Shadow IT en 2026: riesgos, detección y cómo gestionarlo

El shadow IT en 2026 no se parece en nada al de hace cinco años. El problema ahora son los agentes de IA con tokens OAuth persistentes, las sesiones de LLM que procesan código fuente propietario en silencio y las cuentas SaaS huérfanas que nadie recuerda haber aprovisionado. Cada uno de estos elementos extiende la superficie de ataque corporativa mucho más allá de lo que cualquier perímetro de red tradicional fue diseñado para manejar.

Según el informe State of Shadow AI de UpGuard, más del 80% de los empleados utilizan herramientas de IA no aprobadas. Una encuesta de Gartner a 302 líderes de ciberseguridad (marzo-mayo de 2025) reveló que el 69% de las organizaciones sospechaban o habían confirmado que sus empleados utilizaban herramientas públicas de GenAI prohibidas. Gartner predice que para 2030, más del 40% de las empresas experimentará un incidente de seguridad o cumplimiento relacionado con shadow AI no autorizado.

El informe Cost of Insider Risks 2026 de DTEX/Ponemon cifra el coste anual de la negligencia interna impulsada principalmente por el shadow AI en 10,3 millones de dólares por organización. Esa cifra cubre incidentes donde no hubo intención maliciosa: solo empleados usando herramientas que TI nunca aprobó, y presupuestos financiando silenciosamente infraestructura que nadie puede ver ni proteger.

Puntos clave

• El shadow IT en 2026 es tanto un problema de IA como de SaaS. Los agentes de IA con tokens OAuth persistentes, las sesiones de LLM que procesan código fuente propietario y las cuentas SaaS huérfanas que sobreviven a sus propietarios son ahora los riesgos de mayor gravedad.
• El shadow AI es categóricamente diferente del shadow IT tradicional. Las herramientas SaaS no autorizadas almacenan datos en el lugar equivocado. Las herramientas de IA no autorizadas los procesan, analizan y actúan sobre ellos.
• La exposición financiera está cuantificada. El informe Cost of a Data Breach 2025 de IBM encontró que la participación del shadow AI añade 670.000 dólares al coste promedio de una brecha de 4,44 millones de dólares. El informe Cost of Insider Risks 2026 de DTEX/Ponemon cifra el coste anual de la negligencia interna impulsada por IA en 10,3 millones de dólares por organización.
• La detección requiere al menos cinco fuentes de datos trabajando en paralelo. CASB, análisis de logs DNS, EDR, revisión de datos de gastos y escaneo de integraciones de correo electrónico cubren cada uno una porción diferente del entorno. Ningún método único ve simultáneamente los dispositivos personales, las cuentas de nivel gratuito y los endpoints gestionados.
• Las organizaciones europeas enfrentan una exposición regulatoria por capas. Las herramientas SaaS no autorizadas violan el Artículo 28 del GDPR en el momento en que procesan datos personales sin un DPA firmado. El Artículo 21 de NIS2 trata las herramientas de terceros no verificadas como riesgo de la cadena de suministro. El Artículo 28 de DORA exige a las entidades financieras registrar cada proveedor de TIC — sea shadow o no.
• Bloquear sin habilitar alternativas falla consistentemente. Casi la mitad de los empleados continúan usando cuentas personales de IA después de una prohibición organizacional. La respuesta efectiva es hacer que el camino aprobado sea más rápido que el atajo: un flujo de aprobación ligero, gestión centralizada de credenciales y un programa de concienciación de seguridad que haga tangible el riesgo.
• El Marco de Gobernanza de Shadow IT de 6 pasos — descubrir y clasificar, centralizar credenciales, establecer políticas, agilizar aprobaciones, automatizar el offboarding, construir concienciación de seguridad — aborda tanto el lado técnico como el conductual del problema. Las herramientas manejan la detección. El marco cambia la estructura de incentivos que impulsa la adopción del shadow IT en primer lugar.

¿Qué es el shadow IT?

Shadow IT es cualquier tecnología (software, servicio en la nube, herramienta de IA o hardware) que los empleados utilizan para trabajar sin el conocimiento o la aprobación formal de TI. Abarca desde una carpeta personal de Dropbox usada para compartir archivos de proyectos, hasta un asistente de codificación de IA con acceso OAuth a repositorios de producción. El hilo común: sin revisión de seguridad, sin registro de adquisición, sin pista de auditoría.

El shadow IT no es un problema marginal. Gartner sitúa la proporción del gasto de TI consumido por herramientas no autorizadas entre el 30-40% en grandes empresas. El análisis de Harmonic Security de 22,4 millones de prompts empresariales de IA identificó 665 herramientas distintas de IA generativa ejecutándose en entornos empresariales — sin embargo, solo el 40% de esas organizaciones había adquirido una suscripción oficial de IA. El tráfico de GenAI aumentó más del 890% solo en 2024.

