Tengo una pregunta para ti. ¿Cuál es tu mayor pesadilla de ciberseguridad?

Si eres como la mayoría de los gerentes y dueños de empresas, probablemente te imaginas a un tipo con capucha en un sótano oscuro, rodeado de monitores con código verde cayendo en cascada. Un hacker de película, tipo Mr. Robot, lanzando un ataque de día cero súper sofisticado para robar tus datos.

Es una imagen aterradora. Y es completamente errónea.

Tu mayor amenaza de seguridad ahora mismo, en 2025, no es ese hacker. Es Bastián, tu analista estrella de finanzas. O Javiera, la coordinadora de marketing que siempre cumple las metas. Es ese empleado modelo, bien intencionado y proactivo que solo quiere hacer su trabajo más rápido.

Y lo está haciendo. Justo ahora, probablemente acaba de subir el Excel con la lista completa de clientes del último trimestre, incluyendo sus correos y teléfonos, a una herramienta «gratuita» de IA para que le ayude a «sacar los insights principales».

Bienvenido al pánico del ‘Shadow AI’. Y sí, es tan aterrador como suena.

El ‘Aha!’: La Amenaza No Es Externa, Es Interna

Hablemos claro. La Inteligencia Artificial Generativa (como ChatGPT, Claude, Gemini y mil más) es la herramienta más revolucionaria desde la invención de la hoja de cálculo. Es magia. Permite a tu equipo hacer en 10 minutos lo que antes tomaba 10 horas. Resumir reportes, escribir correos, analizar datos, generar código… es una locura de productividad.

Y como toda herramienta poderosa y gratuita que aparece en internet, tu equipo la adoptó antes de que tu departamento de TI siquiera pudiera agendar la reunión para «evaluar su impacto».

Aquí es donde la cosa se pone fea. Esto es el ‘Shadow AI’: todo el uso de herramientas de IA que ocurre en tu empresa sin la aprobación, conocimiento o supervisión del área de TI.

El problema no es que las usen. El problema es cómo las usan. Y qué les están dando de comer.

La Analogía Definitiva: ¡Son Gremlins!

¿Recuerdas la película ‘Gremlins’ de los 80? Si no la viste, te la resumo: te regalan una mascota adorable y peluda llamada Gizmo. Es increíble, pero viene con tres reglas muy simples:

  1. No le puede dar la luz brillante.
  2. Nunca, jamás, debe mojarse.
  3. Y la más importante: no importa cuánto llore o suplique, nunca le des de comer después de medianoche.

Obviamente, en la película rompen todas las reglas y el tierno Gizmo se multiplica en un ejército de monstruos caóticos, verdes y destructivos que arrasan el pueblo.

Las IAs públicas y gratuitas son Gizmo.

Son herramientas increíbles que te ayudan. Pero también tienen reglas. Y la regla de oro, la que está escrita en esa letra pequeña de los «Términos y Condiciones» que nadie lee, es:

«Cualquier cosa que nos des, la usaremos para entrenar a nuestro modelo».

Cuando Javiera, de marketing, sube ese Excel de clientes a la versión gratuita de ChatGPT para que le segmente las audiencias, acaba de mojar a Gizmo. Acaba de darle de comer después de medianoche.

Acaba de publicar, para todos los efectos prácticos, tu base de datos de clientes en la Plaza de Armas. O peor, la acaba de entregar como material de entrenamiento. Ahora, esos datos (correos, teléfonos, quizás hasta patrones de compra) son parte del «cerebro» colectivo de ese LLM. Mañana, un competidor podría, con el prompt adecuado, «preguntarle» a la IA por patrones de tu industria y la IA, basada en tus datos, le dará la respuesta.

Eso, amigo mío, es una violación masiva de datos. Es un desastre de GDPR. Es una multa millonaria esperando a ser cobrada.

El ‘Shadow AI’ en Acción: 3 Escenarios de Pesadilla

Quizás piensas que estoy exagerando. Déjame darte ejemplos del día a día que están pasando ahora en empresas como la tuya.

1. El Analista Eficiente (El Excel de la Muerte)

El Escenario: Bastián, de finanzas, tiene que analizar los reportes de gastos de 100 empleados. Es un montón de PDFs y planillas desordenadas. Bastián, que es listo, los sube todos a un servicio online de «IA para PDFs» que le promete un resumen en 30 segundos.

La Fuga: Esos reportes contienen nombres, RUTs, números de cuentas bancarias y detalles de gastos (viajes, reuniones con clientes, todo). Bastián acaba de regalar la información financiera personal de todo el equipo a una empresa X en algún lugar del mundo, que ahora puede leer y almacenar esos datos.

2. El Programador Apurado (El Código Expuesto)

El Escenario: Tu desarrollador estrella está atascado con un bug. Copia y pega un bloque gigante del código fuente de tu aplicación propietaria (el «ingrediente secreto» de tu software) en ChatGPT y le pregunta: «¿Dónde está el error?».

