Shadow AI en pymes argentinas: el riesgo invisible que casi nadie está mirando.

Hay algo pasando en tu empresa que vos no ves. Alguien de tu equipo está usando inteligencia artificial con datos de tus clientes, tus contratos o tus números. Y nadie te avisó. Eso tiene nombre: Shadow AI, o IA en las sombras. No se arregla con software caro. Se arregla con reglas claras y una hora de tu tiempo.

¿Qué es exactamente Shadow AI?

Shadow AI es el uso de herramientas de inteligencia artificial sin que nadie en la empresa lo autorice, lo audite o lo controle. No es ataque externo. Es gente buena de tu equipo intentando trabajar mejor, sin entender que está abriendo una puerta.

El nombre viene del mundo corporativo. Antes se hablaba de Shadow IT: software instalado por empleados sin pasar por el área de tecnología. Hoy es lo mismo, pero con IA generativa: ChatGPT, Gemini, Claude, Copilot, y miles de aplicaciones gratis que prometen automatizar lo que sea.

Como lo definió Alan Mai, CEO de Bloka, en Somos Pymes, Shadow AI puede convertirse en una puerta de entrada a errores operativos, fugas de privacidad y fraudes.

“En PyMEs el shadow AI no es un problema menor: puede volverse una puerta de entrada directa a errores operativos, incidentes de privacidad o fraudes.”— Alan Mai, CEO de Bloka, en Somos Pymes (2026).

¿Por qué está pasando justo ahora en Argentina?

Por dos motivos que se cruzaron en el último año.

Primero, la adopción explotó. El 96% de las empresas medianas argentinas ya usa IA, según el estudio “IA en micro, pequeñas y medianas empresas” de Microsoft junto a Edelman (2025). En empresas chicas el número baja, pero la curva sube todos los meses.

Segundo, casi nadie tiene un plan. El Monitor Nacional de Inteligencia Artificial 2025 muestra que solo el 6% de las organizaciones argentinas tiene una implementación amplia de IA. El resto improvisa. Y cuando una empresa improvisa, los empleados también improvisan.

Ahí aparece Shadow AI: como respuesta a una herramienta nueva que llegó sin manual.

Tres escenas que están pasando hoy en pymes argentinas.

Estos casos son reales, los veo todas las semanas en capacitaciones. Cambia el rubro, cambia el tamaño, pero el patrón se repite.

Escena 1: el gerente comercial. Pega la lista completa de clientes en ChatGPT para que le arme un mail personalizado a cada uno. Nombres, mails, montos facturados, historial de compras. Todo viaja a un servidor externo en cuestión de segundos.

Escena 2: la contadora. Sube el balance del primer trimestre a una IA gratis para que se lo resuma antes de la reunión con el dueño. Cifras de facturación, costos, márgenes, deudas. Todo procesado en una plataforma sin contrato comercial con la empresa.

Escena 3: el diseñador. Carga un contrato confidencial en una herramienta de transcripción que vio en un tutorial de YouTube. La app convierte el PDF en texto editable. Los datos quedan almacenados en el servidor del proveedor.

Tres personas haciendo bien su trabajo. Tres pymes con un agujero de seguridad que el dueño no sabe que existe.

¿Es un problema real o paranoia tecnológica?

Es un problema real, y ya hay caso de manual.

En 2023, empleados de Samsung Semiconductor cargaron código fuente confidencial y notas de reuniones internas en ChatGPT, en tres incidentes diferentes a lo largo de 20 días. La intención era buena: querían que la IA les ayudara a optimizar el código. El resultado fue que información estratégica de una de las divisiones más sensibles del grupo terminó en servidores de OpenAI, sin posibilidad de ser recuperada o eliminada. Samsung tuvo que prohibir el uso de IA generativa entre sus empleados a las pocas semanas.

Si le pasó a Samsung, con auditorías globales y cientos de personas en seguridad informática, imagináte una pyme argentina sin reglas escritas.

Y el riesgo no es solo fuga de datos. En 2023, una de cada cuatro PyMEs sufrió amenazas vinculadas a IA, desde phishing hasta manipulación de datos, según el Monitor Nacional de IA 2025. En Argentina, solo el 27% contrató expertos externos en ciberseguridad para responder al problema.