Shadow IT vs. shadow AI: Cómo se comparan los riesgos

¿Qué impulsa a los empleados a usar shadow IT?

Los empleados recurren a herramientas no autorizadas cuando las alternativas aprobadas son demasiado lentas, demasiado limitadas o simplemente aún no existen. La fricción es la causa: un desarrollador que espera tres semanas por un asistente de IA con licencia encontrará uno gratuito antes de que termine el día.

Tres patrones se repiten en organizaciones de todos los tamaños:

• Velocidad sobre proceso. Los empleados recurren a lo que sea que haga el trabajo más rápido. Cuando las herramientas aprobadas no igualan lo que está disponible gratuitamente fuera de la empresa, la elección es obvia: usar lo que funciona.
• Retraso en adquisiciones. Los ciclos de software empresarial funcionan por trimestres. Las herramientas de IA se lanzan por semanas. Para cuando TI evalúa y aprueba una herramienta, los empleados ya han construido flujos de trabajo alrededor de su equivalente de nivel gratuito.
• Brechas funcionales. Las herramientas aprobadas a menudo no cubren casos de uso específicos. Un analista de datos que necesita un entorno Python rápido, o un diseñador que necesita un generador de imágenes específico, recurrirá a lo que funcione, no a lo que esté en la lista aprobada.
• Sin ciclo de retroalimentación. Los empleados rara vez reportan las herramientas que están usando porque no hay un canal fácil para hacerlo. TI no sabe qué gobernar. Seguridad no sabe qué auditar. La brecha entre el uso real de herramientas y el inventario aprobado se amplía silenciosamente.
• Las prohibiciones no se sostienen. Casi la mitad de los empleados continúan usando cuentas personales de IA después de una prohibición organizacional. La prohibición no elimina el shadow IT. Solo lo empuja fuera de la vista, haciendo la detección más difícil y la respuesta más lenta.

Estos patrones son una respuesta predecible a estructuras de gobernanza que no han seguido el ritmo de la velocidad con que evoluciona el ecosistema de herramientas. Esa brecha es exactamente lo que convierte al shadow IT en un riesgo sistémico en lugar de un problema de disciplina.

La evolución del shadow IT en 2026

El shadow IT en 2026 ha ido mucho más allá del almacenamiento en la nube no gestionado. Ahora abarca herramientas de IA, agentes autónomos y ecosistemas SaaS completos que TI nunca aprobó, nunca inventarió y no puede monitorear. La empresa promedio ejecuta 305 aplicaciones SaaS, gasta 55,7 millones de dólares en SaaS anualmente, y ha visto el gasto en aplicaciones nativas de IA aumentar un 108% interanual — la mayor parte de ese crecimiento ocurriendo más rápido de lo que los equipos de gobernanza pueden rastrear.

De la proliferación de SaaS al shadow AI

La cifra de 305 aplicaciones proviene del Zylo 2026 SaaS Management Index, que se basa en datos de gasto reales de miles de organizaciones. Una proporción significativa de esas aplicaciones nunca fueron aprobadas formalmente. Los empleados adoptan herramientas de forma independiente y TI se entera meses después, si es que se entera.

El shadow AI acelera esta dinámica. Asistentes de IA gratuitos, generadores de código y agentes autónomos se volvieron ampliamente disponibles más rápido de lo que los ciclos de adquisición podían responder. El informe Check Point 2026 Cloud Security Report encontró que el 78-80% de los trabajadores usan herramientas de IA personales en el trabajo. La mayoría de esas sesiones ocurren a través de cuentas personales, fuera de SSO, fuera de DLP, y sin pista de auditoría.

La distinción vale la pena precisarla: 

• El shadow IT tradicional crea residencia de datos no gestionada: archivos almacenados en un servicio no autorizado. 
• El shadow AI crea procesamiento de datos no gestionado: información propietaria siendo analizada, resumida y utilizada por sistemas que su equipo de seguridad nunca ha revisado.

Por qué la superficie de ataque sigue expandiéndose

Tres fuerzas estructurales impulsan esto:

• El trabajo remoto e híbrido eliminó el perímetro de red como punto de control natural. Los empleados que trabajan desde casa adoptan herramientas sin canalizar las solicitudes a través de TI.
• Los niveles gratuitos están en todas partes. La mayoría de las herramientas SaaS ofrecen un punto de entrada sin coste. Sin orden de compra, sin ticket de aprobación, sin visibilidad.
• La proliferación de agentes de IA cambió las apuestas. Los agentes operan a través de permisos OAuth delegados — leyendo datos, activando flujos de trabajo y modificando registros de forma autónoma. Un desarrollador que conecta un asistente de codificación de IA a su cuenta de GitHub puede haber otorgado a ese agente acceso de lectura/escritura a los repositorios. Cuando el desarrollador se va, el permiso OAuth permanece.

