Shadow AI
¿Qué es Shadow AI?
Shadow AIUso por parte de empleados de herramientas, modelos o servicios de IA sin conocimiento ni aprobación de las funciones de seguridad, privacidad o gobernanza de la organización.
Shadow AI es el sucesor del shadow IT en la era de la IA. Empleados pegan código fuente, contratos, datos de clientes o documentos estratégicos en chatbots de consumo, instalan copilotos de navegador o extensiones IDE no autorizados, o ajustan modelos locales con datos confidenciales. Los riesgos incluyen exfiltración, pérdida de propiedad intelectual, incumplimiento normativo (RGPD, HIPAA), inyección de prompts a través de herramientas no gestionadas y salidas de modelo sin control que alimentan decisiones productivas. La mitigación combina inventario y política de IA, alternativas sancionadas (GenAI empresarial con DLP y auditoría), controles de salida y CASB, flujos en navegador aislado y formación. Los programas suelen alinearse con NIST AI RMF e ISO/IEC 42001 para integrar Shadow AI en la gobernanza.
● Ejemplos
- 01
Ingenieros pegan código propietario en un chatbot gratuito de consumo para depurarlo.
- 02
Un equipo de marketing usa un servicio de traducción con IA no verificado que almacena el texto enviado en servidores de terceros.
● Preguntas frecuentes
¿Qué es Shadow AI?
Uso por parte de empleados de herramientas, modelos o servicios de IA sin conocimiento ni aprobación de las funciones de seguridad, privacidad o gobernanza de la organización. Pertenece a la categoría de Seguridad de IA y ML en ciberseguridad.
¿Qué significa Shadow AI?
Uso por parte de empleados de herramientas, modelos o servicios de IA sin conocimiento ni aprobación de las funciones de seguridad, privacidad o gobernanza de la organización.
¿Cómo funciona Shadow AI?
Shadow AI es el sucesor del shadow IT en la era de la IA. Empleados pegan código fuente, contratos, datos de clientes o documentos estratégicos en chatbots de consumo, instalan copilotos de navegador o extensiones IDE no autorizados, o ajustan modelos locales con datos confidenciales. Los riesgos incluyen exfiltración, pérdida de propiedad intelectual, incumplimiento normativo (RGPD, HIPAA), inyección de prompts a través de herramientas no gestionadas y salidas de modelo sin control que alimentan decisiones productivas. La mitigación combina inventario y política de IA, alternativas sancionadas (GenAI empresarial con DLP y auditoría), controles de salida y CASB, flujos en navegador aislado y formación. Los programas suelen alinearse con NIST AI RMF e ISO/IEC 42001 para integrar Shadow AI en la gobernanza.
¿Cómo defenderse de Shadow AI?
Las defensas contra Shadow AI combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Shadow AI?
Nombres alternativos comunes: IA no autorizada, BYOAI.
● Términos relacionados
- ai-security№ 027
Gobernanza de IA
Conjunto de políticas, procesos, roles y controles con los que organizaciones y reguladores garantizan que los sistemas de IA se desarrollan, despliegan y operan de forma responsable y legal.
- ai-security№ 025
Lista de materiales de IA (AIBOM)
Inventario legible por máquina de cada componente que entra en un sistema de IA —datasets, modelos base, datos de fine-tuning, librerías, prompts y artefactos de evaluación— usado para seguridad, cumplimiento y rendición de cuentas.
- ai-security№ 034
Riesgo de cadena de suministro de IA
Conjunto de amenazas derivadas de los datasets, modelos base, librerías, plug-ins e infraestructuras de terceros que las organizaciones combinan para construir y desplegar sistemas de IA.
- cloud-security№ 148
CASB (Cloud Access Security Broker)
Punto de aplicación de políticas situado entre los usuarios y las aplicaciones cloud/SaaS para garantizar visibilidad, protección de datos y controles contra amenazas.
- ai-security№ 281
Envenenamiento de datos
Ataque a un sistema de aprendizaje automático en el que el adversario inyecta, altera o reetiqueta datos de entrenamiento para que el modelo se comporte de forma incorrecta o contenga puertas traseras ocultas.
- ai-security№ 029
Respuesta a incidentes de IA
Conjunto de procesos, roles y playbooks que una organización utiliza para detectar, contener, investigar, comunicar y recuperarse de incidentes relacionados con sistemas de IA.