Shadow AI: Riesgo emergente y habilitación

Héctor Calderazzi

doi:10.29236/sistemas.n177a2

Héctor Calderazzi

DOI: https://doi.org/10.29236/sistemas.n177a2

Palabras clave: IA Generativa, Shadow AI, Gobierno de la IA, Riesgo Tecnológico, Habilitación de Negocio, CASB

Resumen

La Inteligencia Artificial Generativa ha emergido como un catalizador de cambio, entregando agilidad al negocio, pero planteando un desafío fundamental: gobernarla con propósito y confianza. Esta democratización impulsa a los usuarios a convertirse en desarrolladores, lo que genera la Shadow AI (TI en la Sombra), donde las soluciones se implementan fuera del marco de gobernanza por la necesidad de velocidad. El artículo examina la Shadow AI de forma constructiva, argumentando que la respuesta no es prohibir, sino habilitar. Se revisan lecciones históricas de riesgos (ej. hojas de cálculo) para justificar la necesidad de un enfoque proactivo de la función de Riesgos, que debe actuar como facilitador seguro, según el Dominio 2 (ISACA CRISC, 2024), superando actitudes conservadoras que imponen controles desalineados con el costo/beneficio. Se destaca la importancia de integrar a los desarrolladores en el proceso de seguridad, mientras sus roles se transforman de la codificación rutinaria hacia la gestión de infraestructura de IA y la arquitectura de prompts, requiriendo recapacitación. Se concluye que la IAdebe ser un facilitador del negocio, requiriendo un paraguas de gobierno centralizado para canalizar la innovación de la sombra hacia una adopción estratégica y segura. Herramientas como el CASB (Cloud Access Security Broker) son esenciales para lograr la visibilidad y el control efectivo en entornos cloud.

Citas

Chopra, A., Bhattacharya, S., Salvador, D., Paul, A., Wright, T., Garg, A., Ahmad, F., Schwarze, A. C., Raskar, R., & Balaprakash, P. (2025). The Iceberg Index: Measuring Workforce Exposure Across the AI Economy. arXiv. https://arxiv.org/abs/2510.25137

European Spreadsheet Risks Interest Group (EUSPRIG). (s.f.). Investigación sobre errores en hojas de cálculo y sus consecuencias. https://eusprig.org/research-info/horror-stories/

Gartner. (2025). Definition: Cloud Access Security Broker (CASB). https://www.gartner.com/en/information-technology/glossary/cloud-access-security-brokers-casbs

IBM. (s.f.). What Is Shadow IT? https://www.ibm.com/think/topics/shadow-it#:~:text=Shadow%20IT%20is%20any%20software,department's%20approval%2C%20knowledge%20or%20oversight

ISACA CRISC. (2024). CRISC Review Manual (7th ed.).

ISACA Emerging Technology. (2024). Understanding the EU AI Act: Requirements and Next Steps. https://www.compliancehub.wiki/content/files/2024/10/ISACA_Understanding_EU-AI-Act.pdf

Kos'myna, N. (2025). Your Brain on ChatGPT: Accumulation of Cognitive Debt when Using an AI Assistant for Essay Writing Task. MIT Media Lab. https://www.media.mit.edu/publications/your-brain-on-chatgpt/

Moyle, E. (2023). Digital Trust and Adopting Generative AI. ISACA Journal, 5. https://www.isaca.org/resources/isaca-journal/issues/2023/volume-5/digital-trust-and-adopting-generative-ai

Rajasekharan KR, CISM, CDPSE, PMP. (2025). From Shadow IT to Shadow AI: Navigating the New Frontier of Enterprise Risk. ISACA Newsletters, 19. ISACA. https://www.isaca.org/resources/news-and-trends/newsletters/at-isaca/2025/volume-19/from-shadow-it-to-shadow-ai-navigating-the-new-frontier-of-enterprise-risk

Ramachandran, R. (2025). Safeguarding the Future: Strategies for Protecting Generative AI, LLMs, and Agentic AI. ISACA. https://www.isaca.org/resources/news-and-trends/isaca-now-blog/2025/safeguarding-the-future-strategies-for-protecting-generative-ai-llms-and-agentic-ai

Reed, C., Wang, Y., & Dutta, A. (2010). Achieving Data Warehouse Nirvana. ISACA Journal, 4. https://www.isaca.org/-/media/files/isacadp/project/isaca/articles/journal/archives/journal-volume-4-2010.pdf

Rodríguez, I., C.P. (Auditor y Consultor, Diplomado en Alta Gerencia de Seguros, Especialista en Dirección Financiera y Desarrollo Organizacional). (2019). Las hojas de cálculo y los riesgos para el Auditor. Auditool. https://www.auditool.org/blog/auditoria-externa/las-hojas-de-calculo-y-los-riesgos-para-el-auditor

Tsang, B., Ward, S., Zhang, L., & Storey, M. (2022). Our Approach Managing Risk of End User Computing (EUC). KPMG International. https://assets.kpmg.com/content/dam/kpmgsites/uk/pdf/2022/10/kpmg-euc-proposition-sep-2022.pdf