Gartner proyecta que para 2027, el 75% de los empleados adquirirá, modificará o creará tecnología fuera de la visibilidad de TI — frente al 41% en 2022. La dirección es inequívoca.

Los riesgos ocultos del shadow IT (la realidad de 2026)

El shadow IT en 2026 no es solo un problema de fuga de datos. Las herramientas no gestionadas crean acceso no autorizado persistente, exponen credenciales, desencadenan violaciones regulatorias, y cada vez más alimentan datos empresariales en modelos de IA que ningún equipo de seguridad ha aprobado o puede monitorear.

El multiplicador de riesgo del shadow AI: Procesamiento de datos vs. almacenamiento de datos

El shadow IT tradicional almacena datos en el lugar equivocado. El shadow AI hace cosas con ellos. Pegar un contrato de cliente en un LLM público envía esos datos a al menos tres lugares: un pipeline de entrenamiento, un sistema de logging, y potencialmente un modelo que otros usuarios pueden consultar.

El informe Cost of a Data Breach 2025 de IBM pone un número a esto: las brechas que involucraban altos niveles de shadow AI añadieron un promedio de 670.000 dólares al coste total de la brecha, llevando el promedio de brechas relacionadas con shadow AI a aproximadamente 5,11 millones de dólares contra una línea base global de 4,44 millones. El mismo informe encontró que el 97% de los incidentes de seguridad relacionados con IA involucraban sistemas sin controles de acceso adecuados.

Exposición de credenciales y reutilización de contraseñas

El shadow IT es, en su raíz, un problema de identidad. Cada aplicación no autorizada es una nueva cuenta. Cada nueva cuenta es una credencial. Y la mayoría de esas credenciales se reutilizan.

Según el informe Data Breach Investigations Report 2026 de Verizon, las credenciales robadas aparecieron en el 39% de todas las brechas confirmadas, no solo como el vector de acceso inicial, sino a lo largo del movimiento lateral y la persistencia. Cuando un empleado reutiliza su contraseña corporativa en una herramienta SaaS gratuita que posteriormente sufre una brecha, los atacantes no necesitan romper nada. Simplemente inician sesión.

Los infostealers empeoran esto. En 2025, Recorded Future indexó 1.950 millones de exposiciones de credenciales procedentes de malware, de las cuales el 31% incluía cookies de sesión activas que evitan completamente el MFA. Las cuentas de shadow IT, no monitoreadas, a menudo sin MFA configurado, son exactamente el tipo de objetivo para el que están diseñados los infostealers.

El riesgo de reutilización de contraseñas es un patrón de ataque documentado, automatizado y a escala industrial.

La pesadilla del offboarding: Cuentas huérfanas

Cuando un empleado se va, sus cuentas gestionadas se desaprovisionan. Sus cuentas de shadow IT no. Nadie sabe que existen.

El espacio de trabajo de Figma de ese antiguo desarrollador, la prueba personal de HubSpot del representante de ventas con datos exportados del CRM, la página de Notion del contratista con notas de arquitectura interna: todo esto persiste indefinidamente después de que la persona sale por la puerta.

Las consecuencias pueden ser graves. En un caso documentado, un antiguo empleado de Cisco accedió a una infraestructura de máquinas virtuales alojada en AWS cinco meses después de su despido y eliminó 456 máquinas virtuales, dejando fuera de servicio más de 16.000 cuentas de WebEx Teams durante casi dos semanas.

El Departamento de Justicia de EE. UU. confirmó que el incidente le costó a Cisco aproximadamente 2,4 millones de dólares en remediación y reembolsos a clientes, y el antiguo empleado fue sentenciado a 24 meses en una prisión federal (United States v. Sudhish Kasaba Ramesh, Caso N.º 5:20-cr-00102). Ese era un sistema gestionado. Las cuentas de shadow IT huérfanas son más difíciles de encontrar y tardan más en cerrarse — si es que se cierran alguna vez.

Agentes de IA y permisos OAuth no gestionados

Esta es la amenaza que la mayoría de las organizaciones aún no están rastreando. Los agentes de IA operan a través de permisos OAuth delegados: un usuario otorga al agente acceso a Google Drive, GitHub o Slack, y el agente puede leer, escribir y actuar sobre ese acceso de forma continua — no solo durante la sesión.

Cuando el usuario cierra sesión, el permiso OAuth permanece. Cuando el usuario deja la empresa, el permiso OAuth permanece. El agente puede seguir teniendo acceso a repositorios corporativos, hilos de correo electrónico y unidades compartidas semanas o meses después de que la persona que lo autorizó se haya ido.

El informe AI Agents at Work 2026 de Okta encontró que el 58% de las organizaciones sufrieron un incidente de seguridad relacionado con IA en el último año, sin embargo, el 90% de los ejecutivos reportaron carecer de visibilidad completa sobre qué agentes de IA están operando dentro de su organización. La brecha entre adopción y gobernanza es donde reside el riesgo.

