Este fenómeno, conocido como Shadow AI, está generando un impacto silencioso pero profundo en la ciberseguridad empresarial.El término describe el uso de plataformas como ChatGPT, Claude, Gemini o Copilot por empleados o equipos que buscan aumentar su productividad, pero lo hacen sin supervisión, sin políticas de protección de datos y, a menudo, sin conocimiento de los riesgos que esto conlleva.
⚙️ Qué es el Shadow AI
Así como hace una década surgió el Shadow IT —el uso de software o servicios en la nube sin aprobación del área de tecnología—, hoy el Shadow AI representa la nueva frontera de exposición digital.
Según el MIT, las empresas calculan que solo el 10 % del uso de IA dentro de sus operaciones es controlado por los departamentos de TI o ciberseguridad.
Esto significa que empleados pueden estar:
- Ingresando datos confidenciales en chats públicos de IA generativa.
- Usando modelos no verificados para analizar información sensible.
- Instalando extensiones o plugins que capturan texto, contraseñas o documentos.
- Conectando herramientas de IA a cuentas corporativas sin aprobación ni registro.
El problema no es el uso de IA, sino su uso sin control, auditoría ni gobernanza.
🔍 Lo que dice el estudio del MIT
El informe “Crossing the GenAI Divide” del MIT indica que la adopción empresarial de IA generativa está creciendo rápidamente, pero el 95 % de las empresas aún no logra un impacto medible en productividad o ROI.
En cambio, el fenómeno más visible es el “Shadow AI Economy”: los empleados usan cuentas personales de ChatGPT o Claude mucho más que las oficiales de la empresa.
“El 90 % del uso de IA generativa en el entorno corporativo proviene de cuentas personales o no registradas en los sistemas empresariales.”
— MIT Sloan Management Review, 2025
Esto crea un escenario de riesgo donde la información crítica de la empresa puede quedar expuesta a servicios externos sin contratos de confidencialidad, sin cifrado corporativo y sin cumplimiento de la Ley Marco de Ciberseguridad (Ley N° 21.663) ni de la Ley de Protección de Datos Personales.
💣 Principales riesgos del Shadow AI
- Fuga de información confidencial: al ingresar datos internos en herramientas públicas, se pierde el control sobre su almacenamiento o uso posterior.
- Ausencia de cifrado y trazabilidad: los modelos externos pueden registrar entradas que luego son usadas para entrenamiento o análisis de terceros.
- Incumplimiento normativo: las organizaciones chilenas pueden violar la Ley Marco de Ciberseguridad o normativas de datos personales si no demuestran medidas preventivas.
- Dependencia no controlada: decisiones operativas o informes generados por IA sin revisión pueden contener errores, sesgos o información fabricada.
- Superposición de identidades digitales: los empleados pueden generar contenido o solicitudes bajo credenciales corporativas sin trazabilidad.
⚖️ Cómo la Ley Marco de Ciberseguridad aborda este riesgo
La Ley Marco de Ciberseguridad en Chile establece que los operadores de servicios esenciales y sus proveedores críticos deben:
- Implementar políticas formales de uso responsable de tecnologías emergentes.
- Gestionar riesgos de terceros y evaluar el impacto de las herramientas digitales utilizadas.
- Registrar y notificar incidentes a la Agencia Nacional de Ciberseguridad (ANCI) dentro de los plazos establecidos (3 h para incidentes graves, 24 h para menores).
Si un empleado filtra datos sensibles a través de una plataforma de IA, se considera un incidente de ciberseguridad de tipo interno y debe ser investigado y documentado como parte del Sistema de Gestión de Seguridad de la Información (SGSI).
🧠 Estrategias para controlar el Shadow AI
1️⃣ Establecer políticas de uso de IA
Define reglas claras sobre qué tipo de información puede ingresarse a herramientas de IA, qué plataformas están aprobadas y qué mecanismos de control deben aplicarse.
2️⃣ Implementar monitoreo y auditoría
Usa soluciones de Data Loss Prevention (DLP) y registro de accesos para detectar cuándo los usuarios interactúan con herramientas externas no autorizadas.
3️⃣ Fomentar el uso seguro de IA corporativa
Ofrece a los empleados herramientas oficiales, con políticas de privacidad y retención controladas, para reducir la necesidad de recurrir a servicios personales.
4️⃣ Capacitar al personal
El factor humano sigue siendo la mayor vulnerabilidad.
Programas como el curso gratuito Phishing Cero IA de Confiden permiten fortalecer la cultura digital y reducir errores humanos.
5️⃣ Incluir IA en la gestión de riesgos
Evalúa el uso de IA dentro del mapa de riesgos organizacionales y aplica controles según los Controles CIS o la ISO 27005.
📊 Caso práctico
Una empresa del sector salud chileno descubrió que parte de su equipo ingresaba informes médicos en ChatGPT para “mejorar la redacción”.
Aunque la intención era positiva, los textos incluían nombres, diagnósticos y datos personales protegidos por ley.
El hecho se clasificó como un incidente interno y fue reportado a la ANCI.
Como resultado, la organización implementó un sistema de IA privado bajo políticas RBAC (Control de Acceso Basado en Roles), garantizando trazabilidad y cumplimiento.
🚨 Conclusión: la IA no supervisada es un riesgo real
El Shadow AI no es un problema de tecnología, sino de gobernanza y cultura digital.
Las empresas que adopten IA sin control corren el riesgo de exponer información crítica, incumplir la ley y perder la confianza de sus clientes y reguladores.
En Confiden.cl ayudamos a las organizaciones a desarrollar políticas seguras de adopción de IA, a auditar el uso no autorizado y a implementar sistemas de control basados en roles y cumplimiento normativo.
📥 Descarga nuestro eBook “La Ciberseguridad como Requisito” para conocer cómo la Ley Marco exige nuevas formas de gestionar la tecnología y la información.