Para detectar Shadow AI en una empresa, revisa qué herramientas de inteligencia artificial usan los equipos, con qué datos trabajan, en qué tareas aparece contenido generado por IA y quién revisa esos resultados antes de que afecten a clientes, empleados o decisiones internas.
Las señales más habituales son cuentas personales usadas para trabajar, documentos internos copiados en herramientas externas, automatizaciones creadas sin aprobación y ausencia de una política clara de uso.
Una empresa puede estar usando inteligencia artificial sin haberla implantado.
Aunque nadie lo haya aprobado.
Aunque no exista un plan.
Aunque en la última reunión de dirección alguien dijera aquello de «esto lo veremos más adelante».
La IA no siempre entra por la puerta grande, con un proyecto, una presentación y una foto de comité.
A veces entra por una persona que tiene veinte correos pendientes, abre ChatGPT para ordenar una respuesta y descubre que le ahorra media hora.
Otro día alguien resume una reunión con una herramienta externa.
Una semana después, un equipo prepara propuestas con IA. Al mes siguiente, cada departamento tiene su pequeño atajo.
Y nadie lo llama implantación. Pero ya está pasando.
Eso es el Shadow AI: el uso de herramientas de inteligencia artificial en el trabajo sin autorización formal, sin supervisión suficiente o sin criterios compartidos.
No siempre nace de una mala decisión. Muchas veces nace de una necesidad real que la empresa todavía no ha sabido ordenar.
Detectar Shadow AI en una empresa no consiste en cazar a quien usa IA.
Consiste en responder una pregunta más útil:
¿Qué está haciendo ya nuestro equipo con IA que todavía no estamos viendo?
Mirar eso a tiempo evita sustos. También revela oportunidades.
Porque donde hay Shadow AI suele haber tres cosas mezcladas: presión de trabajo, iniciativa personal y falta de marco.
Si solo miras el riesgo, te pierdes media película. Si solo miras la oportunidad, puedes meter a la empresa en un lío.
Vamos por partes.
Qué es Shadow AI, dicho sin rodeos
Shadow AI es el uso de herramientas de inteligencia artificial dentro de una empresa al margen de una política clara.
Puede ser una cuenta personal de ChatGPT, una extensión de navegador, un asistente de reuniones, una herramienta para analizar documentos, un generador de imágenes, una automatización o una función con IA incluida en una aplicación que ya usa la empresa.
El problema no está en que alguien use IA.
El problema aparece cuando nadie sabe:
- qué herramienta se usa;
- para qué tarea;
- con qué datos;
- con qué nivel de revisión;
- y quién responde si algo sale mal.
Una misma herramienta puede ser inocente o delicada según el uso.
Pedir ideas para titular una nota interna no se parece en nada a pegar una base de datos de clientes. Resumir un texto público no es lo mismo que subir un contrato. Preparar un borrador no es lo mismo que enviarlo sin revisión.
Este matiz importa mucho.
La respuesta al Shadow AI no debería ser el grito reflejo de «prohibido todo». Suele funcionar regular. Por decirlo fino.
La respuesta madura empieza por mirar lo que ya ocurre y convertirlo en criterio compartido.
Cómo detectar Shadow AI en una empresa paso a paso
Si necesitas una respuesta práctica, empezaría por aquí.
1. Pregunta por tareas, no por herramientas
Si preguntas «¿quién usa ChatGPT?», muchas personas se pondrán a la defensiva. Si preguntas «¿en qué tareas os está ayudando la IA?», aparecen respuestas mejores.
Busca usos en redacción, análisis, reuniones, atención al cliente, informes, formación, ventas, RRHH, operaciones y automatizaciones pequeñas.
2. Identifica qué datos entran en cada herramienta
Esta es la parte delicada. No basta con saber que alguien usa IA.
Hay que saber si introduce datos públicos, información interna, documentos confidenciales, datos personales o información de clientes.
El riesgo cambia por completo según el dato.
3. Revisa quién valida el resultado
La IA puede ayudar a preparar una respuesta, un resumen o una propuesta. La pregunta clave es quién revisa antes de que eso llegue a un cliente, a una decisión interna o a un proceso sensible.
Sin revisión humana, el uso de IA queda cojo.
4. Clasifica los usos por riesgo
No metas todo en la misma bolsa. Hay usos verdes, ámbar y rojos. Pedir ideas para una reunión no tiene el mismo riesgo que subir contratos, usar datos personales o automatizar respuestas a clientes.