Violaciones de cumplimiento y multas regulatorias

Las aplicaciones no autorizadas no cumplen con el requisito del Artículo 32 del GDPR de «medidas técnicas y organizativas apropiadas» para proteger los datos personales. No satisfacen los requisitos de salvaguardas técnicas de HIPAA bajo 45 CFR § 164.312. No cumplen con el Requisito 12.8 de PCI-DSS para la gestión de proveedores de servicios externos.

La Ley de IA de la UE añade otra capa. Los sistemas de IA de alto riesgo utilizados sin una gobernanza adecuada conllevan penalizaciones de hasta 15 millones de euros o el 3% de la facturación anual global según el Artículo 99(4).

El sector de servicios financieros ya ha visto cómo es la aplicación regulatoria en la práctica. En septiembre de 2022, la SEC y la CFTC multaron a 16 firmas de Wall Street con un total combinado de 1.800 millones de dólares por empleados que usaban WhatsApp y otras aplicaciones de mensajería no aprobadas para comunicaciones comerciales — una violación típica de shadow IT que los reguladores trataron como un fallo de mantenimiento de registros. El comunicado de prensa de la SEC deja claro que el uso «generalizado y prolongado» de comunicaciones fuera del canal oficial no es un factor atenuante; es uno agravante.

Exposición regulatoria europea: GDPR, NIS2 y DORA

Para las organizaciones que operan en la UE, el shadow IT crea una exposición regulatoria por capas a través de tres marcos distintos. Cada uno apunta a una dimensión diferente del problema, y juntos dejan muy poco espacio para «no lo sabíamos».

GDPR: Procesadores no autorizados y transferencias transfronterizas

El Artículo 32 del GDPR es la disposición que más citan las organizaciones. Pero el Artículo 28 es el que el shadow IT viola primero. Toda herramienta SaaS no autorizada que procese datos personales es, en términos del GDPR, un encargado del tratamiento. El Artículo 28 requiere un acuerdo de procesamiento de datos (DPA) por escrito con cada encargado antes de que comience el procesamiento. Un empleado que se registra en una herramienta de IA gratuita usando su correo corporativo y le introduce datos de clientes ha creado una relación de encargado no autorizada — sin DPA, sin diligencia debida y sin registro.

Los Artículos 44 a 49 agravan la exposición. Muchas herramientas SaaS y de IA con sede en EE. UU. transfieren datos personales fuera del Espacio Económico Europeo. Sin un mecanismo de transferencia válido (Cláusulas Contractuales Tipo, una decisión de adecuación o Normas Corporativas Vinculantes), esa transferencia viola el GDPR independientemente de cómo se haya adoptado la herramienta. Los empleados que eligen herramientas de forma independiente no tienen visibilidad sobre dónde se procesan o almacenan los datos.

Las autoridades europeas de protección de datos han aplicado ambas disposiciones. En 2023, la Comisión de Protección de Datos de Irlanda multó a Meta con 1.200 millones de euros bajo el Artículo 46 por transferencias ilegales de datos a EE. UU. — la mayor multa del GDPR hasta la fecha. Aunque ese caso involucraba a un operador de plataforma y no a un usuario empresarial final, el principio subyacente se aplica: la ausencia de un mecanismo de transferencia válido es una violación, independientemente de la intención.

NIS2: Control de acceso y obligaciones de la cadena de suministro

La Directiva NIS2 (Directiva UE 2022/2555), aplicable a entidades esenciales e importantes en toda la UE desde octubre de 2024, aborda directamente las condiciones que crea el shadow IT. El Artículo 21(2) establece diez medidas mínimas de gestión de riesgos de ciberseguridad. Tres están directamente implicadas por el shadow IT:

• Artículo 21(2)(d): Seguridad de la cadena de suministro, incluyendo aspectos de seguridad relativos a las relaciones entre cada entidad y sus proveedores directos o prestadores de servicios. Toda herramienta SaaS no autorizada es, en efecto, una relación de proveedor no verificada.
• Artículo 21(2)(i): Políticas y procedimientos relativos al uso de criptografía y, cuando proceda, cifrado.
• Artículo 21(2)(j): Seguridad de recursos humanos, políticas de control de acceso y gestión de activos.

Las penalizaciones de NIS2 alcanzan los 10 millones de euros o el 2% de la facturación anual global para entidades esenciales, y 7 millones de euros o el 1,4% para otras. La transposición por parte de los Estados miembros varía, pero el marco ya está activo en toda la UE.

La página de cumplimiento NIS2 de Passwork cubre en detalle cómo la gestión centralizada de credenciales se alinea con los requisitos del Artículo 21 de NIS2.

