Hacking ONESEC

¡Contáctanos!

Shadow IT y Shadow AI: Más allá de una simple desobediencia

Abraham Manzano

·

·

, , , , ,

¿Qué es el Shadow IT?

El Shadow IT, o “TI en la sombra”, se refiere a cualquier software, aplicación, dispositivo o servicio en la nube que los empleados utilizan dentro de una organización sin la aprobación o el conocimiento del departamento de TI. No nace de una intención maliciosa, sino del deseo legítimo de ser más productivo, rápido o de usar herramientas que resultan más familiares.

Shadow IT

Ejemplos cotidianos de Shadow IT

  • Herramientas de marketing contratadas de forma autónoma: Un equipo de marketing que contrata una herramienta de email marketing como Mailchimp o HubSpot con una tarjeta de crédito corporativa para lanzar una campaña urgente, sin pasar por los canales oficiales.
  • Uso de cuentas personales para reuniones: Un ejecutivo que utiliza su cuenta personal de Zoom o Google Meet para reuniones confidenciales porque le resulta más cómodo.
  • Instalación de software no autorizado: Un empleado que descarga e instala una versión gratuita de una aplicación de productividad en su ordenador del trabajo sin saber si cumple con las políticas de seguridad.
  • Dispositivos de almacenamiento personales: El uso de memorias USB o discos duros personales para almacenar y transportar información corporativa, sin cifrar y sin autorización.

El “Modo Avanzado”: Cuando el Conocimiento Técnico se Vuelve un Riesgo

No todo el Shadow IT es tan visible como instalar un programa. Las personas con conocimientos técnicos pueden crear soluciones mucho más difíciles de detectar. Un ejemplo clásico es la configuración de un proxy casero para burlar los filtros de red.

Imaginemos a un empleado que necesita acceder a una página web bloqueada por el firewall corporativo (ya sea por productividad, para investigar un tema no relacionado con su trabajo, o incluso para conectar una herramienta personal que requiere ese acceso). Si tiene un equipo personal (como un ordenador portátil o una Raspberry Pi) en su casa o en la oficina, podría configurarlo como un “puente” de doble cara. Este equipo tendría dos conexiones de red:

  1. Conexión A: Conectada a la red corporativa (por cable o WiFi), con una dirección IP interna válida.
  2. Conexión B: Conectada a su propio router o módem de Internet (por ejemplo, un dispositivo de datos móviles), con su propia IP pública.

Luego, configuraría ese equipo personal como un router o proxy. De esta manera, el empleado puede configurar su ordenador del trabajo para que, en lugar de enviar el tráfico de internet a través de la red corporativa (con sus restricciones y filtros), lo envíe todo al equipo personal, que a su vez lo reenvía a internet sin ningún control. Para el departamento de TI, el tráfico de ese empleado solo muestra conexiones a la IP del equipo personal, un destino que podría parecer inofensivo, mientras que en realidad está navegando sin ninguna restricción y, lo que es más grave, fuera de cualquier control de seguridad.

Cómo Afecta en Nuestros Días: El Salto a la “IA en la Sombra” (Shadow AI)

El fenómeno del Shadow IT no solo persiste, sino que se ha multiplicado exponencialmente con la llegada de la inteligencia artificial generativa. Ahora hablamos de Shadow AI o “IA en la sombra”.
La facilidad de acceso es la clave. Cualquier empleado puede abrir una cuenta gratuita en ChatGPT, Gemini, Claude o Copilot en cuestión de minutos y empezar a usarla para su trabajo diario. Este “shadow AI” es cualitativamente más peligroso que el Shadow IT tradicional por varias razones:

Fuga de información en los “prompts”

El riesgo ya no es solo dónde se almacena un archivo, sino qué información se introduce en estas herramientas. Los empleados, sin mala intención, pueden copiar y pegar código fuente confidencial, datos personales de clientes, estrategias de negocio o borradores de contratos en un chatbot público para que les ayude a redactar o resumir. Esa información, una vez enviada, puede ser utilizada por el proveedor de la IA para entrenar sus modelos o quedar almacenada en servidores de terceros sin las garantías de seguridad corporativas.

La nueva frontera: agentes autónomos

El riesgo se intensifica con la llegada de la “IA agéntica”. Un empleado con conocimientos de low-code o no-code podría crear un pequeño agente de IA autónomo para automatizar una tarea repetitiva. Sin embargo, si ese agente tiene permisos para acceder a sistemas internos (como una base de datos de clientes o un sistema de facturación) y no está supervisado, podría tomar decisiones erróneas, replicarse sin control o ser comprometido, actuando como una puerta de entrada a toda la organización sin que nadie lo sepa.

Código fuente en riesgo

Especialmente en el sector tecnológico, es común que los desarrolladores usen herramientas de IA para optimizar o generar código. Si utilizan una herramienta no autorizada y pegan código propietario para que la IA lo mejore, están exponiendo la propiedad intelectual de la empresa a un entorno externo y no controlado.