¿Cuáles son las señales de alerta para detectar Shadow AI en tu empresa?

Hay cuatro indicadores que aparecen siempre, con o sin auditoría formal.

1. Productividad rara que nadie explica. Un colaborador empezó a entregar el doble de informes en la mitad de tiempo. Buena noticia. Ahora preguntále cómo. Si la respuesta es vaga o evasiva, hay IA en el medio.
2. Herramientas nuevas en navegadores corporativos. Mirá las extensiones de Chrome instaladas en las computadoras de la oficina. Si aparecen plug-ins de IA que vos nunca aprobaste, la conversación arranca por ahí.
3. Pedidos de permisos extraños. Si una herramienta pide acceso completo al mail, calendario, contactos o nube para una tarea menor, estás frente a una app diseñada para extraer datos. Como advierte Alan Mai, la falta de trazabilidad sobre qué información se subió y quién autorizó la integración ya es un problema en sí.
4. Documentos con redacción demasiado prolija. Mails impecables, propuestas con estructura idéntica, informes que cambian de tono entre párrafos. Indicio claro de uso de IA generativa en producción real.

¿Cómo se controla Shadow AI sin frenar al equipo?

La respuesta corta: con una política de uso de IA. La respuesta larga: con una política de uso de IA que sea simple, conocida por todos y revisada cada tres meses.

Acá está el problema invertido. La mayoría de los dueños cree que necesita comprar software de monitoreo, contratar consultores y gastar dólares. No es así. Esto se arregla con dos páginas y una hora de reunión. Después se complejiza si la operación lo necesita.

Estos son los cinco pasos para arrancar esta semana.

Paso 1: hacé un relevamiento honesto, sin amenazas.

Pedile al equipo que cuente, sin sanciones, qué herramientas de IA están usando hoy. La pregunta exacta: “¿Qué app de IA te está ayudando a trabajar mejor?”. Si arrancás con tono policial, nadie te va a contar nada.

Anotá todo en una planilla. Vas a descubrir entre 8 y 15 herramientas distintas en una pyme de 20 personas. Es normal.

Paso 2: clasificá los datos en tres niveles.

No todos los datos tienen el mismo riesgo. Dividílos en tres categorías:

• Datos públicos: lo que ya está en tu web, redes sociales, comunicados. Cargar esto en cualquier IA no genera riesgo.
• Datos internos no sensibles: procesos, plantillas, ideas en bruto. Riesgo bajo, pero conviene usar herramientas con cuenta paga (los planes Business o Enterprise no usan tus datos para entrenar).
• Datos sensibles: información de clientes, datos financieros, contratos, propiedad intelectual, datos de empleados. Estos no entran nunca en una IA pública. Punto.

Paso 3: definí una lista corta de herramientas aprobadas.

No prohíbas todo. Si lo hacés, el equipo va a usar las herramientas igual, pero a escondidas. Y vos perdiste la última chance de tener visibilidad.

Mejor: dos o tres herramientas aprobadas, idealmente con planes empresariales que no usen tus datos para entrenar modelos. Para la mayoría de las pymes argentinas alcanza con una sola buena cuenta de pago.

Paso 4: redactá la política de uso en dos páginas.

Tiene que responder cinco preguntas concretas:

1. ¿Qué herramientas se pueden usar?
2. ¿Qué tipo de datos se pueden cargar y cuáles no?
3. ¿Qué hacer si una IA da un resultado que se va a usar en una decisión de negocio?
4. ¿Quién es el referente al que preguntarle si hay dudas?
5. ¿Qué pasa si alguien rompe la política?

Una hoja. Lenguaje claro. Sin abogados. Si no la entiende un empleado nuevo en cinco minutos, está mal escrita.

Paso 5: capacitá a todo el equipo, no solo a los que ya usan IA.

Acá es donde la mayoría falla. Se redacta la política, se manda por mail, y nadie la lee. La capacitación corporativa es lo que convierte un documento en una práctica.

No tiene que ser un curso largo. Una hora bien diseñada alcanza para mostrar la política, dar ejemplos prácticos, y resolver dudas reales del equipo.

