Shadow AI en la empresa: cómo inventariar las herramientas de IA no declaradas.
Empleados utilizan ChatGPT, Gemini u otras herramientas de IA sin notificarlo al DSI o al DPO. Este fenómeno, conocido como shadow AI, compromete el cumplimiento del Reglamento de IA y expone a la empresa a riesgos legales y operativos.
¿Qué es el shadow AI?
El shadow AI se refiere al uso de herramientas de inteligencia artificial por parte de los empleados sin validación ni supervisión del DSI o del DPO.
Estas herramientas incluyen chatbots como ChatGPT, asistentes de redacción, generadores de imágenes o soluciones de código como GitHub Copilot. Suelen ser accesibles en pocos clics, mediante cuentas personales o versiones freemium. Según diversos estudios, entre el 41% y el 78% de las empresas se ven afectadas, con una mayor prevalencia en las grandes organizaciones.
El shadow AI no es un fenómeno marginal. Refleja una tendencia más amplia: la adopción rápida de tecnologías por parte de los departamentos, al margen de los canales tradicionales de TI. Esta práctica plantea desafíos importantes para la gobernanza de datos y el cumplimiento normativo.
¿Por qué prolifera el shadow AI?
Tres factores explican el crecimiento del shadow AI: la accesibilidad de las herramientas, la presión por la productividad y la falta de soluciones alternativas oficiales.
Las herramientas de IA para el público general están diseñadas para una adopción inmediata. Con solo una dirección de correo electrónico es posible crear una cuenta y empezar a utilizar servicios como ChatGPT o Gemini. Las versiones freemium, sin compromiso financiero, reducen aún más las barreras de entrada.
La presión por la productividad impulsa a los empleados a buscar soluciones rápidas. En un contexto de alta carga de trabajo, la IA aparece como un medio para ganar tiempo, ya sea para redactar un correo, analizar datos o generar código. Los departamentos, a menudo más avanzados que los servicios de TI, adoptan estas herramientas sin esperar las validaciones internas.
Por último, la falta de soluciones alternativas oficiales fomenta el shadow AI. Si la empresa no ofrece herramientas de IA aprobadas y fáciles de usar, los empleados recurren a soluciones externas. Este fenómeno es especialmente marcado en sectores donde las necesidades de IA son emergentes, como el jurídico o la comunicación.
Riesgos concretos bajo el Reglamento de IA
El shadow AI compromete la capacidad de la empresa para cumplir con el Reglamento de IA y la expone a riesgos legales, operativos y reputacionales.
El Reglamento de IA impone obligaciones estrictas para los sistemas de IA, especialmente en materia de transparencia, documentación y supervisión. Una herramienta no declarada no puede ser evaluada, documentada ni auditada. Por ejemplo, el artículo 26(6) exige un registro y logs para los sistemas de alto riesgo. Es imposible cumplir con esta obligación si el sistema no está identificado.
Los riesgos operativos son igualmente preocupantes. Las herramientas de IA para el público general no están diseñadas para un uso profesional. Pueden procesar datos sensibles, como información de clientes o secretos industriales, sin garantía de confidencialidad. Los prompts enviados a APIs externas pueden contener datos personales, exponiendo a la empresa a violaciones del RGPD.
Por último, el shadow AI introduce sesgos no documentados en los procesos empresariales. Una herramienta de generación de texto o análisis de datos puede producir resultados sesgados sin que la empresa sea consciente. Estos sesgos pueden tener consecuencias legales, especialmente en áreas como la contratación o la evaluación de riesgos.
Método de inventario en 5 pasos
Identificar las herramientas de IA no declaradas requiere un enfoque estructurado que combine investigación colaborativa y análisis técnico.
A continuación, se presenta un método en 5 pasos para realizar un inventario completo:
Encuesta a los empleados
Enviar un cuestionario anónimo para identificar las herramientas utilizadas. Incluir preguntas sencillas: "¿Qué herramientas de IA utiliza en su trabajo?", "¿Para qué tareas?", "¿Ha creado una cuenta personal para acceder a ellas?".
Análisis de gastos de TI
Revisar los extractos de tarjetas profesionales y facturas para identificar suscripciones a herramientas de IA. Las versiones de pago de ChatGPT, Midjourney u otros servicios suelen ser adquiridas directamente por los departamentos.
