En este momento, en tu empresa, hay gente usando herramientas de trabajo que TI no aprobó, no conoce y no controla: un Dropbox personal para compartir un archivo pesado, un ChatGPT donde alguien pega información de un cliente, un SaaS que un área contrató con la tarjeta corporativa sin avisar. Eso es shadow IT —la TI en la sombra—, y no es un problema de gente rebelde: es un síntoma, y uno que conviene entender antes de combatir.
Por qué nace (no es maldad, es fricción)
El shadow IT casi nunca surge de mala intención; surge de la fricción. Cuando TI es lento para dar una herramienta, o dice "no" a todo, o la solución oficial es incómoda, la gente hace lo que hace cualquier humano que quiere terminar su trabajo: resuelve por su cuenta. Alguien necesita compartir un archivo grande hoy y el correo no lo deja, así que abre un Dropbox. Alguien quiere resumir un documento y usa la IA que tiene a mano. Vista así, cada instancia de shadow IT es también una pista de dónde la TI oficial se está quedando corta.
Los riesgos, sin dramatizar y sin minimizar
Que nazca de buena fe no lo hace inofensivo. Los datos de la empresa terminan en cuentas personales que TI no puede controlar ni respaldar, fuera de cualquier política. Se abre superficie de ataque con servicios que nadie evaluó ni asegura. Se crean problemas de cumplimiento cuando información regulada vive donde no debe. Y como vimos en la IA generativa y los datos de empresa, el shadow IT moderno incluye pegar información sensible en herramientas de IA públicas. Es, en el fondo, la misma fuga de datos del empleado bienintencionado: nadie quiso hacer daño, y el daño puede ocurrir igual.
La respuesta madura: descubrir, ofrecer, educar (no solo prohibir)
El reflejo de "prohibir y bloquear todo" es tentador y contraproducente: empuja el shadow IT más a la sombra, donde no lo ves. La respuesta que funciona tiene tres partes. Descubrir: saber qué se usa realmente —herramientas de visibilidad, revisión de gastos, conversación honesta—. Ofrecer alternativas sancionadas: si la gente usa Dropbox personal, dale un servicio oficial igual de cómodo; si usan IA pública, ofréceles una vía segura. La mayoría del shadow IT desaparece cuando la opción oficial deja de ser peor que la clandestina. Y educar: explicar el porqué del riesgo, no solo el "no". Combinado con controles como el DLP donde haga falta, esto convierte el problema en información útil.
La idea que se queda
El shadow IT no es un problema de disciplina, es un síntoma de fricción: la gente resuelve por su cuenta cuando la TI oficial se queda corta. Es real su riesgo —datos fuera de control, superficie de ataque, cumplimiento—, pero prohibir a ciegas lo empeora. Descubrir qué se usa, ofrecer alternativas cómodas y educar es lo que lo reduce de verdad, tratándolo como la pista que es. Una pieza de gobernar bien la TI —dentro o fuera de un MSP—.