La Fuga: ¡Boom! Acaba de entregarle tu propiedad intelectual más valiosa al modelo. Ese código ahora es parte de su base de conocimiento. La próxima vez que un desarrollador de tu competencia le pregunte a la IA «¿Cómo resuelvo este problema específico?», la IA podría escupir una versión de tu código secreto como respuesta.

3. El Gerente de RRHH (La Fuga de Contratos)

El Escenario: El equipo de Recursos Humanos necesita actualizar la política de teletrabajo. Tienen el contrato antiguo y las nuevas ideas. Suben el contrato legal (con cláusulas de sueldos, condiciones y datos de la empresa) a un LLM y le piden: «Reescribe esto con un tono más amigable e incluye los nuevos puntos».

La Fuga: Todos tus rangos salariales, cláusulas legales y estrategias de retención de talento ahora están en manos de un tercero. Es un manual de instrucciones sobre cómo funciona tu empresa y cuánto le pagas a la gente.

La Herramienta del Héroe: No Prohíbas, Gobierna

Ok, estás pálido. Lo entiendo. Tu primer instinto es correr, gritar y mandar un correo en mayúsculas prohibiendo el uso de toda IA en la empresa.

No lo hagas.

Eso es como tratar de prohibir internet en 1999. Es inútil. La gente lo usará igual, pero ahora lo hará a escondidas, lo que es mil veces peor. El ‘Shadow AI’ prospera en la prohibición.

La solución no es la prohibición, es la Gobernanza. No puedes matar a los Gremlins, pero puedes construir un entorno donde solo tengas Gizmos amigables.

Aquí está tu plan de acción de 3 pasos. La «Herramienta del Héroe» para dominar esta nueva era.

1. El Manual de Gizmo (Educar, Educar, Educar)

Tu equipo no es malicioso, es ignorante (en el buen sentido). No saben las reglas. ¡Dáselas!

Crea una política de IA simple, de una sola página. No uses lenguaje legal. Usa la analogía de los Gremlins si quieres. Divídela en «Semáforo»:

  • Verde (Adelante): Usar la IA para resumir artículos públicos, generar ideas de brainstorming, escribir un post de blog sobre un tema genérico, optimizar código que no es propietario.
  • Amarillo (Precaución): Usar la IA para reescribir correos internos, pero asegurándose de borrar nombres o datos sensibles ANTES de copiar y pegar.
  • Rojo (¡Nunca Jamás!): Subir CUALQUIER información del cliente, datos financieros, contratos, código fuente, información personal de empleados (RUTs, sueldos, etc.) o cualquier cosa que sea «Secreto de la Empresa».

2. La Jaula Segura (Paga por las Herramientas Pro)

El problema no es la IA, es la IA gratuita. Las versiones empresariales están diseñadas para esto.

Invierte en ChatGPT Enterprise, Microsoft Copilot (con el licenciamiento de seguridad adecuado) o usa las APIs de forma controlada. ¿La diferencia clave? Estas versiones SÍ tienen una cláusula en sus «Términos y Condiciones» que te interesa:

«No entrenaremos nuestros modelos con tus datos. Tus datos son tuyos. Punto.»

Sí, cuesta plata. Pero te aseguro que es mucho, mucho más barato que la multa por filtrar la base de datos de tus clientes. Crea un «sandbox» (un entorno de pruebas seguro) donde tu equipo pueda usar estas herramientas poderosas sin riesgo.

3. El Radar de Gremlins (Monitoreo y Detección)

No puedes gobernar lo que no puedes ver. Necesitas visibilidad. Habla con tu equipo de TI sobre herramientas de ‘Data Loss Prevention’ (DLP) y ‘Cloud Access Security Brokers’ (CASB).

Suena a sopa de letras técnica, pero en simple, son los «guardias de seguridad» de tu red. Pueden detectar cuándo un gran volumen de datos (como ese Excel de clientes) está intentando salir de tu red hacia una dirección de internet desconocida (como la de una IA gratuita). No espía a tu equipo, pero sí detecta patrones de riesgo y bloquea las fugas antes de que ocurran.

La Fiesta Apenas Comienza

El ‘Shadow AI’ es la resaca de la fiesta de la IA Generativa. Todos nos emocionamos con la fiesta, y ahora nos toca ordenar el desorden y poner reglas para la próxima vez.

No le tengas miedo a la IA. Ténle respeto. Es una herramienta que cambiará el mundo, y tu empresa. Tu trabajo como líder no es esconderla, es enseñar a tu equipo a usarla con responsabilidad.

No dejes que tus empleados, con toda su buena intención, terminen dándole de comer a los Gremlins después de medianoche. Porque cuando el caos se desate, el único responsable de no haber leído el manual de instrucciones serás tú.