Shadow AI
¿Qué es Shadow AI?
Shadow AIUso por parte de empleados de herramientas, modelos o servicios de IA sin conocimiento ni aprobación de las funciones de seguridad, privacidad o gobernanza de la organización.
Shadow AI es el sucesor del shadow IT en la era de la IA. Empleados pegan código fuente, contratos, datos de clientes o documentos estratégicos en chatbots de consumo, instalan copilotos de navegador o extensiones IDE no autorizados, o ajustan modelos locales con datos confidenciales. Los riesgos incluyen exfiltración, pérdida de propiedad intelectual, incumplimiento normativo (RGPD, HIPAA), inyección de prompts a través de herramientas no gestionadas y salidas de modelo sin control que alimentan decisiones productivas. La mitigación combina inventario y política de IA, alternativas sancionadas (GenAI empresarial con DLP y auditoría), controles de salida y CASB, flujos en navegador aislado y formación. Los programas suelen alinearse con NIST AI RMF e ISO/IEC 42001 para integrar Shadow AI en la gobernanza.
● Ejemplos
- 01
Ingenieros pegan código propietario en un chatbot gratuito de consumo para depurarlo.
- 02
Un equipo de marketing usa un servicio de traducción con IA no verificado que almacena el texto enviado en servidores de terceros.
● Preguntas frecuentes
¿Qué es Shadow AI?
Uso por parte de empleados de herramientas, modelos o servicios de IA sin conocimiento ni aprobación de las funciones de seguridad, privacidad o gobernanza de la organización. Pertenece a la categoría de Seguridad de IA y ML en ciberseguridad.
¿Qué significa Shadow AI?
Uso por parte de empleados de herramientas, modelos o servicios de IA sin conocimiento ni aprobación de las funciones de seguridad, privacidad o gobernanza de la organización.
¿Cómo defenderse de Shadow AI?
Las defensas contra Shadow AI combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Shadow AI?
Nombres alternativos comunes: IA no autorizada, BYOAI.