5. Convierte lo detectado en protocolo
Detectar Shadow AI en una empresa solo tiene sentido si después ordenas lo encontrado: herramientas permitidas, datos prohibidos, usos aceptables, usos que requieren autorización y responsable de dudas.
Ahí empieza el paso de uso invisible a protocolo de implantación IA.
Por qué está ocurriendo ahora
El uso de IA en el trabajo ha crecido más rápido que la capacidad de muchas empresas para ordenarlo. Microsoft y LinkedIn señalaban en su Work Trend Index 2024 que el 75% de los trabajadores del conocimiento ya usaban IA en el trabajo, y que muchos llevaban sus propias herramientas a la empresa sin esperar a una estrategia formal.
El dato no sorprende tanto si miras el día a día.
- Hay más correos.
- Más reuniones.
- Más documentos.
- Más urgencia.
Y, al lado, una herramienta que responde en segundos.
Cuando la organización no da una alternativa clara, la gente inventa una. A veces con buen criterio. A veces con demasiada alegría. Casi siempre con poca visibilidad para la empresa.
El AI Act europeo añade otra capa: las organizaciones necesitan entender los riesgos del uso de IA, formar a las personas y asegurar supervisión humana cuando corresponda. La Comisión Europea explica el reglamento como un marco basado en riesgo, con obligaciones más exigentes para usos sensibles y de alto impacto.
Traducido al lenguaje de oficina: si tu empresa no sabe qué IA se usa, para qué y con qué datos, difícilmente podrá decir que la tiene bajo control.
La primera pista suele estar en la conversación
Antes de mirar herramientas, escucha.
Si fuera de la empresa todo el mundo habla de IA, pero dentro nadie la menciona, algo huele raro. Puede que no se use. Puede. Pero también puede que se use en silencio.
He visto muchas veces esta escena en conversaciones sobre formación: alguien pregunta con prudencia si puede usar ChatGPT para un informe. Otro reconoce que ya lo usa para resumir. Un tercero dice que lo probó con propuestas, pero «sin meter nada delicado». Y entonces aparece la frase que lo cambia todo:
«La verdad es que no sé si esto se puede hacer».
Ahí está el problema.
Cuando una persona no sabe si usar IA será visto como iniciativa, trampa o amenaza, tiende a callarse. Y lo que se calla, la empresa no puede mejorarlo.
Señales para detectar Shadow AI en una empresa
No hace falta empezar con una auditoría enorme. Estas señales suelen aparecer pronto si preguntas bien.
1. Cuentas personales para trabajo
Alguien usa su propia cuenta de ChatGPT, Gemini, Claude, Perplexity u otra herramienta para tareas laborales. Empieza con algo pequeño: ordenar ideas, traducir un correo, preparar una respuesta.
El riesgo no siempre aparece el primer día. Aparece cuando el límite se mueve sin que nadie se dé cuenta.
2. Documentos internos copiados en herramientas externas
Informes, actas, contratos, propuestas, briefs, datos de clientes o descripciones de procesos acaban dentro de plataformas que la empresa no ha revisado.
La pregunta no es si la herramienta parece fiable.
La pregunta es más concreta:
¿Sabemos qué información está saliendo, con qué condiciones y hacia dónde?
3. Textos demasiado pulidos que nadie sabe explicar
De pronto, algunas propuestas llegan muy ordenadas. Los correos salen mejor. Los informes parecen más limpios. Puede ser una mejora real.
También puede ser IA sin criterio de revisión.
Si nadie declara el uso, nadie revisa el proceso. Y ahí se cuelan errores, promesas que la empresa no puede sostener o un tono que no suena a la marca.
4. Automatizaciones pequeñas que crecen solas
Una persona conecta una hoja de cálculo con una herramienta. Otra automatiza respuestas. Otra crea un flujo para resumir formularios.
Visto por separado, parece poca cosa.
El problema llega cuando esas piezas empiezan a tocar datos, clientes o decisiones internas sin que IT, dirección o la persona responsable del proceso lo sepan.
5. Asistentes de reunión sin criterio común
Los asistentes que transcriben y resumen reuniones son comodísimos. También escuchan información sensible: clientes, acuerdos, conflictos, datos personales, presupuestos, decisiones internas.
Antes de usarlos conviene saber quién guarda la información, durante cuánto tiempo, con qué permisos y para qué se reutiliza.
6. Cada departamento va por libre
Marketing usa una herramienta. Ventas, otra. Administración prueba una tercera. Dirección tiene su favorita. RRHH pregunta por WhatsApp cuál conviene.
La variedad no es el drama. El drama es no tener inventario.
Sin inventario, la empresa no aprende. Solo acumula atajos.
