Si las organizaciones solo prohíben, los equipos buscarán caminos alternativos. La Shadow AI nace, justamente, de una necesidad no resuelta: colaboradores que necesitan ser más productivos y que sienten que la empresa no les entrega herramientas adecuadas.
Hace poco, la tecnológica estadounidense Vercel sufrió una filtración crítica. Un empleado descargó una aplicación de Inteligencia Artificial y la vinculó a su cuenta corporativa. En minutos, los atacantes lograron burlar controles internos y acceder a datos de clientes. Este no es un caso aislado; es el síntoma de una brecha cada vez más peligrosa: la adopción de IA avanza mucho más rápido que nuestra capacidad para gobernarla.
El problema de fondo no es el descuido individual, sino el ecosistema que lo permite. Hoy, levantar una aplicación de IA es extremadamente simple: basta un par de APIs, un modelo base y una interfaz intuitiva. Pero esa velocidad rara vez viene acompañada de controles robustos. Muchas herramientas carecen de gestión segura de credenciales, monitoreo de accesos o cifrado de nivel empresarial. Aun así, están entrando masivamente a las organizaciones por la puerta de atrás.
Esto es Shadow AI.
Son equipos que, buscando eficiencia, conectan generadores de contenido a Google Drive, automatizan reportes financieros con aplicaciones externas o integran asistentes de IA a plataformas corporativas que solicitan acceso total al correo y archivos internos. Todo ocurre sin visibilidad centralizada, sin evaluación de riesgos y sin un marco formal de gobierno. Para el negocio, la presión por “usar IA” es total. Para las áreas de ciberseguridad y compliance, es una bomba de tiempo activada.
Aquí es donde la gobernanza se vuelve crítica. La pregunta no es quién puede usar IA, sino bajo qué reglas, con qué límites y con qué supervisión.
Gobernar la IA implica, primero, definir qué datos son críticos y cuáles nunca deberían exponerse a plataformas externas. También significa establecer políticas claras sobre qué herramientas están autorizadas, cómo se validan y quién puede integrarlas. No basta con reaccionar frente a incidentes; se requiere trazabilidad permanente sobre qué aplicaciones están conectadas, qué información consumen y qué privilegios poseen.
Pero la gobernanza no puede transformarse en burocracia. Si las organizaciones solo prohíben, los equipos buscarán caminos alternativos. La Shadow AI nace, justamente, de una necesidad no resuelta: colaboradores que necesitan ser más productivos y que sienten que la empresa no les entrega herramientas adecuadas. Por eso, una buena estrategia de gobierno no solo controla; también habilita. Ofrece alternativas seguras, capacita a los equipos y genera criterios claros para innovar sin poner en riesgo el negocio.
El incidente de Vercel demuestra que la seguridad ya no depende únicamente de lo que una empresa construye, sino también de todo lo que conecta. Cada integración mal gestionada puede transformarse en un punto de entrada. Y cuando se mezclan credenciales expuestas, automatizaciones y acceso masivo a datos, el problema deja de ser individual para convertirse en sistémico.
Por eso, más que hablar de herramientas, hoy debemos hablar de estrategia y gobernanza. El incidente de Vercel no es una anomalía. Es una señal.
Sobre el autor:
Diego Cabai es CEO de Fuubo.
Las opiniones expresadas son solo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes Chile.