Escaneo de la red y logs
Utilizar herramientas de monitorización para detectar conexiones a APIs o servicios de IA. Los logs de firewalls y proxys pueden revelar usos no declarados, especialmente hacia endpoints como api.openai.com.
Entrevistas con los departamentos
Organizar talleres con los equipos para comprender sus necesidades y usos. Estos intercambios permiten identificar herramientas desconocidas para el DSI y recopilar opiniones sobre su eficacia.
Formulario de declaración voluntaria
Establecer un canal sencillo para que los empleados declaren sus usos de IA. Este formulario debe ser accesible, sin juicios, y acompañado de una comunicación clara sobre los objetivos.
Modelo de formulario de declaración de herramienta de IA
Un formulario sencillo y accesible fomenta que los empleados declaren sus usos de IA sin temor.
A continuación, se presenta un modelo de formulario que puedes adaptar y desplegar en tu empresa:
Formulario de declaración de herramienta de IA
Objetivo: Identificar las herramientas de IA utilizadas en la empresa para garantizar su cumplimiento y proteger los datos.
Instrucciones: Completa este formulario para cada herramienta de IA que utilices en el marco de tu trabajo. Tus respuestas serán confidenciales.
Este formulario puede desplegarse mediante herramientas como Google Forms, Microsoft Forms o soluciones internas. Lo importante es que sea accesible y que la comunicación sobre su objetivo sea clara: proteger los usos de IA, no sancionar a los empleados.
Zanahoria o palo: ¿qué enfoque adoptar?
Prohibir el shadow AI sin ofrecer alternativas es ineficaz. Un enfoque equilibrado combina sensibilización, soluciones oficiales y un marco claro.
Preguntas frecuentes
¿Cuáles son las herramientas de IA más utilizadas en shadow AI?
Las herramientas más utilizadas en shadow AI son los chatbots como ChatGPT y Gemini, los asistentes de redacción y las soluciones de generación de código como GitHub Copilot. Estos herramientas son populares por su accesibilidad y su eficacia percibida para tareas cotidianas.
¿Cómo detectar los usos de shadow AI en mi empresa?
Para detectar los usos de shadow AI, combina varios métodos: encuesta anónima a los empleados, análisis de gastos de TI para identificar suscripciones a herramientas de IA, escaneo de logs de red para detectar conexiones a APIs externas, y entrevistas con los departamentos para entender sus necesidades y usos.
¿Cuáles son los riesgos legales del shadow AI bajo el Reglamento de IA?
El shadow AI expone a la empresa a varios riesgos legales bajo el Reglamento de IA. Una herramienta no declarada no puede ser documentada, auditada ni supervisada, lo que incumple las obligaciones de transparencia y registro. Además, el uso de herramientas de IA para el público general puede provocar fugas de datos sensibles, violando el RGPD.
¿Cómo sensibilizar a los empleados sobre los riesgos del shadow AI?
Para sensibilizar a los empleados, organiza formaciones sobre los riesgos del shadow AI y las buenas prácticas. Explica las obligaciones del Reglamento de IA, como la necesidad de declarar las herramientas utilizadas. Ofrece alternativas oficiales y seguras, y establece un canal de declaración sencillo y confidencial.
¿Qué es una Política de Uso Aceptable para la IA?
Una Política de Uso Aceptable para la IA es un documento que define las reglas de uso de las herramientas de IA en la empresa. Especifica qué herramientas están permitidas o prohibidas, qué tipos de datos pueden procesarse y los procedimientos de declaración y aprobación. Esta política suele ir acompañada de una formación en alfabetización de IA.
¿Cómo crear un catálogo de herramientas de IA aprobadas?
Para crear un catálogo de herramientas de IA aprobadas, identifica primero las necesidades de los departamentos mediante entrevistas o encuestas. Evalúa luego las herramientas disponibles en el mercado según criterios de cumplimiento, seguridad y eficacia. Selecciona soluciones como Microsoft 365 Copilot o GitHub Copilot Enterprise, que ofrecen garantías de cumplimiento. Comunica claramente este catálogo y forma a los empleados en su uso.
¿Cuáles son las alternativas a las herramientas de IA para el público general?
Las alternativas a las herramientas de IA para el público general incluyen soluciones profesionales como Microsoft 365 Copilot, GitHub Copilot Enterprise o herramientas especializadas para sectores específicos. Estas soluciones ofrecen garantías de cumplimiento, seguridad y confidencialidad, al tiempo que satisfacen las necesidades de los empleados.