{"id":2873,"date":"2025-11-06T17:09:01","date_gmt":"2025-11-06T20:09:01","guid":{"rendered":"https:\/\/confiden360.com\/blog\/?p=2873"},"modified":"2025-11-06T17:10:03","modified_gmt":"2025-11-06T20:10:03","slug":"shadow-ai-riesgos-ciberseguridad-empresa","status":"publish","type":"post","link":"https:\/\/confiden360.com\/blog\/blog\/shadow-ai-riesgos-ciberseguridad-empresa\/","title":{"rendered":"Shadow AI: el nuevo riesgo invisible que amenaza la ciberseguridad empresarial"},"content":{"rendered":"<article>Un reciente estudio del <strong>MIT Sloan Management Review<\/strong> revel\u00f3 una tendencia preocupante: m\u00e1s del <strong>90 % del uso de herramientas de inteligencia artificial (IA)<\/strong> en las empresas ocurre fuera de los canales oficiales de TI o sin aprobaci\u00f3n corporativa.<br \/>\nEste fen\u00f3meno, conocido como <strong>Shadow AI<\/strong>, est\u00e1 generando un impacto silencioso pero profundo en la <a href=\"https:\/\/confiden360.com\/blog\/blog\/ley-ciberseguridad\/ley-marco-ciberseguridad-chile\">ciberseguridad empresarial<\/a>.El t\u00e9rmino describe el uso de plataformas como <em>ChatGPT, Claude, Gemini o Copilot<\/em> por empleados o equipos que buscan aumentar su productividad, pero lo hacen sin supervisi\u00f3n, sin pol\u00edticas de protecci\u00f3n de datos y, a menudo, sin conocimiento de los riesgos que esto conlleva.<\/p>\n<h2>\u2699\ufe0f Qu\u00e9 es el Shadow AI<\/h2>\n<p>As\u00ed como hace una d\u00e9cada surgi\u00f3 el <em>Shadow IT<\/em> \u2014el uso de software o servicios en la nube sin aprobaci\u00f3n del \u00e1rea de tecnolog\u00eda\u2014, hoy el <b>Shadow AI<\/b> representa la nueva frontera de exposici\u00f3n digital.<br \/>\nSeg\u00fan el MIT, las empresas calculan que solo el <b>10 % del uso de IA<\/b> dentro de sus operaciones es controlado por los departamentos de TI o ciberseguridad.<\/p>\n<p>Esto significa que empleados pueden estar:<\/p>\n<ul>\n<li>Ingresando datos confidenciales en chats p\u00fablicos de IA generativa.<\/li>\n<li>Usando modelos no verificados para analizar informaci\u00f3n sensible.<\/li>\n<li>Instalando extensiones o plugins que capturan texto, contrase\u00f1as o documentos.<\/li>\n<li>Conectando herramientas de IA a cuentas corporativas sin aprobaci\u00f3n ni registro.<\/li>\n<\/ul>\n<p>El problema no es el uso de IA, sino su <strong>uso sin control, auditor\u00eda ni gobernanza<\/strong>.<\/p>\n<h2>\ud83d\udd0d Lo que dice el estudio del MIT<\/h2>\n<p>El informe \u201c<em>Crossing the GenAI Divide<\/em>\u201d del MIT indica que la adopci\u00f3n empresarial de IA generativa est\u00e1 creciendo r\u00e1pidamente, pero el <strong>95 % de las empresas a\u00fan no logra un impacto medible en productividad o ROI<\/strong>.<br \/>\nEn cambio, el fen\u00f3meno m\u00e1s visible es el \u201c<b>Shadow AI Economy<\/b>\u201d: los empleados usan cuentas personales de ChatGPT o Claude mucho m\u00e1s que las oficiales de la empresa.<\/p>\n<blockquote><p><em>\u201cEl 90 % del uso de IA generativa en el entorno corporativo proviene de cuentas personales o no registradas en los sistemas empresariales.\u201d<\/em><br \/>\n\u2014 MIT Sloan Management Review, 2025<\/p><\/blockquote>\n<p>Esto crea un escenario de riesgo donde la informaci\u00f3n cr\u00edtica de la empresa puede quedar expuesta a servicios externos sin contratos de confidencialidad, sin cifrado corporativo y sin cumplimiento de la <strong>Ley Marco de Ciberseguridad (Ley N\u00b0 21.663)<\/strong> ni de la <strong>Ley de Protecci\u00f3n de Datos Personales<\/strong>.