En marzo de 2025, ChatGPT se convirtió en la app más descargada del mundo. Fue la primera vez en doce años que el ranking de descargas no estaba liderado por una aplicación de redes sociales. En concreto, no pasaba desde el año 2013, cuando el juego Candy Crush lideró esta clasificación. 

Solo en aquel mes, la app registró 46 millones de descargas. Hoy, aunque no hay cifras oficiales, webs especializadas sitúan en 800 millones la cifra de usuarios activos semanales de ChatGPT, un número que ha ido creciendo exponencialmente desde su lanzamiento en noviembre de 2022. 

Hoy, la adopción masiva de esta y otras herramientas similares (Google Gemini fue la sexta app más descargada en España en septiembre de 2025) abren un abanico de posibilidades para los usuarios, en tanto y cuanto sirven de entrada a la inteligencia artificial generativa, pero también plantea serios problemas a las empresas y organizaciones. Es lo que se conoce como ‘Shadow AI’ o la IA en la sombra.

Consiste en el uso no autorizado de herramientas de IAG por parte de los empleados. Aunque las instituciones implantan políticas de seguridad para proteger sus documentos, muchos empleados instalan la app de ChatGPT (o similar) en sus móviles y lo usan a escondidas, con los riesgos que comporta. 

Según el informe Cloud and Threat Report: IA en la sombra e IA con agentes 2025 de Netskope, el 89 % de las empresas usa al menos una aplicación de IA generativa, a menudo sin aprobación formal. La misma fuente revela que el número de usuarios que interactúa con estas herramientas ha aumentado más del 50 % en los últimos meses. 

Más revelador aún es el informe del MIT State of AI in Business 2025. Aunque el 40 % de las empresas analizadas ha adquirido licencias para soluciones de IA generativa, en más del 90 % de ellas los empleados utilizan herramientas de IA con cuentas personales. 

Los hallazgos de Cisco confirman esta falta de supervisión. Su informe 2025 Cybersecurity Readiness Index destaca que el 60 % de las empresas no puede monitorizar los prompts o peticiones que hacen sus empleados en herramientas de IA generativa, y el mismo porcentaje reconoce que carece de la capacidad para detectar el uso de herramientas de IA no aprobadas en sus entornos. 

8,2 GB mensuales por empresa 

Un dato muy relevante viene aclarar la magnitud del problema. Las empresas comparten, de media, 8,2 GB de información al mes con los modelos de inteligencia artificial generativa. Nada más productivo cuando los documentos son públicos y de interés general, pero ¿qué pasa cuando se trata de documentos confidenciales que pueden poner en riesgo la privacidad o la competitividad de una compañía? 

El mayor peligro del Shadow AI radica en su falta de visibilidad y gobernanza. Cuando una herramienta de IA no autorizada accede a información sensible -como documentos estratégicos, credenciales, datos de clientes o algoritmos internos- esa información puede ser procesada en servidores externos, almacenada, compartida o incluso reutilizada para entrenamiento de modelos, dejando un rastro que la empresa ya no controla.  

Además, esta práctica incrementa exponencialmente los riesgos de filtración de datos. Herramientas sin controles corporativos no garantizan cifrado ni cumplimiento con estándares como el Reglamento General de Protección de Datos (RGPD) o las nuevas normativas europeas sobre IA (AI Act), lo que puede traducirse en sanciones millonarias y pérdida de confianza de clientes y proveedores.  

Otro problema crítico es la calidad de la toma de decisiones: los modelos de IA sin auditoría pueden producir resultados sesgados, erróneos o incompatibles con las políticas internas, afectando desde análisis financieros hasta comunicaciones públicas.  

España y el riesgo de gobernanza 

En el contexto español, el lado oscura de la IA o Shadow IA cobra especial relevancia por la combinación de una rápida adopción digital y un entorno regulatorio exigente. Muchas empresas españolas aún carecen de marcos claros para gestionar el uso de IA, creando brechas de cumplimiento y seguridad en sectores tan diversos como finanzas, salud o administración pública.  

En concreto, y según datos recogidos en el informe Inteligencia Artificial y Ciberseguridad elaborado por DigitalES y presentado el pasado mes de diciembre, solo el 5% de las organizaciones están preparadas en España para abordar la IA con seguridad. 

Los ciberataques dirigidos a modelos de IA se han multiplicado por cinco en el último año, lo que refuerza la necesidad de integrar la ciberseguridad y la gobernanza desde el diseño (security by design); el papel de la formación y la cultura organizativa como primera línea de defensa, y la importancia de contar con marcos claros, estándares y buenas prácticas para una implementación responsable. 

Además, la proximidad de marcos legislativos como el AI Act europeo hace que las empresas en España deban tener especial cuidado en documentar, auditar y supervisar cualquier herramienta basada en IA. La ausencia de estas medidas no solo incrementa el riesgo de multas por incumplimiento, sino que también puede desencadenar litigios o demandas por fuga de datos personales.  

A fin de cuentas, y esto es importante destacarlo, la ciberseguridad en IA no es solo una extensión de la seguridad tradicional: implica también cuestiones de derechos humanos, sesgos, impacto social y protección del individuo. 

Cómo combatir la Shadow IA en 2026 

Combatir el Shadow IA exige un enfoque estratégico y no puramente técnico. Entre las prácticas recomendadas por especialistas se encuentran: 

• Visibilidad y auditoría continua: establecer mecanismos automáticos para identificar cualquier herramienta de IA en uso dentro de la red corporativa.  

• Políticas de uso claras: definir qué tipos de IA están permitidos, en qué condiciones y con qué controles de seguridad.  

• Educación y concienciación: capacitar a empleados sobre los riesgos de la IA no autorizada y su impacto en la empresa.  

• Herramientas corporativas seguras: proporcionar alternativas corporativas validadas de IA con mecanismos de protección de datos y cumplimiento normativo.  

Esta IA oscura o Shadow IA no va a desaparecer por decreto. Pero si las empresas la gestionan de forma proactiva, pueden transformar este riesgo en una oportunidad para consolidar una gobernanza de IA que impulse la innovación segura y sostenible en 2026 y en todos los años que quedan por llegar.