DORA: Riesgo de terceros TIC para entidades financieras

El Reglamento de Resiliencia Operativa Digital (DORA, Reglamento UE 2022/2554) está en vigor desde enero de 2025 para las entidades financieras que operan en la UE: bancos, aseguradoras, empresas de inversión, procesadores de pagos y sus proveedores críticos de TIC. El Artículo 28 requiere que las entidades financieras mantengan un registro de todos los proveedores de servicios TIC de terceros y realicen la diligencia debida precontractual antes de incorporar a cualquier nuevo proveedor.

El shadow SaaS está directamente dentro del ámbito de aplicación. Un empleado de un banco que adopta una herramienta de gestión de proyectos o un asistente de IA no autorizado ha creado una relación con un tercero TIC no registrada. Bajo DORA, eso no es un problema de gobernanza de TI; es una infracción regulatoria. Las Autoridades Europeas de Supervisión (EBA, ESMA, EIOPA) tienen autoridad supervisora para investigar y sancionar. En las jurisdicciones donde la transposición nacional lo prevé, también puede aplicarse responsabilidad penal a nivel directivo.

Para los equipos de TI y cumplimiento del sector financiero, el descubrimiento de shadow IT ya no es una buena práctica. Bajo DORA, es una obligación legal.

El impacto financiero: Cuantificando el coste del shadow IT

El shadow IT conlleva dos costes financieros distintos: exposición a brechas y gasto desperdiciado. El informe Cost of a Data Breach 2025 de IBM encontró que la participación del shadow AI añade 670.000 dólares al coste promedio de una brecha de 4,44 millones de dólares. En el lado del gasto, el SaaS Management Index 2026 de Zylo cifra el gasto promedio desperdiciado en licencias en 21 millones de dólares por año — impulsado por herramientas redundantes, puestos sin usar y compras de las que TI nunca tuvo conocimiento.

Datos de IBM 2025: La penalización de 670.000 $ del shadow AI

El informe Cost of a Data Breach de IBM de 2025 es el punto de referencia más autorizado disponible para entender las consecuencias financieras de la IA no gestionada. Los números principales:

• Coste promedio global de una brecha: 4,44 millones de dólares
• La participación del shadow AI añade 670.000 dólares a ese promedio, llevando la cifra con shadow AI involucrado a aproximadamente 5,11 millones de dólares
• El 97% de los incidentes relacionados con IA involucraban sistemas sin controles de acceso adecuados
• El 20% de las organizaciones reportaron un incidente de seguridad directamente vinculado al shadow AI en 2025

El incremento de 670.000 dólares es el coste adicional de investigación, contención, notificación y remediación cuando están involucrados sistemas de IA que los equipos de seguridad desconocían.

Gasto de TI desperdiciado y licencias redundantes

Las organizaciones pagan por herramientas aprobadas mientras los empleados adoptan silenciosamente alternativas gratuitas o más baratas. El resultado: funcionalidad duplicada, licencias abandonadas y gasto que nadie gestiona.

Según el SaaS Management Index 2026 de Zylo, la organización promedio desperdicia 21 millones de dólares al año solo en licencias SaaS sin usar — y la tasa de utilización promedio en las carteras SaaS empresariales se sitúa en apenas el 47%. Para empresas medianas con 500 o menos empleados, esa cifra aún alcanza los 4,2 millones de dólares anuales en gasto desperdiciado en licencias.

El patrón es predecible: las compras descentralizadas significan que los equipos se registran en herramientas de forma independiente, a menudo sin saber que ya existe un contrato empresarial para la misma categoría. Cuando ocurre un incidente de seguridad además de eso, los costes de remediación agravan el desperdicio base en una exposición financiera material.

Cómo detectar el shadow IT y el shadow AI

Detectar el shadow IT en 2026 requiere combinar al menos cinco fuentes de datos: despliegue de CASB (Cloud Access Security Broker), análisis de logs DNS, EDR (Endpoint Detection and Response), revisión de datos de gastos y escaneo de integraciones de correo electrónico. Cada método cubre una porción diferente del entorno. Ninguno lo cubre todo. Los puntos ciegos son estructurales, no incidentales — ninguna herramienta única ve simultáneamente los dispositivos personales, las cuentas de nivel gratuito y los endpoints gestionados.

Monitoreo de endpoints y extensiones de navegador

Las herramientas EDR y las auditorías de extensiones de navegador pueden revelar el uso de SaaS no autorizado directamente en el dispositivo. El análisis del historial del navegador, los inventarios de extensiones y el monitoreo basado en agentes detectan actividad que nunca toca la red corporativa.

La limitación: los entornos BYOD (Bring Your Own Device) y los dispositivos personales usados para trabajar son en gran medida invisibles para las herramientas de endpoint a menos que la organización haya desplegado MDM (Mobile Device Management) con el alcance apropiado.

