En estos últimos años, muchas organizaciones se han visto afectadas por el uso extendido de herramientas no autorizadas por parte de sus empleados, lo que se conoce como Shadow IT.
“Lo preocupante no es solo que se usen herramientas no autorizadas, sino que muchas veces se comparten datos sensibles o credenciales sin los mínimos requisitos de seguridad. Al volver de vacaciones, estas soluciones siguen activas, pero nadie las controla”, explica Francisco Valencia, director general de Secure&IT, empresa experta en seguridad de la información.
Según diversos estudios, en este año 2025 más del 80 % de los trabajadores utilizará aplicaciones fuera del control del departamento de TI. Algunas de ellas plataformas de almacenamiento en la nube, aplicaciones de mensajería o soluciones de colaboración, entre otras. Estas aplicaciones se instalan durante las vacaciones para facilitar el trabajo remoto, pero se mantienen en uso a la vuelta de vacaciones, sin visibilidad ni aprobación oficial.
El enemigo silencioso: ¿qué es el Shadow IT?
Shadow IT es todo aquel software, servicio o dispositivo digital que se utiliza dentro de una organización sin el conocimiento ni la aprobación del área de tecnología. Aunque en muchos casos su uso responde a una necesidad práctica, como facilitar el trabajo remoto o la colaboración rápida, lo cierto es que supone un riesgo significativo para la seguridad y el cumplimiento normativo.
Durante la época del verano, cuando el teletrabajo aumenta, esta práctica también se intensifica. Empleados que trabajan desde sus casas o desde su lugar de vacaciones, recurren a cuentas personales para gestionar documentación corporativa, instalan herramientas externas sin validación de seguridad, o comparten archivos sensibles a través de nubes públicas, entre otras cosas.
“El problema se incrementa cuando los empleados se reincorporan en septiembre y esas soluciones siguen activas, operando fuera del perímetro de control de la organización, sin el conocimiento del propio empleado ni tampoco de la empresa”, apunta Valencia.
Los datos demuestran el alcance real del fenómeno Shadow IT, y es que, en este año 2025, más del 80 % de los empleados ha utilizado alguna herramienta no autorizada en el entorno laboral. De hecho, Gartner estima que, entre el 30 % y el 40 % del gasto en tecnología de grandes empresas corresponde a este tipo de soluciones fuera del radar del departamento de TI.
El impacto va más allá de lo económico, puesto que algunos fabricantes aseguran que el 65 % de las organizaciones que utilizan Shadow IT han sufrido fugas de datos directamente relacionadas con estas prácticas. Y, para 2027, se estima que este porcentaje aumente, y es que se prevé que, el 75 % de los trabajadores, continuará utilizando servicios digitales no gestionados por su área técnica, lo que confirma una tendencia ascendente que requiere respuesta urgente.
Riesgos reales del Shadow IT y recomendaciones
El uso de aplicaciones y plataformas no autorizadas implica una pérdida de control por parte del departamento de seguridad. La confidencialidad de los datos se ve comprometida al estar alojados en servicios sin garantías ni contratos adecuados.
Además, se dificulta enormemente el cumplimiento de normativas como el Reglamento General de Protección de Datos (RGPD) o el Esquema Nacional de Seguridad (ENS), puesto que las organizaciones no pueden garantizar el tratamiento adecuado de la información cuando esta escapa a su control.
“En caso de incidente, la situación se agrava. Si una brecha de seguridad ocurre en una plataforma no registrada, puede pasar desapercibida durante semanas, llegando a complicar la respuesta, el análisis forense y la notificación legal de las compañías”, asegura Francisco Valencia.
Conscientes de este escenario, se recomienda que las empresas aprovechen el regreso de las vacaciones para detectar, regular y reducir el Shadow IT. Para ello, es clave iniciar un ejercicio de revisión interna que incluya el inventario de herramientas utilizadas por los distintos departamentos, especialmente durante el verano; una auditoría de los flujos de datos; y un control de los dispositivos conectados a la red corporativa.
“Desde Secure&IT, también aconsejamos reforzar las campañas de concienciación entre el personal y establecer mecanismos de monitorización continua, como herramientas de descubrimiento de aplicaciones (CASB) o sistemas de protección de datos (DLP), que permitan recuperar la visibilidad y asegurar que todos los procesos digitales cumplen con los requisitos de seguridad establecidos”, concluye Valencia.