{"id":1852,"date":"2026-03-13T16:21:22","date_gmt":"2026-03-13T22:21:22","guid":{"rendered":"https:\/\/hacking.onesec.mx\/?p=1852"},"modified":"2026-03-13T16:24:22","modified_gmt":"2026-03-13T22:24:22","slug":"shadow-it-y-shadow-ai-mas-alla-de-una-simple-desobediencia","status":"publish","type":"post","link":"https:\/\/hacking.onesec.mx\/index.php\/2026\/03\/shadow-it-y-shadow-ai-mas-alla-de-una-simple-desobediencia\/","title":{"rendered":"Shadow IT y Shadow AI: M\u00e1s all\u00e1 de una simple desobediencia"},"content":{"rendered":"\n

\u00bfQu\u00e9 es el Shadow IT?<\/h2>\n\n\n\n

El Shadow IT, o “TI en la sombra”, se refiere a cualquier software, aplicaci\u00f3n, dispositivo o servicio en la nube que los empleados utilizan dentro de una organizaci\u00f3n sin la aprobaci\u00f3n o el conocimiento del departamento de TI. No nace de una intenci\u00f3n maliciosa, sino del deseo leg\u00edtimo de ser m\u00e1s productivo, r\u00e1pido o de usar herramientas que resultan m\u00e1s familiares.<\/p>\n\n\n\n

\"Shadow<\/figure>\n\n\n\n

Ejemplos cotidianos de Shadow IT<\/strong><\/h3>\n\n\n\n
    \n
  • Herramientas de marketing contratadas de forma aut\u00f3noma: Un equipo de marketing que contrata una herramienta de email marketing como Mailchimp o HubSpot con una tarjeta de cr\u00e9dito corporativa para lanzar una campa\u00f1a urgente, sin pasar por los canales oficiales.<\/li>\n\n\n\n
  • Uso de cuentas personales para reuniones: Un ejecutivo que utiliza su cuenta personal de Zoom o Google Meet para reuniones confidenciales porque le resulta m\u00e1s c\u00f3modo.<\/li>\n\n\n\n
  • Instalaci\u00f3n de software no autorizado: Un empleado que descarga e instala una versi\u00f3n gratuita de una aplicaci\u00f3n de productividad en su ordenador del trabajo sin saber si cumple con las pol\u00edticas de seguridad.<\/li>\n\n\n\n
  • Dispositivos de almacenamiento personales: El uso de memorias USB o discos duros personales para almacenar y transportar informaci\u00f3n corporativa, sin cifrar y sin autorizaci\u00f3n.<\/li>\n<\/ul>\n\n\n\n

    El “Modo Avanzado”: Cuando el Conocimiento T\u00e9cnico se Vuelve un Riesgo<\/strong><\/h3>\n\n\n\n

    No todo el Shadow IT es tan visible como instalar un programa. Las personas con conocimientos t\u00e9cnicos pueden crear soluciones mucho m\u00e1s dif\u00edciles de detectar. Un ejemplo cl\u00e1sico es la configuraci\u00f3n de un proxy casero para burlar los filtros de red.<\/p>\n\n\n\n

    Imaginemos a un empleado que necesita acceder a una p\u00e1gina web bloqueada por el firewall corporativo (ya sea por productividad, para investigar un tema no relacionado con su trabajo, o incluso para conectar una herramienta personal que requiere ese acceso). Si tiene un equipo personal (como un ordenador port\u00e1til o una Raspberry Pi) en su casa o en la oficina, podr\u00eda configurarlo como un “puente” de doble cara. Este equipo tendr\u00eda dos conexiones de red:<\/p>\n\n\n\n

      \n
    1. Conexi\u00f3n A: Conectada a la red corporativa (por cable o WiFi), con una direcci\u00f3n IP interna v\u00e1lida.<\/li>\n\n\n\n
    2. Conexi\u00f3n B: Conectada a su propio router o m\u00f3dem de Internet (por ejemplo, un dispositivo de datos m\u00f3viles), con su propia IP p\u00fablica.<\/li>\n<\/ol>\n\n\n\n

      Luego, configurar\u00eda ese equipo personal como un router o proxy. De esta manera, el empleado puede configurar su ordenador del trabajo para que, en lugar de enviar el tr\u00e1fico de internet a trav\u00e9s de la red corporativa (con sus restricciones y filtros), lo env\u00ede todo al equipo personal, que a su vez lo reenv\u00eda a internet sin ning\u00fan control. Para el departamento de TI, el tr\u00e1fico de ese empleado solo muestra conexiones a la IP del equipo personal, un destino que podr\u00eda parecer inofensivo, mientras que en realidad est\u00e1 navegando sin ninguna restricci\u00f3n y, lo que es m\u00e1s grave, fuera de cualquier control de seguridad.<\/p>\n\n\n\n

      C\u00f3mo Afecta en Nuestros D\u00edas: El Salto a la “IA en la Sombra” (Shadow AI)<\/h2>\n\n\n\n