¿Cuál es el costo real de implementar todo esto?

Para una pyme argentina de hasta 50 empleados, el costo de arrancar es cercano a cero en plata y cercano a una jornada en tiempo. La política se escribe en una mañana. La capacitación inicial dura una hora. La revisión trimestral, otra hora.

El gasto único más relevante suele ser una cuenta empresarial de la herramienta de IA principal: entre 20 y 30 dólares por usuario por mes. Y eso ya es opcional, no obligatorio para arrancar.

Comparálo con el costo de una fuga de datos. Cualquier multa de la Agencia de Acceso a la Información Pública por incumplimiento de la Ley 25.326 de Protección de Datos Personales empieza en los miles de dólares y escala según la gravedad. Sin contar el daño reputacional cuando un cliente se entera de que sus datos terminaron en un servidor que vos no controlás.

Preguntas frecuentes sobre Shadow AI en pymes.

¿Qué es Shadow AI en una empresa?

Shadow AI es el uso de herramientas de inteligencia artificial por parte de empleados sin autorización formal, sin políticas claras y sin supervisión del área responsable. Aparece cuando la empresa no tiene reglas de uso y los colaboradores incorporan la tecnología por su cuenta para trabajar más rápido.

¿Cuál es el riesgo concreto de cargar datos en ChatGPT o Gemini?

Los datos cargados en versiones gratuitas de IA se almacenan en servidores externos y, en muchos casos, se usan para entrenar el modelo. Una vez que salieron de tu empresa, no vuelven. Como pasó con Samsung en 2023: información sensible que termina en un sistema de un tercero sin posibilidad de recuperación.

¿Hay una ley argentina que regule esto?

La Ley 25.326 de Protección de Datos Personales obliga a las empresas argentinas a proteger los datos de clientes y empleados. Cargar esa información en una IA pública sin consentimiento puede constituir incumplimiento. Además, el proyecto de ley nacional sobre uso de IA está en debate y prevé obligaciones específicas para el sector privado.

¿Necesito contratar un especialista en seguridad para resolver esto?

No para arrancar. Una política básica de uso de IA, una capacitación de una hora y una revisión trimestral cubren la mayoría de los riesgos en una pyme. Si la operación maneja datos muy sensibles (salud, finanzas, defensa), conviene sumar asesoramiento externo en una segunda etapa.

¿Qué herramienta de IA es la más segura para empresas chicas?

No hay una sola respuesta. Lo que sí aplica como regla: las versiones empresariales de pago (planes Business, Team o Enterprise) no usan tus datos para entrenar el modelo, mientras que las versiones gratis sí lo hacen casi siempre. Si vas a manejar información sensible, pagá la versión empresarial. Es la diferencia clave.

¿Cada cuánto hay que revisar la política?

Cada tres meses como mínimo. La industria de IA cambia muy rápido y herramientas que hoy son seguras pueden modificar sus términos de uso mañana. Una revisión trimestral de 30 minutos alcanza para mantener la política al día.

¿Qué pasa si descubro que un empleado ya filtró datos sensibles?

Primero, no es momento de buscar culpables: es momento de contener el daño. Documentá qué se cargó, cuándo y en qué herramienta. Revisá los términos de servicio del proveedor para entender qué pasó con esos datos. Si hay riesgo de exposición externa, avisá al área legal y, si corresponde, a los clientes afectados. Después, recién después, redactá la política para que no se repita.

Cómo empezar a controlar Shadow AI en tu pyme.

El problema no es la inteligencia artificial. El problema es usarla sin reglas.

Si tu empresa todavía no tiene una política de uso de IA escrita, esta semana podés:

1. Hoy: preguntarle a tres personas de tu equipo qué herramientas de IA están usando. Sin amenazas. Solo escuchar.
2. Esta semana: redactar una política de dos páginas con las cinco preguntas que aparecen más arriba.
3. Este mes: dar una capacitación de una hora al equipo completo y empezar a aplicar la política.

Si querés que diseñemos la política y la capacitación a medida de tu operación, agendemos una sesión estratégica. Trabajo con pymes argentinas implementando IA de forma segura, con casos reales y sin humo.