Shadow AI

Ejemplos de Casos de la Vida Real

Los riesgos del Shadow IT no son teóricos; ya han tenido consecuencias graves para empresas reconocidas.

El caso de Okta (2023)

Este es uno de los ejemplos más citados y esclarecedores. Un empleado de Okta, una empresa dedicada a la gestión de identidades y accesos, utilizó su cuenta personal de Google (Gmail) en un dispositivo corporativo. Un ciberdelincuente logró acceder a esa cuenta personal y, desde ahí, pudo robar un archivo que contenía “tokens de sesión” del sistema de atención al cliente de Okta. Con estos tokens, el atacante pudo hacerse pasar por empleados legítimos y acceder a los archivos de 134 clientes de la compañía durante varios días. El incidente duró 20 días antes de ser detectado y controlado.

Lección: Un simple acto de productividad (usar una cuenta de correo personal más familiar) en un dispositivo del trabajo creó una cadena de vulnerabilidades que afectó a más de un centenar de clientes.

El riesgo de los “programas caseros”

Según informes de Kaspersky, es frecuente que los propios programadores creen pequeños programas o scripts a medida para optimizar el trabajo de su equipo o departamento. La intención es buena: ser más eficaces. Sin embargo, si no pasan por el departamento de TI, estos programas “caseros” pueden contener vulnerabilidades de seguridad, no ser actualizados correctamente o acabar integrándose con sistemas críticos de la empresa sin los debidos controles, creando un punto ciego de seguridad.

Lección: Incluso el software hecho por empleados, si no está gobernado, puede ser un riesgo. No importa si la herramienta viene de un proveedor externo o se desarrolla internamente; la falta de supervisión es el problema común.

Cómo Administrar y Controlar las Herramientas de los Usuarios

La clave no es prohibir, sino gobernar de manera inteligente. Las empresas exitosas en la gestión del Shadow IT son las que entienden la necesidad de los usuarios y ofrecen alternativas seguras y ágiles.

Estrategias prácticas para recuperar el control

1. Visibilidad total (Descubrimiento)

No se puede controlar lo que no se ve. Es fundamental realizar inventarios periódicos de los activos informáticos y escanear la red para identificar hardware, software y servicios cloud no controlados. Esto incluye el uso de herramientas que puedan descubrir qué aplicaciones de IA se están utilizando.

2. Diálogo y escucha activa

Hay que hablar con los empleados. Preguntarles por qué usan ciertas herramientas. ¿Es porque las oficiales son lentas, poco intuitivas o no cubren una necesidad concreta? Esta retroalimentación es oro para que el departamento de TI pueda mejorar sus propios servicios o crear nuevos que satisfagan esas demandas.

3. Ofrecer un “jardín cercado” (Soluciones aprobadas)

La mejor manera de luchar contra el Shadow IT es ofrecer alternativas oficiales que sean igual de buenas, o mejores. Si un empleado necesita una herramienta de IA para resumir documentos, la empresa debería proporcionarle una versión corporativa y segura de una de estas herramientas, con políticas claras sobre cómo tratar los datos confidenciales. Si necesitan compartir archivos, ofrecer una solución interna robusta y fácil de usar. Si la herramienta oficial es buena, la tentación de buscar fuera disminuye drásticamente.

4. Formación y concienciación continua

Los empleados a menudo no son conscientes de los riesgos. Usan herramientas personales creyendo que, si son de una marca conocida, ya son seguras. La formación debe explicar, con ejemplos como el de Okta, que el peligro existe y que “aceptar los términos y condiciones” de un servicio externo implica a menudo compartir la responsabilidad de la seguridad de los datos con un proveedor que no controlan. La formación no puede ser un evento anual, sino un proceso continuo y adaptado a los nuevos riesgos, como el uso de la IA.

5. Establecer un proceso ágil de aprobación

Si el proceso para solicitar una nueva herramienta es un laberinto burocrático de semanas, los empleados buscarán atajos. Hay que crear un proceso rápido y sencillo para que puedan pedir el acceso a nuevas tecnologías, de manera que no sientan la necesidad de saltarse las reglas para hacer bien su trabajo.

Referencias

https://www.isaca.org/resources/isaca-journal/issues/2024/volume-6/risk-in-the-shadows
https://sec.okta.com/articles/2023/10/tracking-unauthorized-access-oktas-support-system/
https://sec.okta.com/articles/october-security-incident-recommended-actions/
https://www.kaspersky.es/about/press-releases/kaspersky-endpoint-security-cloud-protege-el-trabajo-en-remoto-y-aumenta-la-visibilidad-del-shadow-it
https://cloud.google.com/transform/spotlighting-shadow-ai-how-to-protect-against-risky-ai-practices?hl=en
https://cloud.google.com/transform/blocking-shadow-agents-wont-work-more-secure-way-forward/

Abraham Manzano

Share via
Facebook
X (Twitter)
LinkedIn
Mix
Email
Print
Copy Link
Copy link
CopyCopied