7. Funciones de IA dentro de software ya contratado
Muchas empresas creen que no usan IA porque no han comprado «una herramienta de inteligencia artificial». Pero su CRM, su suite ofimática, su plataforma de marketing, su software de RRHH o su gestor documental ya pueden tener funciones con IA.
El Shadow AI no siempre llega con un logo nuevo.
A veces viene incluido en una actualización.
8. Decisiones apoyadas en análisis que nadie contrasta
La IA resume, clasifica, compara y sugiere con una seguridad que a veces impresiona demasiado.
Si un análisis generado por IA influye en una decisión comercial, laboral, financiera o estratégica, alguien tiene que revisar fuentes, contexto y límites.
La IA puede ayudar a pensar.
No debería sustituir la responsabilidad de decidir.
9. Nadie sabe qué datos no puede introducir
Esta es de las más fáciles de comprobar.
Pregunta a cinco personas de la empresa:
¿Qué información no deberías pegar nunca en una IA no aprobada?
Si las cinco respuestas son muy distintas, no hay criterio compartido. Hay buena voluntad. Y la buena voluntad, sola, no protege datos.
10. No existe una lista de herramientas permitidas
Decir «cuidado con la IA» no sirve de mucho.
La gente necesita saber qué puede usar, para qué y con qué límites. Una lista blanca, aunque sea breve, reduce improvisación.
11. Nadie sabe quién responde si algo falla
Si una respuesta generada con IA llega mal a un cliente, ¿quién responde?
Si una automatización envía un dato incorrecto, ¿quién la detiene?
Si una herramienta ayuda a filtrar candidatos, ¿quién revisa el criterio?
Cuando nadie puede contestar, no hay gobierno. Hay esperanza. Y la esperanza no audita muy bien.
12. Se ha formado en prompts, pero no en criterio
Saber pedirle cosas a una IA está bien. Saber cuándo no usarla es igual de importante.
Una formación útil habla de datos, revisión, sesgos, límites, responsabilidad y procesos reales de trabajo. Los prompts ayudan. El criterio decide.
Preguntas para detectar Shadow AI en una empresa
Puedes llevar estas preguntas a una reunión de dirección, RRHH, IT, innovación o responsables de área. No buscan una respuesta perfecta. Buscan que aparezca la realidad.
- ¿Qué herramientas de IA usa cada departamento?
- ¿Se usan cuentas personales para tareas laborales?
- ¿Hay herramientas aprobadas por la empresa?
- ¿Qué datos se están introduciendo en herramientas externas?
- ¿Se usan asistentes de reunión o transcripción?
- ¿Se generan propuestas, correos o informes con IA?
- ¿Quién revisa esos contenidos antes de enviarlos?
- ¿Hay automatizaciones conectadas a herramientas internas?
- ¿Se ha usado IA en procesos de RRHH, selección, evaluación o formación?
- ¿El equipo sabe qué información no puede compartir?
- ¿Existe una política de uso de IA escrita en lenguaje claro?
- ¿Hay una persona o comité responsable de resolver dudas?
Si varias respuestas empiezan con «creo que…», ya tienes trabajo.
Una matriz sencilla: verde, ámbar y rojo
Para ordenar los usos detectados, te propongo una clasificación simple.
Verde
Usos de bajo riesgo, sin datos sensibles ni impacto directo en clientes, empleados o decisiones importantes.
Ejemplos: generar ideas para una reunión, resumir información pública, reescribir un texto interno no confidencial, crear una lista de preguntas.
Qué hacer: permitir con criterios básicos y formación.
Ámbar
Usos con valor, pero con posible impacto en calidad, marca, clientes o procesos internos.
Ejemplos: redactar propuestas comerciales, preparar respuestas a clientes, analizar información interna no sensible, resumir reuniones de trabajo.
Qué hacer: permitir solo con herramienta aprobada, revisión humana y límites claros.
Rojo
Usos que implican datos sensibles, decisiones sobre personas, información confidencial o conexión con sistemas internos.
Ejemplos: subir datos personales, usar IA en selección de personal, analizar contratos sin revisión experta, automatizar respuestas sensibles, conectar IA a CRM o ERP sin evaluación.
Qué hacer: parar, evaluar y decidir controles antes de permitirlo.
No hace falta complicarlo al principio. Verde, ámbar y rojo ya ordena más que veinte páginas de política que nadie abre.
El método VER
Me gusta trabajar este primer paso con tres verbos: ver, evaluar y regular.
Ver
Haz visible lo que ya ocurre. Sin tono policial.
