Esta publicación se basa en la conversación de Mackenzie con Noora Ahmed-Moshe en el podcast The Secure Disclosure. Escucha el episodio completo.
Una empresa perdió un millón de dólares porque alguien que participaba en una llamada relacionada con un litigio utilizó una herramienta de transcripción basada en IA. Tal y como explica la científica conductual Noora Ahmed-Moshe en el podcast, la herramienta resumió una conversación confidencial y la envió a la parte contraria, que la utilizó para forzar un acuerdo en sus propios términos. Los expertos jurídicos advierten de que las transcripciones generadas por IA son ahora objeto habitual de las solicitudes de información en los litigios.
Los que toman notas son solo un ejemplo. Los empleados están utilizando la IA de más formas de las que sus empresas conocen, y la realidad es que se ven obligados a hacerlo. Según Ahmed-Moshe, se trata de una respuesta de miedo. «Existe una sensación generalizada de pánico a que la IA llegue y te quite el trabajo». Más del 95 % de los empleadores quieren ahora contratar a personas con conocimientos de IA. Los empleados tienen miedo de quedarse atrás en el uso de las herramientas porque están interpretando correctamente el mercado laboral.
Ese temor es lo que está impulsando la IA en la sombra. Los empleados están recurriendo a herramientas no autorizadas porque la tecnología avanza más rápido de lo que cualquier proceso de aprobación puede seguir el ritmo. Para cuando tu departamento de TI haya realizado una prueba de concepto y concedido el acceso, tus empleados ya habrán oído hablar a algún amigo de algo mejor. Cuando les proporcionas una herramienta autorizada que no se adapta a su flujo de trabajo y luego bloqueas todo lo demás, lo único que consigues es que oculten las herramientas que realmente están utilizando.
Y es precisamente al esconderse donde comienza la brecha.
El pánico es ahora tu superficie de ataque
Los estudios revelan que más de la mitad de los empleados utilizan actualmente herramientas de IA no autorizadas en el trabajo. Más de la mitad de ellos introducen datos confidenciales de la empresa en herramientas que su empresa no gestiona, no supervisa ni conoce siquiera. Esto significa que materiales confidenciales, como documentos legales, datos de clientes y estrategias internas, están acabando en modelos no verificados.
Incluso las herramientas de buena reputación que ofrecen planes gratuitos podrían estar utilizando esos datos para entrenar modelos. Una herramienta de menor reputación podría sufrir una filtración directa. Y, como señaló Ahmed-Moshe, «no creo que hayamos visto aún cómo se materializan los riesgos, porque es algo muy nuevo». El alcance del impacto sigue creciendo, y solo hemos visto los primeros indicios.
Las prohibiciones no funcionan
Es comprensible el instinto de prohibir cualquier uso no autorizado de la IA. Samsung lo hizo con ChatGPT. Un consultor de seguridad publicó en Reddit un comentario sobre un cliente que exigió lo mismo, pero luego descubrió que su director general llevaba seis meses utilizando ChatGPT en una cuenta personal para redactar presentaciones para la junta directiva.
Prohibir las herramientas de las que dependen tus empleados no hará que dejen de usarlas. Como dice Ahmed-Moshe: «Si intentas prohibir las herramientas de IA en tu organización, no veo cómo tu empresa pueda seguir teniendo éxito». Las herramientas de IA plantean riesgos de seguridad reales, pero son una parte esencial de nuestra forma de trabajar. Prohibir las herramientas de IA es como decirles a los adolescentes que no usen sus teléfonos. Simplemente lo harán donde tú no los veas.
Ya hemos pasado por esto antes. La «TI en la sombra» existe desde hace años, y el BYOD surgió cuando las empresas se dieron cuenta de que bloquear los dispositivos personales acabaría, en realidad, frenando la productividad. Necesitaban una forma de protegerlos. La «IA en la sombra» es el mismo problema, pero con mucho más en juego.
Cómo adaptar tu estrategia de seguridad para tener en cuenta la IA en la sombra
Las organizaciones que logran salvar esta brecha están eliminando las circunstancias que llevan a los empleados a querer ocultar el uso que hacen de las herramientas.
Lo que puedes hacer realmente:
- Lo primero es obtener visibilidad: comprueba qué herramientas se están utilizando antes de empezar a bloquear nada. Aikido Endpoint supervisa todos los dispositivos de los desarrolladores en busca de amenazas que se encuentran fuera de tu superficie de ataque habitual.
- Identifica las deficiencias en los flujos de trabajo: si los empleados están utilizando herramientas no autorizadas, es por algo. Averigua cuál es el motivo y soluciona el problema con una solución que realmente funcione.
- Fomentar la seguridad psicológica: el diálogo abierto es más eficaz que el castigo a la hora de cambiar comportamientos. Los equipos de seguridad que se muestran accesibles gozan de una visibilidad que las culturas cerradas nunca alcanzarán.
