Planetas Two Rockets
Astronauta Two Rockets
Nave Two Rockets
Astronauta Explorador
Elemento Espacial
Volver al Blog

Tus empleados usan ChatGPT en secreto: Guía del "Shadow AI" y cómo evitar fugas de datos

S
Sergio MartinCTO Two Rockets
19 de junio de 2026 11 min lectura

El nuevo "Shadow IT" es conversacional

Hace años, luchábamos contra empleados que instalaban Dropbox sin permiso. Hoy, el enemigo es invisible. Tus empleados han descubierto que la IA les ahorra horas de trabajo. Y están usando su cuenta personal de Gmail para acceder a ChatGPT, Claude o Gemini.

El problema no es que usen la IA. El problema es QUÉ le cuentan a la IA.

Según un estudio de Gartner (2024), el 55% de los empleados de empresas que no tienen política de IA ya usan herramientas de IA generativa con datos corporativos. Y la mayoría lo hacen sin mala intención — simplemente quieren ser más productivos. Pero el daño potencial es enorme.

Los 3 Prompts "Prohibidos" (Casos Reales)

Hemos auditado empresas en Barcelona y Madrid y encontrado esto en el historial de navegación:

  • El Financiero: "Analiza este Excel con los salarios y dime quién cobra menos." (Acaba de subir datos personales sensibles — nombres, DNI, salarios — a un servidor en California. Violación directa del RGPD).
  • El Programador: "Optimiza este código de conexión a la base de datos." (Ha regalado credenciales de producción, estructura de base de datos y propiedad intelectual a OpenAI).
  • El CEO: "Resume esta acta sobre la posible venta de la empresa." (Información privilegiada expuesta — insider trading si la empresa cotiza, y ventaja competitiva regalada en cualquier caso).
  • RRHH: "Redacta una carta de despido para Juan García basándose en estas evaluaciones." (Datos personales sensibles + contexto laboral confidencial entregados a un modelo que podría retener esa información).

En cada caso, el empleado actuó de buena fe. Quería ser más eficiente. Pero la consecuencia es una fuga de datos corporativos que tu empresa ni siquiera detecta.

El peligro técnico: cómo funciona el entrenamiento del modelo

Cuando usas ChatGPT gratis o con cuenta personal, aceptas los Terms of Service que dicen que OpenAI puede usar tus conversaciones para "mejorar sus servicios". Técnicamente, esto significa:

  1. Tus datos se almacenan en servidores de OpenAI (EE.UU.) durante al menos 30 días.
  2. Revisores humanos pueden leer fragmentos de tus conversaciones para evaluar la calidad del modelo.
  3. Tus datos pueden contribuir al entrenamiento de futuras versiones del modelo — fragmentos, patrones o conceptos de tus chats pueden influir en respuestas a otros usuarios.

La pesadilla: Tu competencia pregunta a ChatGPT dentro de 6 meses sobre estrategias de pricing en tu sector, y la IA responde con patrones que aprendió de la información que tu director financiero le regaló.

¿Es probable que tu dato exacto aparezca textualmente? No. ¿Es posible que patrones y estrategias se filtren? Absolutamente.

El impacto legal: RGPD y Shadow AI

El Shadow AI no es solo un problema técnico — es un problema legal. Bajo el RGPD:

  • Transferencia internacional no autorizada: Si un empleado pega datos personales en ChatGPT, están siendo transferidos a servidores en EE.UU. sin las garantías adecuadas (cláusulas contractuales tipo, evaluación de impacto).
  • Base legal insuficiente: No existe consentimiento del interesado (el cliente cuyo dato se pegó) para ese tratamiento por parte de OpenAI.
  • Falta de registro de actividades: La empresa ni siquiera sabe que el tratamiento está ocurriendo, por lo que no puede documentarlo en su registro de actividades de tratamiento.

Las multas del RGPD pueden alcanzar el 4% de la facturación global o 20 millones de euros. Y la AEPD ya ha abierto expedientes relacionados con el uso de IA en empresas españolas.

La Solución Técnica: Bloqueo + Alternativa + Formación

Paso 1: Detectar y bloquear la fuga (DLP)

Si tienes Microsoft 365, configuramos reglas de DLP (Data Loss Prevention) en el Endpoint:

  • Detección de datos sensibles: Si alguien intenta copiar/pegar un DNI, número de tarjeta de crédito, IBAN o patrón de nómina en una web de IA, el sistema lo bloquea automáticamente y genera una alerta al responsable de IT.
  • Bloqueo de URLs: Restringimos el acceso a IAs "no corporativas" (chat.openai.com versión gratuita, bard.google.com, etc.) desde la red de la oficina y desde dispositivos gestionados.
  • Monitorización de navegación: Con Microsoft Defender for Cloud Apps, registramos qué servicios de IA se están usando, con qué frecuencia y desde qué dispositivos. Sin espiar contenido — solo metadatos de acceso.