      El fen\u00f3meno del Shadow IT no solo persiste, sino que se ha multiplicado exponencialmente con la llegada de la inteligencia artificial generativa. Ahora hablamos de Shadow AI o “IA en la sombra”.
      La facilidad de acceso es la clave. Cualquier empleado puede abrir una cuenta gratuita en ChatGPT, Gemini, Claude o Copilot en cuesti\u00f3n de minutos y empezar a usarla para su trabajo diario. Este “shadow AI” es cualitativamente m\u00e1s peligroso que el Shadow IT tradicional por varias razones:<\/p>\n\n\n\n

      Fuga de informaci\u00f3n en los “prompts”<\/strong><\/p>\n\n\n\n

      El riesgo ya no es solo d\u00f3nde se almacena un archivo, sino qu\u00e9 informaci\u00f3n se introduce en estas herramientas. Los empleados, sin mala intenci\u00f3n, pueden copiar y pegar c\u00f3digo fuente confidencial, datos personales de clientes, estrategias de negocio o borradores de contratos en un chatbot p\u00fablico para que les ayude a redactar o resumir. Esa informaci\u00f3n, una vez enviada, puede ser utilizada por el proveedor de la IA para entrenar sus modelos o quedar almacenada en servidores de terceros sin las garant\u00edas de seguridad corporativas.<\/p>\n\n\n\n

      La nueva frontera: agentes aut\u00f3nomos<\/strong><\/p>\n\n\n\n

      El riesgo se intensifica con la llegada de la “IA ag\u00e9ntica”. Un empleado con conocimientos de low-code o no-code podr\u00eda crear un peque\u00f1o agente de IA aut\u00f3nomo para automatizar una tarea repetitiva. Sin embargo, si ese agente tiene permisos para acceder a sistemas internos (como una base de datos de clientes o un sistema de facturaci\u00f3n) y no est\u00e1 supervisado, podr\u00eda tomar decisiones err\u00f3neas, replicarse sin control o ser comprometido, actuando como una puerta de entrada a toda la organizaci\u00f3n sin que nadie lo sepa.<\/p>\n\n\n\n

      C\u00f3digo fuente en riesgo<\/strong><\/p>\n\n\n\n

      Especialmente en el sector tecnol\u00f3gico, es com\u00fan que los desarrolladores usen herramientas de IA para optimizar o generar c\u00f3digo. Si utilizan una herramienta no autorizada y pegan c\u00f3digo propietario para que la IA lo mejore, est\u00e1n exponiendo la propiedad intelectual de la empresa a un entorno externo y no controlado.<\/p>\n\n\n\n

      \"Shadow<\/figure>\n\n\n\n

      Ejemplos de Casos de la Vida Real<\/h2>\n\n\n\n

      Los riesgos del Shadow IT no son te\u00f3ricos; ya han tenido consecuencias graves para empresas reconocidas.<\/p>\n\n\n\n

      El caso de Okta (2023)<\/h3>\n\n\n\n

      Este es uno de los ejemplos m\u00e1s citados y esclarecedores. Un empleado de Okta, una empresa dedicada a la gesti\u00f3n de identidades y accesos, utiliz\u00f3 su cuenta personal de Google (Gmail) en un dispositivo corporativo. Un ciberdelincuente logr\u00f3 acceder a esa cuenta personal y, desde ah\u00ed, pudo robar un archivo que conten\u00eda “tokens de sesi\u00f3n” del sistema de atenci\u00f3n al cliente de Okta. Con estos tokens, el atacante pudo hacerse pasar por empleados leg\u00edtimos y acceder a los archivos de 134 clientes de la compa\u00f1\u00eda durante varios d\u00edas. El incidente dur\u00f3 20 d\u00edas antes de ser detectado y controlado.<\/p>\n\n\n\n

      \n

      Lecci\u00f3n: Un simple acto de productividad (usar una cuenta de correo personal m\u00e1s familiar) en un dispositivo del trabajo cre\u00f3 una cadena de vulnerabilidades que afect\u00f3 a m\u00e1s de un centenar de clientes.<\/p>\n<\/blockquote>\n\n\n\n

      El riesgo de los “programas caseros”<\/h3>\n\n\n\n

      Seg\u00fan informes de Kaspersky, es frecuente que los propios programadores creen peque\u00f1os programas o scripts a medida para optimizar el trabajo de su equipo o departamento. La intenci\u00f3n es buena: ser m\u00e1s eficaces. Sin embargo, si no pasan por el departamento de TI, estos programas “caseros” pueden contener vulnerabilidades de seguridad, no ser actualizados correctamente o acabar integr\u00e1ndose con sistemas cr\u00edticos de la empresa sin los debidos controles, creando un punto ciego de seguridad.<\/p>\n\n\n\n

      \n

      Lecci\u00f3n: Incluso el software hecho por empleados, si no est\u00e1 gobernado, puede ser un riesgo. No importa si la herramienta viene de un proveedor externo o se desarrolla internamente; la falta de supervisi\u00f3n es el problema com\u00fan.<\/p>\n<\/blockquote>\n\n\n\n

