El fenómeno se llama Shadow AI. Aunque te suene a una campaña de ciberataque externo, o a que un grupo de hackers rusos o norcoreanos están intentando vulnerar el firewall de tu compañía, no es nada de esto.
La falta de una política interna sobre el uso de inteligencia artificial generativa conlleva a tener hoy a un “enemigo interno”, que puede ser ese empleado eficiente, ese que entrega reportes en minutos y resuelve dudas técnicas en segundos. Mientras estás leyendo esto, uno o decenas de empleados usando la IA sin una política interna están drenando la propiedad intelectual de tu empresa hacia los servidores de OpenAI, Google, Meta o Anthropic, sin que nadie haya dado el visto bueno.
Históricamente, el departamento de TI ha luchado contra el Shadow IT —el uso de software o hardware no autorizado—. Sin embargo, la inteligencia artificial generativa ha elevado la apuesta a niveles peligrosos. Ya no hablamos sólo de instalar un Dropbox personal para pasar archivos, hablamos de empleados introduciendo planes estratégicos, estados financieros, códigos fuente y datos de clientes en motores de IA para resumir, optimizar o limpiar información. El vacío de poder: sin reglas, manda el caos.
El gran problema no es la tecnología, sino la ausencia total de políticas internas. De acuerdo con el Work Trend Index de Microsoft, 75% de los trabajadores ya utiliza herramientas de IA en su trabajo, pero la gran mayoría lo hace bajo el radar, sin lineamientos institucionales ni marcos de gobernanza robustos. ¿Por qué sucede esto? La respuesta es simple y dolorosa: la adopción de la IA va a la velocidad de la luz, mientras que la regulación interna de las empresas y las leyes en México se mueven a paso de tortuga.
Según McKinsey, más de 40% de las compañías ya integró IA en alguna función, pero menos de 15% tiene un marco de gobernanza que dicte qué se puede y qué no se puede hacer. Este desfase crea un vacío de autoridad que el empleado llena con pragmatismo: si la empresa no me da la herramienta ni la regla para ser más productivo, yo la busco por mi cuenta.
En México, el reto adquiere tintes dramáticos. El Inegi nos dice que la transformación digital ha crecido sostenidamente en los últimos cinco años, pero la madurez en ciberseguridad y gobernanza no ha seguido el mismo ritmo. Somos un país de adoptantes tempranos, pero de protectores tardíos.
El Shadow AI no sólo implica una fuga de datos, implica una pérdida de trazabilidad. Cuando una decisión corporativa es tomada basándose en un análisis generado por una IA externa que nadie supervisó, ¿quién es el responsable legal? El año pasado vimos a gigantes globales restringir el uso de ChatGPT tras descubrir que sus ingenieros subieron código confidencial para que la IA encontrara errores.
Si eso le pasó a empresas con presupuestos millonarios, imagine lo que ocurre en la empresa mexicana que aún no ha redactado ni un solo párrafo sobre el uso ético y seguro de algoritmos. El riesgo es que los análisis de mercado y proyecciones de ventas están naciendo en un “limbo digital”. No hay control sobre los sesgos, la veracidad, ni la seguridad.
Estamos ante una superficie de riesgo invisible que crece cada vez que un colaborador pulsa enter en una ventana de chat no supervisada. La solución no es prohibir. El camino es la transparencia y la creación de entornos controlados donde el empleado pueda ser productivo bajo una política clara.
Es importante que los directivos entiendan que sus empleados ya están usando IA generativa, pero lo hacen mal, sin marcos normativos y entregando data importante de la compañía, sólo por ser más eficientes.
La pregunta no es cómo evitarlo, sino cómo traer esa práctica a la luz antes de que el caballo de Troya que alimentan termine por tomar, sin necesidad de la fuerza, sus secretos industriales. Y no hay que olvidar también que, ante la falta de políticas internas en el uso de estas herramientas digitales hay un problema de derechos de autor, si se están creando estrategias de marketing o contenido para publicación (texto, audio, imágenes y video), que pueden conllevar a fuertes demandas que pongan en riesgo la operación de tu organización.
Hoy en día hay muchos “expertos y especialistas” en cada empresa que desconocen sobre el término Shadow AI, las políticas de uso y los aspectos legales de sumar inteligencia artificial generativa, pero son los primeros en asegurar que el que no se sume a ser eficiente en el trabajo con estas herramientas está fuera de la jugada. Ellos se convierten en el primer riesgo en la entrega de data importante de la compañía, y en ello debes enfocar esfuerzos iniciales antes de que sea tarde.