Análisis de red: Logs DNS y de proxy

Los logs de consultas DNS y los datos de proxy web revelan a qué dominios están accediendo los empleados. Los picos de tráfico a dominios SaaS desconocidos, servicios de IA o plataformas de intercambio de archivos aparecen claramente en los logs DNS incluso cuando el contenido está cifrado.

Este método funciona bien para el tráfico de red corporativa. No detecta nada de lo que ocurre sobre conexiones móviles, redes domésticas o VPNs que enrutan fuera del proxy corporativo. DNS-over-HTTPS (DoH) y DNS-over-TLS (DoT) cifran las consultas de extremo a extremo, evitando por completo la inspección DNS tradicional sin una política de firewall adicional para bloquearlos.

CASB: Fortalezas y limitaciones

Un CASB (Cloud Access Security Broker) se sitúa entre los usuarios y los servicios en la nube, proporcionando visibilidad, aplicación de políticas y prevención de pérdida de datos para aplicaciones autorizadas y no autorizadas. Los CASB son la herramienta más específicamente diseñada para la detección de shadow IT y pueden identificar miles de servicios en la nube en uso en una organización.

La limitación práctica es la cobertura. Los CASB funcionan mejor cuando el tráfico se enruta a través de ellos — son más efectivos para dispositivos gestionados en redes corporativas. Los empleados que usan cuentas personales en dispositivos personales, o herramientas de IA accedidas a través del navegador sin SSO, pueden no ser visibles. Las funciones de shadow AI integradas dentro de herramientas SaaS ya autorizadas tampoco se detectan normalmente, ya que el dominio padre ya está aprobado.

Un marco de 6 pasos para gestionar el shadow IT

El Marco de Gobernanza de Shadow IT es un proceso de seis pasos: descubrir y clasificar, centralizar credenciales, establecer políticas, agilizar aprobaciones, automatizar el offboarding y construir un programa de concienciación de seguridad. Aborda tanto las dimensiones técnicas como las conductuales del problema. Bloquear herramientas no autorizadas sin habilitar alternativas aprobadas más rápidas falla consistentemente.

Paso 1. Descubrir y clasificar

No se puede gobernar lo que no se puede ver. Comience con un barrido de descubrimiento completo utilizando una combinación de análisis de logs DNS, despliegue de CASB, monitoreo de endpoints y revisión de datos de gastos. El resultado debe ser un inventario clasificado: autorizado, tolerado (conocido pero no aprobado formalmente) y no autorizado.

Clasifique cada aplicación por sensibilidad de datos. Un corrector gramatical gratuito que accede a borradores de correo electrónico tiene un perfil de riesgo diferente a un asistente de codificación de IA con acceso a repositorios.

Paso 2. Implementar una gestión segura de credenciales

Cada cuenta de shadow IT es una credencial no gestionada. La solución no es prohibir las cuentas; es poner las credenciales bajo control centralizado.

Una bóveda centralizada con control de acceso basado en roles (RBAC) proporciona a los empleados un lugar seguro y conveniente para almacenar y compartir credenciales tanto para herramientas aprobadas como para las recién aprobadas. Cuando el acceso está centralizado, el offboarding se vuelve determinístico: revoque el acceso a la bóveda, y el empleado pierde el acceso a todas las credenciales almacenadas allí.

Passwork está disponible como un despliegue autoalojado o en la nube, dando a los equipos la flexibilidad de elegir dónde residen los datos de credenciales. El modelo autoalojado mantiene todo dentro de su propia infraestructura sin dependencia de servicios en la nube de terceros; la opción en la nube le permite comenzar a funcionar sin gestionar su propia infraestructura de servidores. En cualquier caso, los administradores obtienen visibilidad completa de quién tiene acceso a qué y un registro de auditoría completo de cada operación con credenciales. Consulte las guías técnicas para obtener detalles sobre despliegue e integración.

Paso 3. Establecer políticas claras de IA y SaaS

Una prohibición general será ignorada incluso por las personas que la aplican. Una política que defina cómo obtener herramientas aprobadas, qué clasificaciones de datos están permitidas en las herramientas de IA, y qué sucede con los permisos OAuth cuando un empleado se va, es aplicable.

La política debe abordar específicamente:

• Clasificaciones de datos prohibidas para la entrada en herramientas de IA (PII, código fuente, datos financieros, credenciales)
• Ciclos de aprobación y revisión de permisos OAuth
• Tiempo máximo de aprobación para nuevas solicitudes de SaaS (los procesos de aprobación lentos son la razón principal por la que los empleados evitan TI)
• Consecuencias por violaciones de la política

Paso 4. Agilizar el proceso de aprobación

El shadow IT existe porque el camino aprobado es demasiado lento. Si un empleado necesita una herramienta hoy y el proceso de aprobación tarda tres semanas, usará la herramienta sin aprobación y pedirá perdón después, si es que lo pide.

