CIBERSEGOVIA 2X20: "El Shadow IT pone en jaque la seguridad de las empresas sin que lo sepan"

El conocido como Shadow IT o tecnología en la sombra se ha convertido en una práctica habitual en muchas empresas. Este fenómeno consiste en el uso de herramientas digitales por parte de los empleados que no han sido aprobadas, controladas o supervisadas por la compañía. Según el experto en ciberseguridad Abel Gómez, de Cibersegura, esta situación raramente responde a una mala intención, sino que surge por la comodidad y la necesidad de sacar el trabajo adelante de forma rápida.

Qué es y cómo se manifiesta el 'Shadow IT'

Esta práctica se materializa de formas muy diversas en el día a día. Por ejemplo, al utilizar una cuenta de WhatsApp personal para comunicarse con clientes, subir un documento a un Google Drive o Dropbox particular para compartirlo, o emplear WeTransfer para enviar archivos pesados. También incluye la instalación de extensiones de navegador no verificadas y, de forma creciente, el uso de cuentas personales en herramientas de Inteligencia Artificial para resumir o redactar documentos corporativos.

Son las herramientas digitales que se usan en cualquier empresa sin estar aprobadas"

Principales riesgos: de la fuga de datos a las sanciones legales

Los peligros asociados al Shadow IT son significativos. Abel Gómez destaca tres riesgos principales, comenzando por los datos fuera de control. Cuando un documento sensible acaba en una nube personal, se pierde la trazabilidad: es imposible saber quién lo ha visto, reenviado o descargado. El segundo riesgo es el acceso sin gobierno, que impide a la empresa aplicar políticas de seguridad como el doble factor o auditorías, dejando información crítica dispersa en cuentas personales cuando un empleado cambia de puesto.

Finalmente, existe un riesgo sobre el cumplimiento y la reputación. Una gestión inadecuada de la información puede derivar en reclamaciones de clientes o en una exfiltración de datos. Desde el punto de vista legal, esta práctica choca con normativas como el RGPD y la LOPD, ya que la empresa no puede demostrar una gestión segura. "Si los datos van a un Google Drive personal, la empresa pierde el control", advierte Gómez, lo que puede acarrear serias implicaciones.

Si los datos van a un Google Drive personal, la empresa pierde el control"

Cinco pasos clave para evitar esta amenaza

Para mitigar esta amenaza, el experto propone cinco recomendaciones clave. La primera es crear una lista de herramientas aprobadas y seguras. En segundo lugar, establecer reglas claras y sencillas, como evitar pegar datos personales en una IA. También es fundamental usar el doble factor de autenticación (MFA) en todas las cuentas y controlar las aplicaciones que se instalan, recordando que "cuando algo es gratuito, es por algo".

La última recomendación, y una de las más importantes, es proporcionar formación práctica a los usuarios para que entiendan los riesgos y los procedimientos correctos. El Shadow IT no es un problema de empleados malintencionados, sino una consecuencia de la falta de protocolos y formación. La solución pasa por ofrecer alternativas seguras, definir normas y capacitar al equipo, ya que el eslabón más débil de la ciberseguridad sigue siendo el usuario.