- Actúa con mayor rapidez que el ciclo de aprobación. El proceso de tres meses desde la prueba de concepto hasta la implementación, que funcionaba para el software empresarial, ya no es viable cuando tanto el panorama de amenazas como las herramientas cambian mes a mes.
El «Shadow AI» es la nueva forma de phishing, un problema de comportamiento humano que los controles técnicos pueden reducir, pero nunca eliminar. El pánico es la vulnerabilidad. Hay que abordar eso primero.
{{cta}}
<script type="application/ld+json">
{
"@context": "https://schema.org",
"@graph": [
{
"@type": "BlogPosting",
"@id": "https://www.aikido.dev/blog/shadow-ai-risks-start-with-fear-banning-makes-them-worse#article",
"mainEntityOfPage": {
"@type": "WebPage",
"@id": "https://www.aikido.dev/blog/shadow-ai-risks-start-with-fear-banning-makes-them-worse"
},
"headline": "Shadow AI risks start with fear, and banning makes them worse",
"description": "Employees aren't using unapproved AI tools to cause problems. They're scared of falling behind. Here's why banning shadow AI increases your security risk, and what to do instead.",
"image": {
"@type": "ImageObject",
"@id": "https://www.aikido.dev/blog/shadow-ai-risks-start-with-fear-banning-makes-them-worse#primaryimage",
"url": "https://www.aikido.dev/images/blog/shadow-ai-risks.png",
"contentUrl": "https://www.aikido.dev/images/blog/shadow-ai-risks.png",
"width": 1200,
"height": 630
},
"datePublished": "2026-05-12T00:00:00+00:00",
"dateModified": "2026-05-12T00:00:00+00:00",
"author": {
"@type": "Person",
"@id": "https://www.aikido.dev/authors/nicholas-thomson",
"name": "Nicholas Thomson",
"jobTitle": "Senior SEO & Growth Lead",
"worksFor": {
"@type": "Organization",
"name": "Aikido Security",
"url": "https://www.aikido.dev"
},
"sameAs": [
"https://www.linkedin.com/",
"https://x.com/"
]
},
"publisher": {
"@type": "Organization",
"@id": "https://www.aikido.dev#organization",
"name": "Aikido Security",
"url": "https://www.aikido.dev",
"logo": {
"@type": "ImageObject",
"url": "https://www.aikido.dev/logo.png"
}
},
"keywords": [
"shadow AI",
"shadow IT",
"AI security risks",
"unapproved AI tools",
"employee AI usage",
"AI data leakage",
"BYOD security",
"AI note-taker risks",
"security posture",
"attack surface",
"AI governance",
"insider threat",
"enterprise AI security",
"AI compliance",
"behavioral security"
],
"articleSection": "Cybersecurity",
"inLanguage": "en-US",
"timeRequired": "PT5M",
"isBasedOn": {
"@type": "PodcastEpisode",
"name": "AI Panic is Driving Shadow IT with Noora Ahmed-Moshe",
"url": "https://creators.spotify.com/pod/profile/thesecuredisclosure/episodes/AI-Panic-is-Driving-Shadow-IT-w-Noora-Ahmed-Moshe-e3ivlbo",
"partOfSeries": {
"@type": "PodcastSeries",
"name": "Secure Disclosures"
}
},
"about": [
{
"@type": "DefinedTerm",
"name": "Shadow AI",
"description": "The use of unapproved or unsanctioned AI tools by employees within an organization without the knowledge or consent of IT or security teams."
},
{
"@type": "DefinedTerm",
"name": "Shadow IT",
"description": "The use of information technology systems, software, and services without explicit organizational approval."
},
{
"@type": "Thing",
"name": "AI security risk",
"sameAs": "https://schema.org/Thing"
},
{
"@type": "Thing",
"name": "BYOD",
"description": "Bring Your Own Device — a policy allowing employees to use personal devices for work purposes."
