El 22 de junio de 2026, el medio especializado en banca y fintech iupana publicó un reporte donde Banco de Bogotá y STP de México ponen nombre a un fenómeno que veníamos viendo crecer en silencio: la «IA en la sombra» (shadow AI). La tesis, en criollo, es incómoda y muy de nuestra región: la adopción de inteligencia artificial en finanzas avanza más rápido que los controles corporativos, y cuando las áreas de tecnología y seguridad no responden a tiempo, los empleados terminan procesando datos sensibles en plataformas externas que nadie aprobó. No es un caso aislado: es un problema sistémico en una LATAM donde la reglamentación todavía se está construyendo.
Qué es la «IA en la sombra» y por qué no es lo mismo que el viejo shadow IT
Shadow AI es el uso de herramientas de IA generativa —ChatGPT, Claude, Gemini y compañía— por fuera de los canales autorizados de la organización, sin conocimiento ni aprobación del área de TI. Hasta acá suena al shadow IT de siempre, pero hay una diferencia clave que conviene tener clara: en el shadow IT clásico el riesgo principal era perder control sobre dónde quedaban guardados los datos. En la IA en la sombra el riesgo es otro y es peor: cada vez que alguien pega un prompt con información confidencial en un servicio no gobernado, está transfiriendo activamente esos datos a un tercero. Para un banco o una procesadora de pagos, eso significa que datos de clientes, código propietario o estados financieros no públicos pueden salir del perímetro corporativo con un copy-paste.
El dato que asusta: 69% de los líderes ya lo sospechan
iupana cita una encuesta de Gartner de 2025 según la cual el 69% de los líderes de ciberseguridad sospechan o tienen evidencia de que sus empleados usan herramientas públicas de IA no autorizadas. No es paranoia de CISO: en otro relevamiento de febrero de este año, el medio mexicano Expansión reportó que cerca del 29% de las herramientas de IA que se usan dentro de las organizaciones no están autorizadas —tres de cada diez—, y que mientras el 80% de las grandes empresas ya usa agentes de IA, apenas el 47% implementó controles específicos para ellos. La brecha entre lo que se adopta y lo que se gobierna es enorme.
El ángulo LATAM: adoptamos más rápido de lo que protegemos
Acá está lo que más nos pega a los que trabajamos en la región. Los relevamientos coinciden en que Latinoamérica muestra «un mayor nivel de adopción de agentes con un menor nivel de adopción de políticas de seguridad» que otras regiones. Traducido: corremos a abrazar la IA porque la presión comercial es real —hay que entregar, hay que competir, hay que automatizar—, pero la gobernanza de datos llega tarde. Banco de Bogotá lo plantea sin vueltas en el reporte: es justamente la falta de soluciones internas la que empuja a la IA en la sombra. Cuando TI no le da al empleado una herramienta aprobada y rápida, el empleado se busca la suya. Y en una región donde la regulación de IA todavía se está cocinando, ese vacío lo termina llenando cada uno por su cuenta.
Qué deberían hacer las áreas de TI (y no es prohibir)
La respuesta que repiten los especialistas no pasa por bloquear todo, porque prohibir solo empuja el uso más a la sombra. Pasa por lo que algunos llaman gobernanza positiva: darle a la gente versiones Enterprise seguras y privadas de estas herramientas, donde los datos no se usen para entrenar modelos de terceros. Marcelo Felman, director general de Seguridad Empresarial de Microsoft para Latinoamérica, lo resumió así en la nota de Expansión: «la manera más efectiva y eficiente de reducir los riesgos es proveyendo a las personas plataformas autorizadas». A eso se suman las recetas de manual: definir explícitamente qué datos NO se pueden subir (PII, credenciales, código fuente, finanzas no públicas), aplicar principio de menor privilegio y Zero Trust sobre los agentes, mantener auditoría de qué se le pide a cada herramienta, y capacitación continua para que el empleado entienda el riesgo y no lo descubra cuando ya es tarde.
Lo que está en juego
Para los que estamos metidos en tecnología en Argentina y la región, esto no es teoría: es la pelea diaria entre el área de negocio que quiere mover rápido y el área de seguridad que quiere dormir tranquila. La IA en la sombra es el síntoma de una organización que adoptó la herramienta sin pensar la gobernanza, y en finanzas el costo de equivocarse —fuga de datos de clientes, propiedad intelectual que se va, exposición regulatoria— no se recupera. La buena noticia es que la solución está más en lo cultural y lo organizativo que en comprar una caja mágica. En tu empresa, ¿TI te da una herramienta de IA aprobada y rápida, o terminás usando la tuya porque la oficial no existe o es un trámite? Te leemos en los comentarios.
Fuentes
- iupana — Banco de Bogotá: la IA en la sombra avanza cuando TI no responde
- Expansión — Shadow AI: 3 de cada 10 herramientas de IA en empresas no están autorizadas
- Proofpoint — Shadow AI: qué es, riesgos, gobernanza y herramientas
- Practia — Shadow AI y Shadow IT: el desafío de la gobernanza en la era de la IA