Paso 2: Dar la alternativa segura (Copilot)

Prohibir la IA es inútil (usarán el móvil personal, fuera de tu control). La única estrategia que funciona es dar una alternativa que sea mejor y más segura.

Microsoft Copilot con "Protección de Datos Comerciales" garantiza que:

  • Microsoft NO ve tus datos ni los usa para entrenamiento.
  • Tus datos NO salen de tu inquilino (Tenant) europeo.
  • Los prompts y respuestas se eliminan inmediatamente de los servidores de procesamiento.
  • Copilot respeta los permisos de SharePoint: solo muestra datos a los que el usuario tiene acceso.

La versión básica de Copilot con Protección de Datos Comerciales está incluida en las licencias Business Standard y Premium. Copilot for M365 (integrado en Word, Excel, Teams, Outlook) cuesta 30€/usuario/mes adicionales — pero no todos los usuarios lo necesitan. Te asesoramos en la QBR trimestral sobre qué perfiles se benefician realmente.

Paso 3: Política de uso + Formación

La tecnología sin cultura es inútil. Implementamos un programa de 3 fases:

  1. Política de uso de IA: Documento firmado por todos los empleados que define: qué herramientas están permitidas, qué datos NUNCA deben entrar en IA pública, y las consecuencias de incumplimiento.
  2. Formación práctica (2 horas): No un PDF aburrido. Sesión en vivo donde mostramos exactamente cómo usar Copilot para las tareas que antes hacían en ChatGPT — pero de forma segura.
  3. Revisión trimestral: En cada QBR revisamos los logs de DLP, identificamos nuevos patrones de riesgo, y ajustamos las políticas.
📜 Modelo de Política de Uso de IA:

"Se permite y fomenta el uso de herramientas de IA corporativas aprobadas (Microsoft Copilot). Queda estrictamente prohibido introducir datos personales, financieros, estratégicos o de propiedad intelectual en herramientas de IA públicas gratuitas (ChatGPT free, Claude free, Gemini free). El incumplimiento se considerará falta grave conforme al artículo 54 del Estatuto de los Trabajadores."

¿Cuánto cuesta proteger tu empresa del Shadow AI?

Two Rockets incluye la configuración de políticas DLP, monitorización de Shadow AI y formación dentro del plan de acompañamiento desde 425€/mes + IVA. Esto incluye:

  • Configuración de reglas DLP para datos sensibles en Microsoft 365
  • Bloqueo de acceso a IAs no corporativas desde red y dispositivos gestionados
  • Monitorización trimestral de patrones de uso de IA
  • Sesión de formación inicial para todo el equipo
  • Plantilla de política de uso de IA personalizada

Si además necesitas Copilot for M365 integrado en las aplicaciones, el coste adicional es de 30€/usuario/mes — pero solo lo recomendamos para usuarios que realmente lo aprovechen (típicamente 30-50% de la plantilla).

Calcula tu presupuesto personalizado — incluye gestión de seguridad y licencias M365.

Preguntas frecuentes sobre Shadow AI

¿Qué es el Shadow AI y cómo afecta a mi empresa?

Shadow AI es el uso no autorizado de herramientas de IA (ChatGPT, Claude, Gemini) con datos corporativos, sin control de IT. Es más peligroso que el Shadow IT clásico porque los datos salen en texto conversacional y pueden usarse para entrenar modelos públicos.

¿ChatGPT gratuito usa mis datos para entrenar el modelo?

Sí. En la versión gratuita, OpenAI usa las conversaciones para mejorar sus modelos. Las versiones empresariales (ChatGPT Enterprise, API, Microsoft Copilot con Protección de Datos Comerciales) no lo hacen.

¿Cómo detecto si mis empleados usan IA con datos de la empresa?

Con Microsoft 365 y Defender for Cloud Apps, monitorizamos accesos a URLs de servicios de IA. Las reglas DLP detectan intentos de copiar datos sensibles en navegadores web.

¿Cuánto cuesta Microsoft Copilot para empresas?

Copilot con Protección de Datos Comerciales está incluido en licencias Business Standard/Premium. Copilot for M365 integrado en Word, Excel y Teams cuesta 30€/usuario/mes adicionales.

¿Es suficiente con prohibir ChatGPT?

No. Prohibir sin alternativa es contraproducente. La estrategia correcta combina: política firmada + DLP técnico + alternativa corporativa (Copilot) + formación práctica.

¿Sabes qué están pegando tus empleados en ChatGPT ahora mismo? Solicita una auditoría de Shadow AI gratuita — en 48 horas te mostramos los riesgos reales y el plan de acción.

Shadow AI riesgosChatGPT empresas seguridadPolíticas IA empleados
Auditoría Gratuita

¿Tu infraestructura IT te frena?

Deja de perder tiempo con problemas informáticos. En Two Rockets auditamos tu seguridad y rendimiento sin coste.

Solicitar Auditoría
LeoClaw
LeoClaw· AsistenteClick para ampliar

En linea · Responde al instante

Leo · Asistente de Two Rockets 🚀

WhatsApp