Mensaje posible:
Queremos entender cómo se está usando la IA para trabajar mejor, detectar riesgos y crear una política útil. No buscamos culpables. Buscamos criterio compartido.
Si preguntas como si estuvieras investigando una falta, la gente se protegerá. Si preguntas como quien quiere aprender, aparecerá información valiosa.
Evaluar
Cruza dos variables: valor y riesgo.
Un uso de alto valor y bajo riesgo puede convertirse en buena práctica. Un uso de bajo valor y alto riesgo debe frenarse. Entre medias está casi todo lo interesante.
No pongas todas las pruebas en la misma bolsa. Ahí se pierde inteligencia.
Regular
Convierte lo aprendido en reglas que una persona entienda en dos minutos:
- Herramientas permitidas.
- Datos prohibidos.
- Usos aceptables.
- Usos que requieren autorización.
- Responsable de dudas.
- Revisión humana necesaria.
- Frecuencia de actualización.
Una política útil no presume de larga. Se nota porque la gente la usa.
Datos que no deberían entrar nunca en una IA no aprobada
Esta parte debe quedar escrita en cualquier protocolo interno.
Si la herramienta no está aprobada por la empresa, no debería recibir:
- Datos personales de clientes, empleados, candidatos o proveedores.
- Información financiera no pública.
- Contratos, acuerdos, precios o márgenes.
- Estrategias comerciales o planes internos.
- Reclamaciones, incidencias o comunicaciones sensibles.
- Datos de salud, legales, laborales o especialmente protegidos.
- Código fuente, credenciales, tokens o accesos.
- Documentación técnica o propiedad intelectual no pública.
- Cualquier documento que no enviarías a un proveedor externo sin acuerdo previo.
La regla corta:
Si no se lo mandarías a una empresa desconocida, no lo pegues en una IA no aprobada.
De la detección al protocolo de uso de IA
Detectar Shadow AI en una empresa solo sirve si después haces algo con lo que has visto.
El siguiente paso es crear un protocolo de uso de IA. No un PDF para guardar en una carpeta. Un documento vivo, breve al principio, que ayude a decidir el lunes por la mañana.
Como mínimo debería incluir:
- objetivo del uso de IA en la empresa;
- herramientas permitidas;
- herramientas no permitidas;
- datos permitidos y datos prohibidos;
- usos aceptables por departamento;
- usos que requieren autorización;
- usos prohibidos;
- criterios de revisión humana;
- responsable de dudas;
- procedimiento para proponer nuevos casos de uso;
- reglas para proveedores que incorporan IA;
- revisión periódica.
Aquí conecta con el Protocolo de Implantación IA. Detectar Shadow AI te dice qué está pasando. El protocolo convierte esa información en reglas, formación, supervisión y mejora.
Qué hacer en las primeras 72 horas
No necesitas resolver la gobernanza de IA en tres días. Respira. Nadie implanta criterio corporativo entre el café del lunes y la reunión del jueves.
Pero sí puedes empezar.
Primer día
Reconoce el tema.
Comunica algo sencillo:
Sabemos que la IA ya forma parte del trabajo de muchas personas. Queremos entender usos reales, proteger datos y crear un marco claro para usarla con criterio.
Segundo día
Recoge información.
Pregunta por tareas, no solo por herramientas: redacción, análisis, reuniones, atención al cliente, automatizaciones, informes, datos, decisiones.
Tercer día
Pon un límite provisional:
Hasta que tengamos herramientas y criterios aprobados, no se introducen datos personales, información confidencial, contratos, datos de clientes, credenciales ni documentación interna sensible en herramientas de IA no autorizadas.
No es la solución completa.
Es una valla de seguridad mientras ordenas la casa.
Un caso típico: «solo lo usamos para ahorrar tiempo»
Imagina una empresa donde varias personas usan IA para redactar respuestas a clientes.
Al principio parece una buena noticia. El equipo responde antes, los textos salen más claros y baja la carga de trabajo.
Luego revisas el proceso y aparecen tres detalles:
- algunas respuestas prometen cosas que la empresa no puede garantizar;
- cada persona usa una herramienta distinta;
- nadie ha definido cuándo revisar antes de enviar.
La solución no pasa por apagarlo todo. Sería perder una mejora evidente.
La solución es convertir ese uso en un flujo seguro:
- herramienta aprobada;
- plantillas de respuesta;
- datos que no se pueden introducir;
- revisión humana antes de enviar;
- registro de errores frecuentes;
- mejora mensual del proceso.
