AI Governance

La IA en la sombra te expondrá

El uso habitual de IA en dispositivos corporativos se triplicó hasta el 45 por ciento del personal. El EDPS la llamó un punto ciego de cumplimiento. Aquí está la solución.

Por Leon Soliman · 2026-06-25 · 3 min de lectura

Puntos clave

En un solo año, el uso habitual de IA en dispositivos corporativos se triplicó del 15 al 45 por ciento de los empleados, y la mayor parte circula por cuentas personales que no puedes ver ni gobernar.
El 15 de junio de 2026 el Supervisor Europeo de Protección de Datos calificó la IA en la sombra como un punto ciego regulatorio, no como una molestia de TI, porque los datos introducidos en herramientas no aprobadas carecen de base lícita para su tratamiento.
El código fuente es el tipo de dato que más se filtra hacia los servicios públicos de IA, lo que significa que tu propiedad intelectual entra en silencio en la canalización de entrenamiento de otro.
La solución que respaldó el regulador es la gobernanza y una herramienta segura autorizada, no una prohibición, porque prohibir solo empuja la misma conducta más lejos de tu vista.

El riesgo que aprobaste no es el que corres

La mayoría de los consejos todavía imagina el riesgo de la IA como una decisión que toman: qué modelo licenciar, en qué proveedor confiar, qué contrato firmar. Esa imagen ya es errónea. La exposición que más importa es la que nadie aprobó. El Informe de Investigaciones de Brechas de Datos 2026 de Verizon descubrió que el uso habitual de IA en dispositivos corporativos se triplicó en doce meses, del 15 al 45 por ciento de los empleados, y que dos tercios de esas personas llegan a las herramientas a través de cuentas personales que quedan por completo fuera del control corporativo.

Esto es la IA en la sombra: software capaz que se adopta más rápido de lo que cualquier política puede seguir. Es ya la tercera acción interna no maliciosa más común que marcan los sistemas de prevención de pérdida de datos, un salto de cuatro veces en un solo año. Quienes lo hacen no son descuidados. Son empleados productivos que resuelven problemas reales con la mejor herramienta que tienen delante. Por eso mismo un comunicado no lo detendrá.

Tu código fuente es lo primero que sale

Cuando el mismo informe clasificó lo que los empleados pegan de verdad en las herramientas públicas de IA, el código fuente encabezó todas las demás categorías por un amplio margen, por delante de las imágenes y los datos estructurados. La forma cruda de leer ese hallazgo es esta: código fuente en un modelo público es propiedad intelectual en la canalización de entrenamiento de otro. Para una empresa cuya ventaja vive en su código, en su lógica de precios o en sus registros de clientes, eso no es una hipótesis. Es una transferencia diaria e invisible de los activos que te pagan por proteger.

El daño no se anuncia. No hay notificación de brecha, ni nota de rescate, ni caída dramática del servicio. Un modelo simplemente mejora un poco en reproducir aquello que creías tuyo, y un día la consulta de un competidor devuelve algo que te resulta familiar. Para entonces la pregunta no es cómo recuperar los datos. Es si puedes siquiera demostrar que salieron.

El regulador ya te dijo qué hacer

El 15 de junio de 2026 el Supervisor Europeo de Protección de Datos replanteó la IA en la sombra como un problema de cumplimiento, no como uno de soporte técnico. Los datos introducidos en herramientas no aprobadas caen en un punto ciego regulatorio: sin acuerdo sobre la base legal para su tratamiento, sin claridad sobre la conservación, sin garantía para la transferencia internacional, sin transparencia sobre si entrenan un modelo. Bajo el RGPD, un punto ciego no es una defensa. Es un hallazgo abierto que espera a un auditor.

Lo que el EDPS no recomendó es una prohibición. Dijo que la respuesta es la gestión activa: definir qué uso de IA está autorizado, clasificar los datos que nunca deben salir, aplicar controles técnicos y dar a la gente una herramienta aprobada lo bastante buena como para que dejen de recurrir a la no aprobada. La prohibición fracasa porque no cambia el incentivo. Solo mueve la misma conducta a un lugar donde ya no puedes verla.

Leer a continuación: Tu agente de IA ya puede gastar tu dinero. Lo difícil es todo lo que ocurre después. · Un tribunal acaba de dictaminar que las respuestas de tu IA son tus palabras. La responsabilidad ahora es tuya.

Preguntas frecuentes

¿Prohibir las herramientas públicas de IA es la opción más segura?

No. El Supervisor Europeo de Protección de Datos aconsejó expresamente en contra de la prohibición. Una prohibición no elimina el incentivo que impulsa la IA en la sombra; empuja los mismos datos hacia dispositivos y cuentas personales donde tienes aún menos visibilidad. La solución duradera es una herramienta segura y autorizada más reglas claras sobre qué datos nunca deben salir, para que la conducta productiva permanezca dentro de un límite que controlas.

¿Cómo sabríamos siquiera si nuestros datos se filtran por la IA en la sombra?

La mayoría de las empresas no pueden saberlo, y ese es el núcleo del problema. La visibilidad empieza con prevención de pérdida de datos ajustada a los puntos de acceso de IA, un inventario de qué servicios de IA usa de verdad el personal y una clasificación de datos clara que defina qué cuenta como sensible. Servola ayuda a las empresas a construir ese panorama y a convertirlo en una política de gobernanza exigible, en alemán e inglés.

Tu mayor exposición a la IA no es el sistema que compraste. Es el que tu equipo ya usa, cada día, sin decírtelo. Las empresas que permanezcan seguras no serán las que prohibieron la IA. Serán las que dieron a su gente una herramienta mejor y una línea clara que entendieron.

Shadow AI AI Governance Data Protection EDPS GDPR Mittelstand

Más del Servola Journal

AI Governance

Tu agente de IA ya puede gastar tu dinero. Lo difícil es todo lo que ocurre después.

2026-06-24 · 2 min de lectura

Leer el artículo →

AI Governance

Un tribunal acaba de dictaminar que las respuestas de tu IA son tus palabras. La responsabilidad ahora es tuya.

2026-06-24 · 3 min de lectura

Leer el artículo →

AI Governance

Ya existe una referencia compartida para la seguridad de la IA. Aquí está por qué llega hasta sus compras.

2026-06-24 · 2 min de lectura

Leer el artículo →

Servola

Servola ayuda a las empresas a encontrar su IA en la sombra, clasificar lo que nunca debe salir y poner en su lugar una herramienta gobernada, en alemán e inglés.

Solicitar una presentación privada Sobre Servola →

Servola es asesoría tecnológica para un reducido número de familias y family offices. Cuando una decisión no se puede delegar, nos sentamos de su lado de la mesa.

Servola Systems GmbH · Ludwigshafen, Germany · [email protected]

← Todos los artículos