Shadow AI hace referencia al uso no autorizado o no gestionado de herramientas de inteligencia artificial dentro de una organización. Al igual que el Shadow IT, el Shadow AI se produce cuando los empleados adoptan servicios de IA, como ChatGPT, Claude, Midjourney o asistentes de codificación, sin pasar por los procesos adecuados de aprobación, revisión de seguridad o gobernanza. Según un estudio de Gartner de 2025, el 68 % de los empleados utiliza con regularidad herramientas de IA que sus equipos de TI desconocen, lo que convierte al Shadow AI en uno de los riesgos de seguridad empresarial de más rápido crecimiento.
El Shadow AI plantea riesgos importantes, como la fuga de datos (información sensible introducida en las solicitudes de IA), las infracciones de cumplimiento (datos regulados procesados por servicios no aprobados), las vulnerabilidades de seguridad (herramientas de IA no evaluadas con controles de seguridad débiles) y la pérdida de propiedad intelectual (información propietaria utilizada para entrenar modelos de IA externos). Un estudio Cisco Data Privacy Benchmark de 2024 reveló que el 48 % de los empleados había introducido información no pública de su empresa en herramientas de IA externas.
Las organizaciones combaten el Shadow AI mediante herramientas de descubrimiento que supervisan el tráfico de red y la actividad del navegador para detectar el uso de servicios de IA, políticas de uso aceptable que definen las herramientas aprobadas, formación de los empleados en prácticas seguras de IA y marcos de gobernanza que equilibran la innovación con la seguridad. El enfoque más eficaz combina la supervisión en tiempo real con la aplicación de políticas y el acompañamiento de los empleados.
El impacto económico del Shadow AI es considerable. El informe IBM Cost of a Data Breach 2024 concluyó que las organizaciones con políticas de gobernanza de la IA insuficientes afrontan un coste medio por filtración de 4,88 millones de dólares. Las sanciones regulatorias agravan este riesgo: las infracciones del RGPD derivadas del tratamiento de datos por IA pueden alcanzar los 20 millones de euros o el 4 % de la facturación mundial, mientras que el EU AI Act introduce sanciones de hasta 35 millones de euros para las infracciones de IA de alto riesgo.
Los métodos de detección del Shadow AI incluyen el análisis del tráfico de red para identificar llamadas a las API de IA, la supervisión de las extensiones del navegador para captar el uso de herramientas de IA web, las herramientas de gestión de la postura de seguridad de SaaS (SSPM) que analizan los permisos de OAuth y el análisis del comportamiento de los usuarios (UBA) que señala patrones de datos inusuales compatibles con el uso de herramientas de IA.