Construya un flujo de aprobación ligero: un formulario de solicitud breve, un SLA de 48 horas para herramientas de bajo riesgo, y un marco de decisión claro basado en la sensibilidad de los datos y la postura de seguridad del proveedor. El objetivo es hacer que «pasar por TI» sea más rápido que «resolverlo por cuenta propia».

Paso 5. Automatizar los flujos de trabajo de offboarding

El offboarding manual es donde nacen las cuentas huérfanas. Cuando un empleado se va, TI normalmente desaprovisiona las cuentas que conoce. Las cuentas de shadow IT, por definición, no están en esa lista.

Los flujos de trabajo de offboarding automatizados, activados por eventos de baja en el HRIS, deben:

• Revocar el acceso a SSO e IdP inmediatamente
• Rotar o invalidar todas las credenciales almacenadas en la bóveda centralizada para ese usuario
• Auditar y revocar los permisos OAuth asociados con la identidad corporativa del usuario
• Transferir la propiedad de los recursos compartidos antes de que se corte el acceso

Las guías de usuario de Passwork cubren en detalle los flujos de trabajo de offboarding de la bóveda de credenciales, incluyendo cómo manejar contraseñas compartidas y credenciales de cuentas de servicio que necesitan rotarse, no solo revocarse.

Paso 6. Construir un programa de concienciación de seguridad

Las políticas y herramientas por sí solas no cambian el comportamiento. Los empleados adoptan shadow IT porque no entienden el riesgo, no saben que existe la alternativa aprobada, o encuentran el camino aprobado demasiado lento. Un programa de concienciación de seguridad aborda directamente los dos primeros.

• Haga el riesgo tangible: mostrar a los empleados un ejemplo real de cómo funciona un ataque de reutilización de credenciales tiene más impacto que una diapositiva sobre «protección de datos». Publicite el conjunto de herramientas aprobadas; los empleados que conocen una alternativa rápida y autorizada tienen menos probabilidades de recurrir a una no aprobada. 
• Cree una cultura de reporte: los empleados deben sentirse cómodos señalando las herramientas que ya están usando sin temor a un castigo inmediato. El descubrimiento a través del autorreporte es más rápido y más barato que el descubrimiento a través de una brecha.
• La formación anual no es suficiente. Las sesiones de microformación trimestrales (10-15 minutos, basadas en escenarios) superan consistentemente a los módulos de cumplimiento anuales en estudios de retención. Las simulaciones de phishing que incluyen falsos formularios de registro de SaaS — no solo señuelos por correo electrónico — prueban exactamente el comportamiento que la gobernanza del shadow IT está tratando de cambiar.

Mida el efecto del programa en las tasas de descubrimiento de shadow IT, no solo en los porcentajes de finalización de la formación. La finalización es una métrica de entrada. La reducción en la adopción de herramientas no autorizadas es el resultado que importa.

Conclusión: Haga que el camino aprobado sea más rápido que el atajo

Las organizaciones que gestionan eficazmente el shadow IT son las que hicieron que el camino aprobado fuera más rápido que el atajo. No las que tienen las políticas de bloqueo más estrictas.

Eso significa un programa de descubrimiento que funcione continuamente. Una bóveda de credenciales que los empleados realmente quieran usar porque les ahorra tiempo. Un flujo de trabajo de offboarding que se active automáticamente en el momento en que se desencadena un evento de baja en el HRIS. Una política de IA que diga a los empleados lo que pueden hacer con las herramientas de IA, no solo lo que no pueden. Y un programa de concienciación de seguridad que haga el riesgo real en lugar de abstracto.

Para las organizaciones europeas, las apuestas son aún más altas. El Artículo 28 del GDPR, el Artículo 21 de NIS2 y el Artículo 28 de DORA no tratan el shadow IT como un inconveniente de gobernanza; lo tratan como un fallo de cumplimiento con penalizaciones cuantificadas asociadas. El incremento de coste de 670.000 dólares por shadow AI del informe de IBM de 2025 no es una abstracción. Es lo que sucede cuando la gobernanza va por detrás de la adopción. Cierre esa brecha antes de que la próxima brecha argumente el caso por usted.

Preguntas frecuentes

¿Qué es el shadow IT en 2026?

El shadow IT en 2026 se refiere a cualquier tecnología (software, aplicaciones SaaS, herramientas de IA o agentes autónomos) utilizada por los empleados sin el conocimiento o la aprobación de TI. Incluye aplicaciones no autorizadas tradicionales como intercambio de archivos y mensajería, y riesgos más nuevos como asistentes de IA que procesan datos sensibles y agentes de IA con acceso OAuth persistente a sistemas corporativos.

¿Cuál es la diferencia entre shadow IT y shadow AI?

