El dato que debería preocuparte: 76% usa IA, 8% la tiene controlada
Imagina esto: tu comercial más eficaz lleva tres meses redactando los correos de prospección con ChatGPT. Le ha cogido el truco, sabe qué prompts usar, y por eso cierra más reuniones. Suena bien, ¿no?
Ahora imagina lo que no ves. En uno de esos correos incluyó sin querer la estructura de descuentos que solo tus clientes VIP conocen. Otro día copió el historial completo de un cliente para que la IA le resumiera los puntos clave antes de una reunión. Datos reales, nombres reales, condiciones reales, todo pegado en un chat público.
Eso es Shadow IA. Y según el informe de Wolters Kluwer y BBVA Research (2026), no es un caso raro: es la realidad del 76% de las pymes españolas cuyo equipo usa IA semanalmente, frente al escaso 8% que la tiene implementada con un sistema corporativo real.
Esa brecha del 68% no es una anécdota estadística. Es la distancia entre tener empleados productivos que usan prompts en su tiempo libre y tener una empresa que opera con IA de forma segura, trazable y legal.
Qué es exactamente la Shadow IA (y qué no es)
El término viene del shadow IT de toda la vida: cuando los empleados empiezan a usar software sin pasar por el departamento de informática. Con IA el problema escala, porque herramientas como ChatGPT, Gemini o Claude están a un clic de distancia, son gratis y no necesitas instalar nada.
Shadow IA es:
- El comercial que pega condiciones comerciales de clientes en ChatGPT para que le redacte un correo
- La persona de RR.HH. que sube un CV a una herramienta online externa para obtener un resumen antes de pasar el perfil al equipo
- El de marketing que conecta el formulario de la web con una hoja de cálculo en Make o Zapier sin avisar a TI
- Quien monta un bot de WhatsApp con una herramienta gratuita para responder clientes usando el teléfono o la cuenta personal
Shadow IA no es: uso deliberado de malware, empleados que actúan con mala fe o espionaje industrial. En la gran mayoría de los casos hablamos de personas que quieren ser más productivas y que han encontrado una herramienta que les funciona. El problema no es la intención: es que nadie les ha dicho qué pueden hacer, qué no, y con qué herramientas.
"El riesgo no es que tus empleados usen IA. El riesgo es que la usen sin saber qué datos salen de la organización, quién puede acceder a ellos, y qué pasa si la herramienta falla o el empleado deja la empresa."
— TIC System, informe Shadow IA 2026Tres riesgos concretos que ya están pasando
No hablo de escenarios futuros. Esto es lo que están auditando ahora mismo consultoras de ciberseguridad y asesorías de protección de datos en empresas de 5 a 50 empleados por toda España.
Fuga de datos a plataformas públicas
Cuando alguien pega datos de clientes en ChatGPT gratuito o en la versión pública de Gemini, esos datos viajan a servidores externos. La letra pequeña de muchos de estos servicios reserva al proveedor el derecho a usar los contenidos para entrenar sus modelos. Tus condiciones comerciales, tu cartera de clientes o tus estrategias de precios pueden acabar —sin que lo sepas— mejorando el modelo que potencialmente usa tu competencia. Borrar el chat no borra lo que ya se entrenó.
Según la encuesta de Sharp Europa a más de 2.500 responsables de TI, el 46% cree que sus empleados se registran en plataformas de IA sin conocimiento de la dirección. Y el 42% afirma que las utilizan sin informar a la empresa.
Procesos fantasma que dependen de una sola persona
Otro patrón habitual: alguien del equipo monta una automatización que funciona de maravilla. El problema es que la hizo con su cuenta personal, sin documentar nada y conectada a una herramienta gratuita que puede cambiar sus condiciones mañana. Si esa persona cambia de trabajo, se cae de vacaciones o simplemente se modifica una etiqueta en la API, el proceso se rompe. Y nadie sabe cómo arreglarlo.
No hablamos de TI: hablamos de quién recibe los leads, cómo se asignan las incidencias o de dónde salen los informes que usa dirección. Cuando ese "cable" se corta, el susto es real. Si tu pyme opera en el sector industrial, este riesgo se suma al de los sistemas de mantenimiento con sensores IoT que muchas fábricas empiezan a conectar sin protocolo de seguridad.
Incumplimiento del RGPD y la AI Act
Este es el que más duele: la responsabilidad legal de lo que hacen tus empleados con los datos es tuya. La AEPD es clara al respecto: si un empleado envía datos personales a una herramienta externa sin controles, la empresa es responsable. Y con el RGPD, las multas pueden llegar al 4% de la facturación anual o 20 millones de euros, lo que sea mayor.
A partir del 2 de agosto de 2026, la AI Act europea entra en fase obligatoria. Cualquier empresa que use IA deberá poder demostrar qué modelos usa, dónde se procesan los datos y cómo se audita. Si tu equipo usa ChatGPT por libre, no puedes demostrar nada de eso.
Los números de la Shadow IA en España
Fíjate en el dato que lo dice todo: el 25,6% de los responsables de TI españoles reconoce no saber cuántas plataformas de IA se usan en su organización. Si no lo sabes, no lo puedes proteger. Y si no lo puedes proteger, estás expuesto.
Por qué prohibir la IA es la peor estrategia
Lo primero que hacen algunas empresas al enterarse es bloquear ChatGPT en la red, prohibir el uso de IA y amenazar con sanciones. Error.