}
],
"mentions": [
{
"@type": "Person",
"name": "Noora Ahmed-Moshe",
"jobTitle": "Behavioral Scientist",
"sameAs": "https://www.linkedin.com/in/noora-ahmed-moshe/"
},
{
"@type": "Organization",
"name": "Samsung",
"sameAs": "https://www.samsung.com"
},
{
"@type": "SoftwareApplication",
"name": "ChatGPT",
"applicationCategory": "AI Assistant",
"operatingSystem": "Web",
"sameAs": "https://chat.openai.com"
},
{
"@type": "SoftwareApplication",
"name": "Aikido Endpoint",
"applicationCategory": "Security Software",
"operatingSystem": "Web",
"url": "https://www.aikido.dev/attack/surface-monitoring-dast"
}
],
"citation": [
{
"@type": "WebPage",
"name": "Samsung bans ChatGPT and other generative AI use by staff after leak",
"url": "https://www.bloomberg.com/news/articles/2023-05-02/samsung-bans-chatgpt-and-other-generative-ai-use-by-staff-after-leak"
},
{
"@type": "WebPage",
"name": "Eavesdropping by Algorithm: Legal Risks of AI Meeting Assistants",
"url": "https://www.babstcalland.com/news-article/eavesdropping-by-algorithm-legal-risks-of-ai-meeting-assistants/"
},
{
"@type": "WebPage",
"name": "AI Job Market Report",
"url": "https://zapier.com/blog/ai-job-market-report/"
},
{
"@type": "WebPage",
"name": "Many workers are using unapproved AI tools at work",
"url": "https://www.techradar.com/pro/many-workers-are-using-unapproved-ai-tools-at-work-and-sharing-a-lot-of-private-data-they-really-shouldnt"
}
],
"speakable": {
"@type": "SpeakableSpecification",
"cssSelector": ["h1", "h2", ".article-summary"]
}
},
{
"@type": "WebPage",
"@id": "https://www.aikido.dev/blog/shadow-ai-risks-start-with-fear-banning-makes-them-worse",
"url": "https://www.aikido.dev/blog/shadow-ai-risks-start-with-fear-banning-makes-them-worse",
"name": "Shadow AI risks start with fear, and banning makes them worse",
"description": "Employees aren't using unapproved AI tools to cause problems. They're scared of falling behind. Here's why banning shadow AI increases your security risk, and what to do instead.",
"isPartOf": {
"@type": "WebSite",
"@id": "https://www.aikido.dev#website",
"url": "https://www.aikido.dev",
"name": "Aikido Security"
},
"primaryImageOfPage": {
"@id": "https://www.aikido.dev/blog/shadow-ai-risks-start-with-fear-banning-makes-them-worse#primaryimage"
},
"breadcrumb": {
"@id": "https://www.aikido.dev/blog/shadow-ai-risks-start-with-fear-banning-makes-them-worse#breadcrumb"
},
"inLanguage": "en-US"
},
{
"@type": "BreadcrumbList",
"@id": "https://www.aikido.dev/blog/shadow-ai-risks-start-with-fear-banning-makes-them-worse#breadcrumb",
"itemListElement": [
{
"@type": "ListItem",
"position": 1,
"name": "Home",
"item": "https://www.aikido.dev"
},
{
"@type": "ListItem",
"position": 2,
"name": "Blog",
"item": "https://www.aikido.dev/blog"
},
{
"@type": "ListItem",
"position": 3,
"name": "Shadow AI risks start with fear, and banning makes them worse",
"item": "https://www.aikido.dev/blog/shadow-ai-risks-start-with-fear-banning-makes-them-worse"
}
]
},
{
"@type": "Organization",
"@id": "https://www.aikido.dev#organization",
"name": "Aikido Security",
"url": "https://www.aikido.dev",
"logo": {
"@type": "ImageObject",
"url": "https://www.aikido.dev/logo.png"
},
"sameAs": [
"https://www.linkedin.com/company/aikido-security",
"https://x.com/aikido_security"
]
},
{
"@type": "FAQPage",
"mainEntity": [
{
"@type": "Question",
"name": "What is shadow AI?",
"acceptedAnswer": {
"@type": "Answer",
"text": "Shadow AI refers to the use of unapproved or unsanctioned AI tools by employees within an organization, without the knowledge or oversight of IT or security teams. It is a subset of shadow IT and poses significant data security and compliance risks."
}
},
{
"@type": "Question",
"name": "Why do employees use shadow AI?",
"acceptedAnswer": {
"@type": "Answer",
"text": "Employees use unapproved AI tools primarily out of fear of falling behind in a job market where AI skills are increasingly required. When approved tools don't fit their workflows, or approval cycles move too slowly, employees turn to tools that help them do their jobs more effectively."
}
},
{
"@type": "Question",
"name": "Why doesn't banning AI tools work?",
"acceptedAnswer": {
"@type": "Answer",
"text": "Banning AI tools forces usage underground rather than eliminating it. Employees will use personal devices or accounts to access the tools they depend on. As with BYOD, the more effective approach is to create a secure, sanctioned framework that meets employees' actual workflow needs."
}
},
{
"@type": "Question",
"name": "What are the security risks of shadow AI?",
"acceptedAnswer": {
"@type": "Answer",
"text": "Shadow AI poses multiple security risks including sensitive data being fed into unvetted models, data used to train third-party AI systems, exposure through breaches of unsecured tools, and AI-generated content such as meeting transcripts becoming discovery targets in legal proceedings."
}
},
{
"@type": "Question",
"name": "How can organizations reduce shadow AI risk?",
"acceptedAnswer": {
"@type": "Answer",
"text": "Organizations should first gain visibility into what tools are being used, understand the workflow gaps driving unsanctioned usage, create psychological safety so employees feel comfortable disclosing tool usage, and accelerate their approval cycles to keep pace with the speed of AI development."
}
}
]
}
]
}
</script>