<\/p>\n<h2>\ud83d\udca3 Principales riesgos del Shadow AI<\/h2>\n<ol>\n<li><b>Fuga de informaci\u00f3n confidencial:<\/b> al ingresar datos internos en herramientas p\u00fablicas, se pierde el control sobre su almacenamiento o uso posterior.<\/li>\n<li><b>Ausencia de cifrado y trazabilidad:<\/b> los modelos externos pueden registrar entradas que luego son usadas para entrenamiento o an\u00e1lisis de terceros.<\/li>\n<li><b>Incumplimiento normativo:<\/b> las organizaciones chilenas pueden violar la <a href=\"https:\/\/confiden360.com\/blog\/blog\/ley-ciberseguridad\/obligaciones-ley-marco-ciberseguridad\">Ley Marco de Ciberseguridad<\/a> o normativas de datos personales si no demuestran medidas preventivas.<\/li>\n<li><b>Dependencia no controlada:<\/b> decisiones operativas o informes generados por IA sin revisi\u00f3n pueden contener errores, sesgos o informaci\u00f3n fabricada.<\/li>\n<li><b>Superposici\u00f3n de identidades digitales:<\/b> los empleados pueden generar contenido o solicitudes bajo credenciales corporativas sin trazabilidad.<\/li>\n<\/ol>\n<h2>\u2696\ufe0f C\u00f3mo la Ley Marco de Ciberseguridad aborda este riesgo<\/h2>\n<p>La <strong>Ley Marco de Ciberseguridad<\/strong> en Chile establece que los <b>operadores de servicios esenciales<\/b> y sus proveedores cr\u00edticos deben:<\/p>\n<ul>\n<li>Implementar pol\u00edticas formales de <b>uso responsable de tecnolog\u00edas emergentes<\/b>.<\/li>\n<li>Gestionar <b>riesgos de terceros<\/b> y evaluar el impacto de las herramientas digitales utilizadas.<\/li>\n<li>Registrar y <b>notificar incidentes<\/b> a la <a href=\"https:\/\/www.anci.gob.cl\" target=\"_blank\" rel=\"noopener\">Agencia Nacional de Ciberseguridad (ANCI)<\/a> dentro de los plazos establecidos (3 h para incidentes graves, 24 h para menores).<\/li>\n<\/ul>\n<p>Si un empleado filtra datos sensibles a trav\u00e9s de una plataforma de IA, se considera un <strong>incidente de ciberseguridad de tipo interno<\/strong> y debe ser investigado y documentado como parte del <a href=\"https:\/\/confiden360.com\/blog\/iso27001\">Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI)<\/a>.<\/p>\n<h2>\ud83e\udde0 Estrategias para controlar el Shadow AI<\/h2>\n<h3>1\ufe0f\u20e3 Establecer pol\u00edticas de uso de IA<\/h3>\n<p>Define reglas claras sobre qu\u00e9 tipo de informaci\u00f3n puede ingresarse a herramientas de IA, qu\u00e9 plataformas est\u00e1n aprobadas y qu\u00e9 mecanismos de control deben aplicarse.<\/p>\n<h3>2\ufe0f\u20e3 Implementar monitoreo y auditor\u00eda<\/h3>\n<p>Usa soluciones de <em>Data Loss Prevention (DLP)<\/em> y registro de accesos para detectar cu\u00e1ndo los usuarios interact\u00faan con herramientas externas no autorizadas.<\/p>\n<h3>3\ufe0f\u20e3 Fomentar el uso seguro de IA corporativa<\/h3>\n<p>Ofrece a los empleados herramientas oficiales, con pol\u00edticas de privacidad y retenci\u00f3n controladas, para reducir la necesidad de recurrir a servicios personales.<\/p>\n<h3>4\ufe0f\u20e3 Capacitar al personal<\/h3>\n<p>El <b>factor humano<\/b> sigue siendo la mayor vulnerabilidad.<br \/>\nProgramas como el curso gratuito <a href=\"https:\/\/confiden360.com\/blog\/formacion\/phishing-basico\">Phishing Cero IA<\/a> de Confiden permiten fortalecer la cultura digital y reducir errores humanos.<\/p>\n<h3>5\ufe0f\u20e3 Incluir IA en la gesti\u00f3n de riesgos<\/h3>\n<p>Eval\u00faa el uso de IA dentro del mapa de riesgos organizacionales y aplica controles seg\u00fan los <a href=\"https:\/\/confiden360.com\/blog\/blog\/ley-ciberseguridad\/controles-cis-seguridad-informatica-chile\">Controles CIS<\/a> o la ISO 27005.<\/p>\n<h2>\ud83d\udcca Caso pr\u00e1ctico<\/h2>\n<p>Una empresa del sector salud chileno descubri\u00f3 que parte de su equipo ingresaba informes m\u00e9dicos en ChatGPT para \u201cmejorar la redacci\u00f3n\u201d.