La prohibición total tiene dos efectos. Uno: los empleados que usaban IA para tareas inofensivas (resumir actas, traducir textos, preparar reuniones) pierden una herramienta que los hacía más productivos. Y dos: quienes sí dependen de ella para trabajar rápido —tu mejor comercial, tu diseñador, tu responsable de marketing— simplemente la seguirán usando, pero de forma aún más oculta.
Ya pasó con el shadow IT en pymes: las empresas que prohibieron Gmail acabaron con empleados usando el email personal en el móvil corporativo, igual de expuestos pero sin control ni visibilidad.
La solución no es prohibir, es ofrecer un camino mejor. Una herramienta corporativa donde los datos no salgan de tu control, con las mismas capacidades que ChatGPT gratuito pero con garantías legales, auditoría y gestión centralizada. Así el empleado no tieneincentivo para ir por libre, porque la vía oficial es igual de cómoda y además segura.
Plan de 90 días para cerrar el gap (sin equipo de sistemas)
Si tienes una pyme de 10 a 50 personas y crees que la Shadow IA puede ser un problema en tu empresa —spoiler: muy probablemente lo es— esto es lo que recomiendan los consultores especializados. No necesita un presupuesto de enterprise ni un departamento de TI dedicado.
Semanas 1-3: mapeo sin señalar
Antes de cambiar nada, entiende qué está pasando. Habla con los equipos: ¿qué herramientas de IA usáis, qué tareas automatizáis por vuestra cuenta, habéis conectado algo a formularios, CRMs o bases de datos? No es un interrogatorio: es un inventario. El objetivo es saber qué existe para decidir qué proteger, qué regularizar y qué dejar estar.
Más del 25% de las empresas ni siquiera sabe cuántas herramientas de IA se usan dentro. Si estás en ese grupo, lo primero es abrir los ojos.
Semanas 4-6: marco de gobierno mínimo
No necesitas un manual de 40 páginas. Con tres cosas basta para empezar:
- Lista de herramientas aprobadas: qué se puede usar para qué y con qué tipo de datos (públicos, internos, confidenciales)
- Regla de oro de datos: qué información nunca se introduce en herramienta externa (datos personales de clientes, estrategia de precios, condiciones comerciales confidenciales)
- Canal de propuestas: un espacio donde cualquier empleado pueda pedir probar una nueva herramienta o proponer una automatización, con respuesta en menos de una semana
Ese canal es clave: si la única opción es pedir permiso y esperar meses, la gente improvisará. Si hay un espacio controlado para experimentar, descubres mejoras reales y evitas que crezcan a oscuras.
Semanas 7-9: la alternativa corporativa
Una vez sabes qué necesita el equipo, ponle la herramienta que cubra esas necesidades de forma segura. Tres opciones habituales:
| Opción | Precio orientativo | Cuándo tiene sentido | Nivel técnico |
|---|---|---|---|
| ChatGPT Team | 25-30 $/usuario/mes | Empezar rápido, equipo <15 personas, datos no altamente sensibles | Bajo |
| Plataforma privada gestionada | 8.000-25.000 € setup + 600-1.500 €/mes | Pyme 20-50 personas, datos sensibles, necesidad de branding propio | Medio (con partner) |
| Self-hosted open source | Software libre + coste de infraestructura | Equipo técnico interno, compliance estricto, datos en propia infra | Alto |
Para la mayoría de las pymes que leen este artículo, la opción intermedia —plataforma privada con marca de la empresa, datos en infraestructura europea y partner que la configure— equilibra mejor coste, seguridad y velocidad. Se pone en marcha en 4-6 semanas y cubre tanto la IA generativa del día a día como la automatización de procesos internos.
Semanas 10-12: formación y métrica real
Configurar la herramienta es la mitad. La otra mitad es que el equipo la use y sepa cuándo usarla. Curso interno de 4 a 6 horas por rol: uso básico para todo el equipo, avanzado para referentes por departamento. Y una métrica que importa: al final del trimestre, el 70% del equipo la usa cada semana. Sin eso, tienes una licencia cara que no resolvió nada.
España, líder europeo en preocupación (y en exposición)
Volvamos a los datos de Sharp. El 44% de los responsables de TI españoles considera que la Shadow IA es un riesgo para su organización. La media europea se queda en el 30,8%. Somos el país más preocupado del estudio, por encima de Alemania, Francia o Italia.
No es casualidad. España tiene una alta adopción de herramientas digitales entre empleados —somos early adopters en consumo de apps y herramientas online— pero una estructura empresarial donde el 99% son pymes, con menos recursos internos de TI y menos políticas formales que una gran corporación.
El dato del 48% que reconoce necesitar orientación más clara sobre cómo adoptar y usar IA de forma segura —cinco puntos por encima de la media europea— confirma que no es un problema técnico esencialmente: es un problema de acompañamiento. Las pymes quieren hacerlo bien. Necesitan a alguien que les diga cómo.
¿Cuánta IA se usa en tu empresa sin que lo sepas?
En BigLobster ayudamos a pymes a pasar del caos de herramientas sueltas a un sistema de IA corporativo con datos seguros, procesos trazables y un equipo formado. Sin Lock-in, sin permanencia, con marca propia si la necesitas.
Audita tu Shadow IA gratis →