El shadow IT es tecnología no gestionada que crea residencia de datos no controlada. El shadow AI es uso de IA no gestionado que crea procesamiento de datos no controlado: modelos que analizan información propietaria, generan outputs y toman acciones a través de permisos delegados. El shadow AI conlleva un mayor riesgo porque los datos no solo se almacenan en algún lugar no autorizado; están siendo procesados y utilizados activamente por sistemas fuera de su perímetro de gobernanza.

¿Cuánto cuesta el shadow IT a las organizaciones?

El informe Cost of a Data Breach 2025 de IBM encontró que la participación del shadow AI añade 670.000 dólares al coste promedio de una brecha de 4,44 millones de dólares, llevando las brechas con shadow AI involucrado a aproximadamente 5,11 millones de dólares. Por separado, la investigación de DataFence de 2026 estima que el incidente promedio de ciberataque por shadow IT cuesta 4,2 millones de dólares. Más allá de los costes de brechas, el shadow IT representa un estimado del 30-40% del gasto total de TI en grandes empresas a través de licencias redundantes y gasto desperdiciado.

¿Cómo se detecta el shadow IT?

La detección efectiva del shadow IT combina múltiples métodos: despliegue de CASB para visibilidad de servicios en la nube, análisis de logs DNS y de proxy para descubrimiento a nivel de red, monitoreo de endpoints para actividad a nivel de dispositivo, y revisión de datos de gastos para suscripciones de pago. Ningún método único proporciona cobertura completa. Las herramientas de integración de correo electrónico también pueden revelar cuentas SaaS creadas con direcciones de correo corporativas, incluyendo herramientas de nivel gratuito que no aparecen en los datos de gastos.

¿Cuál es el mayor riesgo de shadow IT en 2026?

El riesgo de mayor gravedad es la exposición de credenciales a través de cuentas huérfanas y reutilización de contraseñas. Cada aplicación no autorizada es una credencial no gestionada, a menudo protegida por una contraseña reutilizada y sin MFA. Cuando esas credenciales se comprometen (a través de una brecha en el proveedor SaaS, un infostealer o credential stuffing) los atacantes obtienen acceso a cuentas que los equipos de seguridad desconocen y no pueden monitorear.

¿Cómo crea el shadow IT exposición al GDPR?

Toda herramienta SaaS no autorizada que procese datos personales es un encargado del tratamiento no autorizado bajo el Artículo 28 del GDPR, que requiere un acuerdo de procesamiento de datos por escrito antes de que comience el procesamiento. Si esa herramienta tiene sede en EE. UU. y transfiere datos personales fuera del EEE sin Cláusulas Contractuales Tipo u otro mecanismo de transferencia válido, los Artículos 44-49 también se violan. Ambas exposiciones surgen en el momento en que un empleado se registra, independientemente de si TI lo sabe.

¿Cómo se relaciona el shadow AI con la Ley de IA de la UE?

La Ley de IA de la UE impone penalizaciones a las organizaciones que utilizan sistemas de IA de alto riesgo sin una gobernanza adecuada — hasta 15 millones de euros o el 3% de la facturación anual global según el Artículo 99(4). Los empleados que utilizan herramientas de IA no aprobadas que procesan datos personales o influyen en decisiones importantes pueden estar operando sistemas de IA de alto riesgo fuera del marco de cumplimiento de la organización, creando una exposición regulatoria directa sin que haya tenido lugar ninguna evaluación formal de riesgos.

¿Por qué falla bloquear el shadow IT?

La prohibición sin habilitación empuja al shadow IT a la clandestinidad en lugar de eliminarlo. Cuando los empleados no pueden obtener lo que necesitan a través de canales oficiales con suficiente rapidez, encuentran alternativas. La respuesta efectiva es la habilitación estructurada: procesos de aprobación rápidos, alternativas aprobadas y seguras, gestión centralizada de credenciales, y un programa de concienciación de seguridad que haga del camino conforme el camino conveniente.

10 fallos de seguridad en el trabajo remoto (y cómo solucionarlos)

10 fallos de seguridad en el trabajo remoto — y el principio único detrás de todos ellos: la seguridad se rompe donde el camino seguro tiene más fricción que el inseguro. Casos reales, soluciones realistas, una línea base de 5 capas contra la que su equipo puede auditar.

Passwork BlogAlex Muntyan

Shadow IT vs shadow AI: Por qué la IA es la mayor amenaza

Los empleados están usando herramientas de IA que usted no aprobó, en cuentas que no puede monitorear, con datos que no puede recuperar. Así es como realmente luce el riesgo y qué debe abordar la gobernanza.

Passwork BlogAlex Muntyan

Guía de seguridad de la cadena de suministro: Riesgos de proveedores, regulaciones, control de acceso en 2026

El 48% de las brechas ahora involucran a un tercero. Esta guía cubre los patrones de ataque detrás de SolarWinds, MOVEit y XZ Utils — y los controles de acceso, prácticas de gestión de credenciales y requisitos regulatorios que realmente los detienen.

Passwork BlogAlex Muntyan