En la actualidad, el riesgo por Shadow AI crece dentro del sector empresarial esto se reveló en el reporte Cloud and Threat Report 2026 de Netskope Threat Labs. Ya que, las organizaciones registran hoy un promedio de 223 violaciones de política de datos.
Los cuales están vinculados a soluciones de inteligencia artificial generativa (GenAI), esto sucede con una frecuencia mensual y así se duplicó en el último año. De hecho, el crecimiento exponencial del uso de estas herramientas desbordó la ciberseguridad.
“El problema no es que los colaboradores quieran poner en riesgo a la organización; sino que buscan ser más productivos. Así muchas empresas aún no tienen controles claros sobre el uso de la IA”, compartió Alejandro Vergara, integrador de Inteligencia Artificial en IQSEC.
De hecho, el informe reveló que el 47 % de los usuarios de IA generativa en el trabajo accede a estas herramientas, desde cuentas personales no autorizadas. Es así que, el riesgo por shadow AI se incrementa dentro de las operaciones de las organizaciones.
Otro de los datos clave del estudio, es que el 60 % de los incidentes por amenazas a nivel interno involucra aplicaciones personales en la nube. Así tanto datos regulados como propiedad intelectual, código fuente y credenciales pueden resultar afectados.
Al respecto, solo la mitad de las empresas ya implementaron alguna herramienta de prevención de pérdida de datos (DLP). Que se orientan específicamente a mitigar los riesgos de la IA generativa, así se adecuan a las nuevas necesidades de las empresas.
Se incrementa el riesgo por Shadow AI en el sector productivo
Por esto, el riesgo por Shadow AI preocupa especialmente a las áreas de seguridad y cumplimiento regulatorio dentro de las organizaciones. Así, la presión en términos de productividad lleva a los propios trabajadores a incorporar IA en sus flujos de trabajo.
Todo sin pasar por los controles de tecnología de la misma organización, lo cual crea rutas invisibles de exposición de información. De hecho, las filtraciones suceden en el momento en que se cargan los datos confidenciales en las soluciones públicas de IA.
“Sin duda, el mayor riesgo es que muchas organizaciones todavía no saben cuánta información sensible ya salió de su perímetro. Esto a través de herramientas que los propios colaboradores utilizan todos los días, lo cual representa un alto riesgo a nivel operativo”, acotó Vergara.
En los casos antes mencionados, esta información puede quedar almacenada en los registros externos, exponiendo al sector empresarial. Lo cual puede escalar a temas regulatorios y reputacionales, es por eso que el riesgo por Shadow AI aún es latente.
Tan sólo en México, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP). Obliga a garantizar el tratamiento adecuado de los datos personales y sensibles, así el uso no controlado de IA puede traducirse en sanciones.
A lo que se pueden agregar sanciones económicas significativas y afectaciones a nivel reputacional de largo plazo. Finalmente, IQSEC recomienda adoptar estrategias como monitoreo en tiempo real, filtrado automatizado con políticas claras en gobernanza.