<br \/>\nAunque la intenci\u00f3n era positiva, los textos inclu\u00edan nombres, diagn\u00f3sticos y datos personales protegidos por ley.<br \/>\nEl hecho se clasific\u00f3 como un incidente interno y fue reportado a la ANCI.<br \/>\nComo resultado, la organizaci\u00f3n implement\u00f3 un sistema de IA privado bajo pol\u00edticas RBAC (<a href=\"https:\/\/confiden360.com\/blog\/blog\/ley-ciberseguridad\/control-de-acceso-rbac-chile\">Control de Acceso Basado en Roles<\/a>), garantizando trazabilidad y cumplimiento.<\/p>\n<h2>\ud83d\udea8 Conclusi\u00f3n: la IA no supervisada es un riesgo real<\/h2>\n<p>El Shadow AI no es un problema de tecnolog\u00eda, sino de <strong>gobernanza y cultura digital<\/strong>.<br \/>\nLas empresas que adopten IA sin control corren el riesgo de exponer informaci\u00f3n cr\u00edtica, incumplir la ley y perder la confianza de sus clientes y reguladores.<\/p>\n<p>En <a href=\"https:\/\/confiden.cl\">Confiden.cl<\/a> ayudamos a las organizaciones a desarrollar pol\u00edticas seguras de adopci\u00f3n de IA, a auditar el uso no autorizado y a implementar sistemas de control basados en roles y cumplimiento normativo.<\/p>\n<p>\ud83d\udce5 Descarga nuestro <a href=\"https:\/\/confiden360.com\/blog\/la-ciberseguridad-como-requisito\/\">eBook \u201cLa Ciberseguridad como Requisito\u201d<\/a> para conocer c\u00f3mo la Ley Marco exige nuevas formas de gestionar la tecnolog\u00eda y la informaci\u00f3n.<\/p>\n<\/article>\n","protected":false},"excerpt":{"rendered":"<p>Un reciente estudio del MIT Sloan Management Review revel\u00f3 una tendencia preocupante: m\u00e1s del 90 % del uso de herramientas de inteligencia artificial (IA) en las empresas ocurre fuera de los canales oficiales de TI o sin aprobaci\u00f3n corporativa. Este fen\u00f3meno, conocido como Shadow AI, est\u00e1 generando un impacto silencioso pero profundo en la ciberseguridad [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"site-container-style":"default","site-container-layout":"default","site-sidebar-layout":"default","disable-article-header":"default","disable-site-header":"default","disable-site-footer":"default","disable-content-area-spacing":"default","footnotes":""},"categories":[1],"tags":[214,211,202,212,199,213,204,210],"class_list":["post-2873","post","type-post","status-publish","format-standard","hentry","category-blog","tag-chatgpt","tag-ciberseguridad","tag-confiden","tag-inteligencia-artificial","tag-ley-marco-de-ciberseguridad","tag-mit-sloan","tag-politicas-de-seguridad","tag-shadow-ai"],"acf":[],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/confiden360.com\/blog\/wp-json\/wp\/v2\/posts\/2873","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/confiden360.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/confiden360.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/confiden360.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/confiden360.com\/blog\/wp-json\/wp\/v2\/comments?post=2873"}],"version-history":[{"count":2,"href":"https:\/\/confiden360.com\/blog\/wp-json\/wp\/v2\/posts\/2873\/revisions"}],"predecessor-version":[{"id":2875,"href":"https:\/\/confiden360.com\/blog\/wp-json\/wp\/v2\/posts\/2873\/revisions\/2875"}],"wp:attachment":[{"href":"https:\/\/confiden360.com\/blog\/wp-json\/wp\/v2\/media?parent=2873"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/confiden360.com\/blog\/wp-json\/wp\/v2\/categories?post=2873"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/confiden360.com\/blog\/wp-json\/wp\/v2\/tags?post=2873"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}