note, los datos que tus empleados comparten voluntariamente multiplican la exposición

Mientras tanto, los ciberataques potenciados por IA ya superan a los equipos de seguridad, lo que significa que la ventana entre la exposición de datos y su explotación se reduce cada vez más.

Qué hacen las empresas que evitan filtraciones por shadow AI

El reporte de IBM encontró que las organizaciones que usan IA y automatización en sus operaciones de seguridad reducen los costos de brechas en 2.2 millones de dólares y detectan incidentes 108 días más rápido. Las empresas que controlan el riesgo del shadow AI comparten tres rasgos:

Hacen que las herramientas aprobadas sean más fáciles que las no autorizadas. Cuando los empleados recurren a ChatGPT, es porque las alternativas corporativas son más lentas o no existen. La solución no es prohibir la IA, sino desplegar herramientas empresariales que superen lo que los empleados encuentran por su cuenta.

Monitorean los flujos de datos de IA, no solo el tráfico de red. Las herramientas tradicionales de prevención de pérdida de datos no fueron diseñadas para la era de la IA. Las empresas necesitan visibilidad sobre qué servicios de IA utilizan sus empleados y si las cuentas personales manejan datos de trabajo.

Tratan la gobernanza de IA como operación, no como cumplimiento normativo. Auditorías regulares, detección automatizada de herramientas no autorizadas y capacitación trimestral en seguridad de IA son el mínimo. Considerando que la mayoría de las empresas aún carece de defensas básicas contra ataques a la IA, esto requiere un cambio fundamental en la cultura de seguridad.

La aritmética incómoda

Tu equipo de TI no puede proteger lo que no puede ver. Casi el 40% de cada interacción con IA involucra datos sensibles. Siete de cada diez ocurren desde cuentas personales. Si no cuentas con una política de gobernanza de IA, estás conduciendo un experimento de 4.44 millones de dólares sin controles.

El shadow AI ya existe en tu organización. La única pregunta es si construirás la infraestructura para gestionarlo antes de convertirte en el siguiente dato del reporte de IBM.

Lectura relacionada:

Fuentes y Referencias

  1. IBM / Ponemon Institute1 in 5 orgs breached by shadow AI
  2. IBM Newsroom63% lack AI governance
  3. Cyberhaven39.7% of AI interactions involve sensitive data
  4. Gartner69% suspect employees using prohibited GenAI

Conoce nuestros estándares editoriales

También te puede interesar: