IA y el uso no autorizado: el nuevo reto para las empresas

El concepto de TI en la sombra (Shadow IT) o TI no autorizada describe el uso de herramientas y servicios tecnológicos externos (software, aplicaciones, soluciones en la nube, etc.) dentro de una organización sin la aprobación, el conocimiento, ni la supervisión explícita del departamento de TI. Aunque suene malintencionado, en realidad es una práctica común que se da cuando los empleados, con la esperanza de aumentar la productividad o utilizar mejores herramientas, ignoran o eluden las soluciones oficiales de TI.

Dicho esto, según los nuevos hallazgos del estudio Nutanix Enterprise Cloud Index de 2026, los líderes de TI están observando que el uso de IA está replicando la misma dinámica que se vivió en los primeros años de adopción e implementación de soluciones en la nube. El 88% de los líderes de TI encuestados en México afirma haber detectado recientemente aplicaciones o agentes de IA implementados por empleados de áreas no relacionadas con TI. Casi nueve de cada diez encuestados creen que estas implementaciones no autorizadas generan un riesgo empresarial real, con posibles repercusiones negativas para las finanzas, la seguridad y la reputación de la organización.

Además, un abrumador 94% de los líderes encuestados en México también afirma que la falta de comunicación entre las unidades de negocio y los departamentos de TI dificulta la ejecución eficaz de las iniciativas tecnológicas. Todo ello contribuye a la creciente presencia de TI en la sombra en las organizaciones.

Pero muchas empresas, tanto grandes como medianas, aún están definiendo qué tipo de medidas de seguridad deben implementarse. El problema radica en que, mientras se dedica tiempo a analizar dichas medidas, los empleados ya están utilizando estas soluciones. Ahora los equipos de trabajo, tanto presenciales como remotos e híbridos, frustrados por la lentitud de los programas y procesos internos, están recurriendo a soluciones basadas en IA y agentes. Además, cada vez más trabajadores se registran en herramientas, crean agentes y desarrollan flujos de trabajo personalizados sobre los que las organizaciones no tienen visibilidad, control, ni capacidad de gestión.

Tal como sucedió en los inicios de los servicios de nube pública, los equipos de TI actuales están presenciando un rápido aumento de la TI en la sombra. Es una tendencia que probablemente se repita a medida que la ambición humana y la innovación tecnológica se entrelazan, impulsando proyectos clandestinos e ingenio. Lo que comenzó como una solución práctica para desarrolladores se convirtió en un problema para los equipos responsables de la gobernanza de TI y la seguridad de los datos.

En términos generales, la TI en la sombra crea numerosas vulnerabilidades para las organizaciones desprevenidas. Por ejemplo, genera brechas de seguridad en las soluciones de privacidad de datos y el perímetro de defensa de cualquier empresa, dado que los responsables de tecnología no pueden supervisar, actualizar ni proteger los dispositivos o activos cuya existencia desconocen. Los dispositivos, aplicaciones, servicios y herramientas no autorizados que utilizan los empleados también pueden incumplir las normativas y generar posibles problemas de cumplimiento o infracciones.

Luego está el problema de la ineficiencia de costos, ya que diferentes empleados y equipos que utilizan diferentes soluciones pueden generar redundancia o gastos adicionales, o crear inadvertidamente silos de datos o procesos que obstaculizan la colaboración.

La estandarización es el objetivo final

Al igual que sucedió con el auge de los servicios de computación en la nube y Kubernetes, las empresas evolucionan desde experimentaciones distribuidas, equipo por equipo, hacia enfoques de gestión de la IA más estandarizados y supervisados ​​de forma integral.

Realizar esa transición es más difícil de lo que parece. Los empleados y equipos que adoptan soluciones de TI no oficiales y desarrollan flujos de trabajo de IA informales no lo hacen para generar riesgos adicionales. Generalmente, lo hacen simplemente porque las herramientas funcionan, las mejoras en la productividad son reales y los procesos oficiales que utiliza su empleador no están a la altura de las posibilidades actuales. Cualquier estrategia de gobernanza que ignore estas motivaciones legítimas probablemente fracasará.

La solución suele consistir en ofrecer a los usuarios finales lo que realmente desean (la capacidad de actuar con rapidez, implementar con frecuencia y acceder a potentes capacidades de IA), al tiempo que se implementan soluciones de supervisión y mecanismos de control que protejan a la organización de riesgos financieros, reputacionales y de seguridad.

El camino a seguir

Los avances impulsados ​​por la IA se desarrollan más rápido que los impulsados ​​por la revolución de la nube. Las soluciones basadas en agentes son cada vez más autónomas, y el riesgo potencial de acumulación aumenta día a día. Según los profesionales de TI encuestados para el Enterprise Cloud Index de 2026, la mayoría de las empresas ya son conscientes de estas preocupaciones. El informe reveló que a la mayoría de los líderes de TI no les sorprende el uso de aplicaciones de IA no autorizadas y que buscan activamente soluciones prácticas para mitigar los riesgos.

De cara al futuro, la infraestructura de IA estará presente en todas partes. Es probable que los equipos de TI gestionen motores de políticas de IA que regulen todas las herramientas, casos de uso y solicitudes de IA, a la vez que protegen la empresa. Estas políticas garantizarán que las personas adecuadas obtengan lo que necesitan de forma segura y controlada.