      C\u00f3mo Administrar y Controlar las Herramientas de los Usuarios<\/h2>\n\n\n\n

      La clave no es prohibir, sino gobernar de manera inteligente. Las empresas exitosas en la gesti\u00f3n del Shadow IT son las que entienden la necesidad de los usuarios y ofrecen alternativas seguras y \u00e1giles.<\/p>\n\n\n\n

      Estrategias pr\u00e1cticas para recuperar el control<\/strong><\/h3>\n\n\n\n

      1. Visibilidad total (Descubrimiento)<\/strong>

      No se puede controlar lo que no se ve. Es fundamental realizar inventarios peri\u00f3dicos de los activos inform\u00e1ticos y escanear la red para identificar hardware, software y servicios cloud no controlados. Esto incluye el uso de herramientas que puedan descubrir qu\u00e9 aplicaciones de IA se est\u00e1n utilizando.

      2. Di\u00e1logo y escucha activa<\/strong>

      Hay que hablar con los empleados. Preguntarles por qu\u00e9 usan ciertas herramientas. \u00bfEs porque las oficiales son lentas, poco intuitivas o no cubren una necesidad concreta? Esta retroalimentaci\u00f3n es oro para que el departamento de TI pueda mejorar sus propios servicios o crear nuevos que satisfagan esas demandas.

      3. Ofrecer un “jard\u00edn cercado” (Soluciones aprobadas)<\/strong>

      La mejor manera de luchar contra el Shadow IT es ofrecer alternativas oficiales que sean igual de buenas, o mejores. Si un empleado necesita una herramienta de IA para resumir documentos, la empresa deber\u00eda proporcionarle una versi\u00f3n corporativa y segura de una de estas herramientas, con pol\u00edticas claras sobre c\u00f3mo tratar los datos confidenciales. Si necesitan compartir archivos, ofrecer una soluci\u00f3n interna robusta y f\u00e1cil de usar. Si la herramienta oficial es buena, la tentaci\u00f3n de buscar fuera disminuye dr\u00e1sticamente.

      4. Formaci\u00f3n y concienciaci\u00f3n continua<\/strong>

      Los empleados a menudo no son conscientes de los riesgos. Usan herramientas personales creyendo que, si son de una marca conocida, ya son seguras. La formaci\u00f3n debe explicar, con ejemplos como el de Okta, que el peligro existe y que “aceptar los t\u00e9rminos y condiciones” de un servicio externo implica a menudo compartir la responsabilidad de la seguridad de los datos con un proveedor que no controlan. La formaci\u00f3n no puede ser un evento anual, sino un proceso continuo y adaptado a los nuevos riesgos, como el uso de la IA.

      5. Establecer un proceso \u00e1gil de aprobaci\u00f3n<\/strong>

      Si el proceso para solicitar una nueva herramienta es un laberinto burocr\u00e1tico de semanas, los empleados buscar\u00e1n atajos. Hay que crear un proceso r\u00e1pido y sencillo para que puedan pedir el acceso a nuevas tecnolog\u00edas, de manera que no sientan la necesidad de saltarse las reglas para hacer bien su trabajo.<\/p>\n\n\n\n

      Referencias<\/h2>\n\n\n\n

      https:\/\/www.isaca.org\/resources\/isaca-journal\/issues\/2024\/volume-6\/risk-in-the-shadows
      https:\/\/sec.okta.com\/articles\/2023\/10\/tracking-unauthorized-access-oktas-support-system\/
      https:\/\/sec.okta.com\/articles\/october-security-incident-recommended-actions\/
      https:\/\/www.kaspersky.es\/about\/press-releases\/kaspersky-endpoint-security-cloud-protege-el-trabajo-en-remoto-y-aumenta-la-visibilidad-del-shadow-it
      https:\/\/cloud.google.com\/transform\/spotlighting-shadow-ai-how-to-protect-against-risky-ai-practices?hl=en
      https:\/\/cloud.google.com\/transform\/blocking-shadow-agents-wont-work-more-secure-way-forward\/<\/p>\n","protected":false},"excerpt":{"rendered":"

      \u00bfQu\u00e9 es el Shadow IT? El Shadow IT, o “TI en la sombra”, se refiere a cualquier software, aplicaci\u00f3n, dispositivo o servicio en la nube que los empleados utilizan dentro de una organizaci\u00f3n sin la aprobaci\u00f3n o el conocimiento del departamento de TI. No nace de una intenci\u00f3n maliciosa, sino del deseo leg\u00edtimo de ser […]<\/p>\n","protected":false},"author":5,"featured_media":1857,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7,17,18,6,4,5],"tags":[],"class_list":["post-1852","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cumplimiento","category-inteligencia-artificial","category-llms","category-pentest-2","category-pentest","category-seguridad-de-la-informacion"],"_links":{"self":[{"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/posts\/1852","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/comments?post=1852"}],"version-history":[{"count":2,"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/posts\/1852\/revisions"}],"predecessor-version":[{"id":1856,"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/posts\/1852\/revisions\/1856"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/media\/1857"}],"wp:attachment":[{"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/media?parent=1852"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/categories?post=1852"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/tags?post=1852"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}