Se ha identificado un incremento significativo en la adopción no autorizada de herramientas de Inteligencia Artificial generativa dentro de entornos corporativos, fenómeno conocido como Shadow AI, el cual representa una evolución del tradicional Shadow IT. Este riesgo aparece cuando colaboradores utilizan plataformas como ChatGPT, Gemini, Claude, DeepSeek y servicios similares sin aprobación ni control, lo que puede generar la exposición inadvertida de información interna, confidencial y regulada hacia sistemas externos sin supervisión, trazabilidad ni garantías de protección.
Estudios recientes revelan que el 78% de los usuarios de IA emplean herramientas no autorizadas y el 60% de los líderes de TI reconoce no contar con un plan formal para su regulación, creando un punto ciego crítico en la seguridad organizacional.
La materialización de este riesgo se evidenció durante el incidente de DeepSeek en enero de 2025, donde una base de datos pública sin autenticación permitió la exposición de más de un millón de registros, incluidos historiales de chat y claves API, demostrando las consecuencias reales de un uso no controlado y motivando a priorizar medidas preventivas y de gobierno sobre IA en el entorno corporativo.
