El shadow IT es el uso de aplicaciones, servicios cloud o dispositivos por parte de empleados sin aprobación ni conocimiento del departamento de TI. Hablamos de aplicaciones no autorizadas que se cuelan en la empresa por la puerta de atrás: el comercial que sube clientes a un Trello personal, el diseñador que comparte archivos por WeTransfer, el directivo que firma contratos con un Dropbox creado con su Gmail. Esta TI sombra mueve datos corporativos fuera del perímetro controlado, y según estimaciones de Gartner, una parte significativa del gasto tecnológico empresarial ocurre fuera del presupuesto oficial de IT. Los riesgos del shadow IT van desde fugas de información hasta sanciones por incumplir el RGPD. El problema no es la malicia: es la prisa, la frustración con herramientas corporativas lentas y la facilidad pasmosa con la que cualquiera abre una cuenta de SaaS no gestionado con un clic.
Qué es exactamente el shadow IT y por qué crece
El término shadow IT abarca cualquier hardware, software o servicio digital usado dentro de la organización sin pasar por el filtro del CIO o del responsable de sistemas. Incluye desde extensiones de Chrome instaladas a discreción hasta suscripciones SaaS pagadas con la tarjeta corporativa de un mando intermedio.
El crecimiento responde a tres fuerzas. Primera: la democratización del cloud. Cualquier empleado contrata un servicio en minutos con tarjeta de crédito. Segunda: el teletrabajo, que rompió el perímetro físico y multiplicó el uso de dispositivos personales. Tercera: la lentitud de los procesos formales de aprobación, que empujan a los equipos a buscar atajos.
Los sospechosos habituales son herramientas como Notion, Trello, Slack personal, Google Drive con cuentas privadas, ChatGPT, traductores online, conversores PDF gratuitos y mensajería instantánea no corporativa. Ninguna es maliciosa por sí misma. El problema empieza cuando salen datos sensibles por ellas.
Los riesgos reales que asumes con la TI sombra
El primer riesgo es la fuga de datos. Un documento con información de clientes subido a una cuenta personal de Google Drive viaja con el empleado cuando se va de la empresa. Sin auditoría, sin control de versiones, sin posibilidad de revocar accesos.
El segundo es el incumplimiento del RGPD. El Reglamento General de Protección de Datos exige saber dónde se procesan los datos personales, con qué proveedores y bajo qué garantías. Si la AEPD pregunta y nadie sabe que el equipo de marketing usa una herramienta americana sin Cláusulas Contractuales Tipo, la sanción puede llegar a millones de euros (hasta el 4% de la facturación global anual, según el artículo 83 del RGPD).
El tercero son los vectores de ataque ampliados. Cada SaaS no gestionado es una credencial más que puede filtrarse en una brecha. Herramientas como Have I Been Pwned revelan a diario millones de cuentas comprometidas en servicios que el empleado ni recordaba haber usado. Si reutiliza contraseñas (y lo hace), un atacante salta de ahí al correo corporativo.
El cuarto es la dependencia oculta. Cuando el empleado que montó el flujo se va, nadie sabe acceder al servicio, renovar la suscripción o exportar los datos. Hay procesos de negocio sostenidos por cuentas de Gmail personales. Es más común de lo que parece.
El quinto: malware y extensiones tóxicas. Plugins de navegador instalados sin revisión pueden capturar credenciales o inyectar código. Aprender a detectar señales de malware en el ordenador es básico cuando cada empleado tiene libertad para instalar lo que quiera.
Cómo detectar el shadow IT que ya tienes dentro
No puedes proteger lo que no ves. La detección combina técnicas de red, financieras y conversacionales.
- Análisis de logs DNS y proxy: revisar dominios consultados desde la red corporativa revela servicios cloud que nadie declaró.
- CASB (Cloud Access Security Broker): soluciones como Microsoft Defender for Cloud Apps, Netskope o Zscaler descubren aplicaciones SaaS en uso y evalúan su riesgo.
- Auditoría de gastos: cruzar facturas y notas de gasto buscando suscripciones a SaaS pagadas individualmente.
- OAuth audits: revisar qué aplicaciones de terceros tienen permisos sobre Microsoft 365 o Google Workspace. Muchas empresas se sorprenden al ver más de 200 apps conectadas.
- Entrevistas con equipos: preguntar sin acusar. La gente cuenta lo que usa si no teme represalias.
Una tabla útil para clasificar el inventario una vez detectado:
| Categoría | Ejemplo | Acción recomendada |
|---|---|---|
| Sancionada | Microsoft 365 corporativo | Mantener, monitorizar |
| Tolerada | Canva con cuenta corporativa | Formalizar contrato y SSO |
| No sancionada | Dropbox personal con datos de clientes | Migrar y cerrar |
| Prohibida | ChatGPT con datos confidenciales sin enterprise | Bloquear o sustituir por versión enterprise |
Políticas y frameworks para reducir el riesgo sin matar la productividad
Prohibir todo no funciona. Los empleados encontrarán formas de saltarse el control si las herramientas oficiales son inservibles. El enfoque sensato combina marcos reconocidos con sentido común.
