¿Qué es Shadow IT?

Desde hace varios años, en los sistemas de información de las empresas, la aparición del fenómeno “Shadow IT” (o “IT fantasma”) es innegable.

Shadow IT hace referencia al uso de soluciones de software dentro de una organización que no han sido aprobadas oficialmente por el departamento de TI. Puede incluir aplicaciones no autorizadas, servicios cloud e incluso el uso de dispositivos personales para trabajar.

Shadow IT surge principalmente del deseo de los empleados de mejorar su productividad con herramientas digitales sencillas y modernas, saltándose a menudo los procedimientos oficiales.

Sin embargo, aunque puede mejorar la productividad individual y colectiva, también implica riesgos significativos para la organización, a menudo subestimados.

¿Cómo aparece el Shadow IT?

Si los usuarios recurren al Shadow IT suele ser porque creen que no existe una solución adecuada en el sistema de información para cubrir su necesidad.

También puede estar relacionado con la eficiencia: en su vida personal, los usuarios están acostumbrados a aplicaciones con una experiencia muy cuidada. Al volver al entorno profesional, algunas aplicaciones corporativas pueden parecer menos ergonómicas, y entonces se buscan alternativas conocidas fuera de la empresa.

• El uso de Dropbox y Google Drive se ha disparado incluso cuando la empresa ha invertido en un gestor documental centralizado: el uso suele ser más simple y existen muchas integraciones.
• ¿Por qué usar un CRM que se ha vuelto complejo por múltiples reglas cuando se puede exportar un CSV a Excel y compartirlo entre equipos?

Aun con problemas potenciales, los usuarios suelen obtener el resultado que buscan con estas herramientas, a menudo adelantándose a soluciones corporativas en términos de ergonomía, rendimiento, colaboración e integraciones.

En resumen:

1. La mejor herramienta para una necesidad no forma parte de las aplicaciones “aprobadas” por TI. Esto empuja a los usuarios a adoptar servicios adicionales para cubrir un caso de uso concreto, ganar eficiencia o colaborar mejor.
2. Los usuarios no siempre son conscientes de los riesgos de seguridad: no buscan deliberadamente saltarse controles, pero desconocen que ciertas acciones pueden comprometer datos sensibles y aumentar el riesgo de incidentes.

¿En qué formas se encuentra el Shadow IT?

Shadow IT puede presentarse en distintos formatos:

• Hojas de Excel con macros: las hojas de cálculo se multiplican rápidamente. Algunas se vuelven críticas para el equipo y, con macros o fórmulas avanzadas, se convierten en pequeñas “aplicaciones”.
• Aplicaciones SaaS: el ecosistema SaaS crece cada día. Los equipos pueden usar una tarjeta corporativa y adoptar una solución sin ayuda de TI.
• Aplicaciones nativas: dependiendo de los permisos, es posible instalar software en los equipos sin aprobación de TI.
• Proyectos sin involucrar a TI: sitios o herramientas (p. ej., Wordpress/Webflow) se despliegan rápido y luego se vuelven complejos, con intercambios de datos con otros sistemas.
• BYOD: el uso de dispositivos personales suele estar regulado, pero es tentador reutilizar aplicaciones instaladas para uso personal en contextos profesionales; la frontera es difícil de imponer.

Los riesgos del Shadow IT

A pesar de ventajas aparentes (productividad, facilidad de uso, autonomía), Shadow IT presenta riesgos. El más importante suele ser la seguridad: las herramientas utilizadas sin control no siempre están actualizadas o correctamente configuradas, lo que puede crear vulnerabilidades.

Además, puede implicar riesgos legales (p. ej., incumplimiento de licencias) y complicar la operación y el mantenimiento del sistema, aumentando costos y complejidad.

Riesgo de ciberseguridad

Al no conocerlas, TI no puede controlar el nivel de seguridad: autenticación, postura de seguridad de la aplicación o sensibilidad de los datos no se evalúan ni se integran en auditorías o en el ISMS.

Incumplimiento normativo

Las organizaciones pueden incumplir normativas sin darse cuenta. Si los empleados procesan datos sensibles con herramientas no autorizadas, pueden violarse requisitos (por ejemplo, RGPD), con posibles sanciones.

Fugas de datos

Los datos sensibles pueden verse comprometidos o robados. Los atacantes explotan errores de configuración o vulnerabilidades en servicios cloud, provocando brechas sin que TI lo detecte a tiempo. El intercambio de documentos es especialmente delicado: facilita la exfiltración y la difusión involuntaria mediante enlaces.

Falta de integración

Shadow IT queda fuera del control de TI y no se incorpora a la cartografía de aplicaciones, a la urbanización del sistema de información ni a la optimización de procesos. Las aplicaciones aparecen sin coherencia global.

Costes adicionales

Shadow IT suele generar duplicidades:

• La misma aplicación puede estar suscrita varias veces por distintos equipos.
• Para la misma necesidad se contratan dos herramientas similares (por ejemplo, Trello y Monday).

¿Cómo gestionar el Shadow IT?

Gestionar Shadow IT es un reto: un enfoque demasiado estricto puede perjudicar la productividad; uno demasiado laxo aumenta los riesgos. Algunas estrategias:

1. Conocer y comprender: identificar el alcance del Shadow IT. Soluciones de cartografía como Kabeen pueden ayudar.

   • Detección de Shadow IT: herramientas que rastrean servicios y permiten políticas (autorizar, restringir, bloquear).
   • CASB: un CASB permite proteger servicios en la nube con distintas tecnologías de seguridad.

2. Formación y comunicación: explicar claramente los riesgos e impulsar buenas prácticas.

3. Ofrecer alternativas seguras: cuando las herramientas oficiales no cubren necesidades, proponer opciones ergonómicas y seguras reduce el recurso a soluciones en la sombra.

Conclusión

En resumen, Shadow IT puede aumentar la productividad, pero presenta riesgos que es imprescindible anticipar. Un enfoque equilibrado combina una política clara, buena comunicación y alternativas seguras que respondan a las necesidades de los usuarios.

Más que un simple incumplimiento, Shadow IT suele ser una señal de que las herramientas existentes no cubren los casos de uso. En lugar de prohibirlo totalmente, suele ser mejor canalizarlo con gobernanza, visibilidad y opciones seguras.