Eso ya no es Shadow AI. Eso empieza a parecerse a un workflow híbrido persona + IA.
El Shadow AI también trae una pista interesante
Si mucha gente usa IA por su cuenta, quizá no tienes solo un problema de control. Quizá tienes procesos que pesan demasiado.
Tareas repetitivas.
Correos eternos.
Informes que nadie quiere hacer.
Reuniones que dejan más niebla que decisiones.
El Shadow AI puede revelar dónde duele el trabajo. Conviene atender esa información.
La empresa puede leerlo como desobediencia o como síntoma. Yo prefiero la segunda lectura. Es más útil y bastante menos dramática.
Desde ahí tiene sentido conectar este diagnóstico con el Mapa de madurez IA y con el Proceso de implantación de IA. La pregunta de fondo no es «quién está usando IA». La pregunta de fondo es «qué necesita ordenar esta empresa para usar IA con criterio».
Checklist final
Marca las frases que sean ciertas en tu empresa:
- No sabemos qué herramientas de IA usa cada equipo.
- No tenemos una política clara de uso de IA.
- No hay una lista de herramientas permitidas.
- No hemos definido qué datos no pueden usarse.
- Hay personas usando cuentas personales para trabajar.
- Se generan textos para clientes con IA sin revisión común.
- Se resumen reuniones con herramientas no aprobadas.
- Hay automatizaciones que no han pasado por IT o dirección.
- RRHH no sabe cómo abordar la alfabetización en IA.
- Dirección no tiene un mapa de riesgos y oportunidades.
- No hay responsable interno de dudas sobre IA.
- No se revisan proveedores que incorporan IA.
Si has marcado tres o cuatro, hay trabajo por ordenar.
Si has marcado más de cinco, el Shadow AI ya no es una posibilidad lejana. Probablemente ya está en casa.
Mejor verlo ahora que enterarse por un incidente.
Preguntas frecuentes sobre cómo detectar Shadow AI
Qué significa Shadow AI
Shadow AI significa uso de herramientas de inteligencia artificial dentro de una empresa sin autorización formal, supervisión o política clara. Puede incluir herramientas públicas, cuentas personales, asistentes de reunión, extensiones, generadores de texto o automatizaciones creadas al margen de los procesos internos.
Cómo se detecta el Shadow AI
Se detecta combinando encuesta interna, entrevistas por departamento, revisión de herramientas, análisis de procesos y preguntas sobre datos usados en tareas reales. La clave es preguntar sin tono policial para que las personas compartan usos reales, dudas y necesidades.
Es malo que un empleado use ChatGPT en el trabajo
No necesariamente. Depende del uso, los datos, la herramienta, la supervisión y el contexto. Usar IA para ordenar ideas no tiene el mismo riesgo que pegar datos de clientes o generar una respuesta comercial sin revisión. La herramienta no es el problema; el problema es usarla sin marco.
Qué áreas suelen tener más Shadow AI
Puede aparecer en cualquier área, pero suele verse antes en marketing, ventas, atención al cliente, administración, RRHH, formación, dirección y equipos con mucha carga documental. También aparece cuando hay procesos lentos y personas con iniciativa que buscan atajos.
Qué debe hacer una pyme si detecta Shadow AI
Una pyme debería empezar por identificar usos reales, bloquear provisionalmente el uso de datos sensibles en herramientas no aprobadas, elegir herramientas permitidas, formar al equipo y crear una política sencilla. No necesita copiar la burocracia de una gran empresa; necesita reglas claras y aplicables.
Qué relación tiene el Shadow AI con el AI Act
El Shadow AI dificulta la supervisión, la trazabilidad, la alfabetización y el control del uso de IA. El AI Act europeo trabaja con un enfoque basado en riesgo y contempla obligaciones relacionadas con alfabetización, transparencia, supervisión humana y usos de alto riesgo. Una empresa que no sabe qué IA usan sus equipos tendrá más difícil demostrar control y responsabilidad.
Mira antes de prohibir
El Shadow AI no se detecta para castigar.
Se detecta para entender.
Qué herramientas usa tu equipo.
Qué tareas intenta resolver.
Qué riesgos estás asumiendo sin verlo.
Dónde hay oportunidades reales de mejora.
La IA no se implanta con silencio. Se implanta con conversaciones honestas, reglas claras, formación práctica, supervisión humana y un protocolo que ayude a trabajar mejor.
Si sospechas que ya hay usos invisibles de IA en tu empresa, empieza por hacerlos visibles.
Luego pon orden.
Y después convierte esa energía dispersa en una forma de trabajar más segura, más inteligente y más humana.