El marco NIST Cybersecurity Framework 2.0 (publicado en 2024) incluye la función "Identify" donde el inventario de activos y servicios cloud es un control fundamental. La ISO/IEC 27001:2022 exige también gestión de proveedores y de activos de información, lo que en la práctica obliga a controlar el SaaS en uso.
En España, el Esquema Nacional de Seguridad (ENS) aplica a entidades del sector público y a sus proveedores. La directiva NIS2 de la UE, ya transpuesta en buena parte de los estados miembros, amplía los sujetos obligados a sectores como energía, sanidad, transporte o servicios digitales.
Pasos concretos para una política de SaaS sostenible:
- Crear un catálogo de aplicaciones aprobadas con alternativas a las herramientas populares (un buen Notion corporativo, un Figma con SSO, un repositorio de archivos cifrado).
- Implantar Single Sign-On (SSO) y MFA obligatorios. Reduce la fricción y centraliza el control.
- Establecer un proceso ágil de evaluación de nuevas herramientas: 5 días hábiles para aprobar o rechazar con criterios claros (DPA firmado, ubicación de datos, certificaciones).
- Formar al equipo. La cultura de verificar antes de hacer clic se extiende también a instalar antes de pensar.
- Vigilar las herramientas de IA generativa: muchas envían los prompts a servidores externos para entrenamiento.
Para entornos críticos, conviene recordar que sectores enteros han sufrido ya las consecuencias de descuidos similares: los ciberataques a infraestructura crítica han demostrado que un proveedor cloud comprometido puede paralizar un hospital o una eléctrica.
Herramientas útiles para visibilizar y controlar el shadow IT
El ecosistema de productos para gestionar SaaS no gestionado se ha expandido. Una selección representativa:
- Microsoft Defender for Cloud Apps: incluido en planes E5, descubre apps en uso y aplica políticas.
- Torii, Zylo, BetterCloud: SaaS Management Platforms (SMP) que cruzan facturación, SSO y uso real.
- VirusTotal: para analizar URLs y archivos sospechosos antes de permitir su uso corporativo.
- Have I Been Pwned: monitorización de credenciales corporativas filtradas.
- 1Password Business, Bitwarden Enterprise: gestores de contraseñas con auditoría de uso.
- Cloudflare Zero Trust: control de acceso a aplicaciones cloud con políticas granulares.
Si tu empresa está pensando en modernizar su stack o necesita ayuda para integrar inteligencia artificial en procesos empresariales de forma controlada, conviene plantearlo desde el principio con criterios de seguridad y gobernanza. Lo mismo aplica si la organización todavía tira de aplicaciones legacy y necesita aplicaciones móviles propias en lugar de SaaS dispersos.
Preguntas frecuentes sobre shadow IT
Es ilegal usar aplicaciones no autorizadas en el trabajo?
Depende del contrato laboral y de la política interna. Si tratas datos personales en una herramienta no autorizada, la empresa puede incumplir el RGPD y tú podrías incurrir en falta disciplinaria. La responsabilidad legal recae en el responsable del tratamiento, pero las consecuencias internas las paga el empleado.
Qué diferencia hay entre shadow IT y BYOD?
BYOD (Bring Your Own Device) es el uso de dispositivos personales para trabajar, habitualmente con políticas y software de gestión de la empresa. Shadow IT es cualquier servicio o aplicación usado sin aprobación, ya sea en dispositivo corporativo o personal. Pueden solaparse, pero no son lo mismo.
Puede mi empresa multarme por usar ChatGPT con datos del trabajo?
Sancionarte internamente sí, según convenio y reglamento interno. Multarte económicamente con cargo a una sanción AEPD es más complicado salvo dolo o negligencia grave. Lo que sí ocurre es que las empresas bloquean técnicamente el acceso a IA pública y obligan a usar versiones enterprise con garantías contractuales.
Cómo empiezo a auditar el shadow IT si soy responsable de IT en una pyme?
Empieza por dos fuentes baratas: el log de OAuth de Google Workspace o Microsoft 365 y las facturas pagadas con tarjetas corporativas en los últimos doce meses. Con eso tendrás un primer mapa razonable sin gastar en herramientas. Después puedes plantear un CASB.
Las herramientas gratuitas son siempre shadow IT peligroso?
No por gratuitas, sino por no estar evaluadas. Un servicio gratuito con DPA firmado y datos en la UE puede ser perfectamente válido. Uno de pago alojado fuera del EEE sin garantías puede ser un problema regulatorio mayor. Lo que importa es la evaluación, no el precio.
El siguiente paso
Abre la consola de administración de tu Google Workspace o Microsoft 365 ahora mismo y revisa la lista de aplicaciones de terceros con permisos OAuth sobre las cuentas corporativas. Vas a encontrar entre diez y cien apps conectadas que nadie recordaba haber autorizado. Empieza por revocar las que llevan más de seis meses sin uso. Es la acción con mejor relación esfuerzo-impacto que puedes ejecutar hoy.
