Shadow AI: el partido empezó. No te invitaron

Mientras lees esto, alguien en tu empresa está usando ChatGPT con su cuenta personal para procesar datos de clientes. Otro está pasando contratos por un modelo que no conoces. Otro está automatizando un proceso con una herramienta que IT nunca aprobó. Lo llaman Shadow AI — la IA en la sombra. Dato MIT, esto ocurre en el 90% de las organizaciones.

Las empresas oficialmente siguen igual. Pero lo que hacen sus empleados es otra historia.

⚽ ️ Este 11 de junio arranca el Mundial de Fútbol. Como futbolero estoy deseando que llegue 😉  Las ligas europeas han cerrado. Hay equipos que suben, equipos que bajan, y equipos que no sabían que estaban jugando. La metáfora, antes del torneo, es el momento de entender en qué posición está tu empresa en implantación de la IA, y con qué equipo vas, quieras o no.

📋 La temporada: adopción masiva, resultados bloqueados

Los números de este año deberían incomodar cualquier reunión de comité de dirección. El MIT NANDA analizó más de 300 iniciativas públicas de IA y entrevistó a representantes de 52 organizaciones. El resultado: solo el 5% de los proyectos de IA empresarial genera retorno medible en P&L. El 95% restante tiene IA, tiene pilotos, tiene presupuesto gastado PERO no tiene resultados.

¿Por qué? Porque la mayoría de las empresas están haciendo lo mismo: cogen un proceso que ya tienen, le meten IA encima y lo llaman proyecto de transformación. Eso es un barniz. El barniz produce mejoras marginales. 

El rediseño es otra cosa: preguntarse si la IA existiera desde el principio, ¿cómo diseñaría este proceso? ¿Qué decisiones que hoy toma una persona puede tomar un agente?

Hay una consecuencia de esto que opera en silencio, y que nadie en el comité de dirección está nombrando todavía: la IA que no puedes auditar no es una ventaja. Es una deuda. Esto lo suelo decir en mis conferencias y veo cabezas subir y bajar verticalmente de aprobación. ¿Te está pasando a ti en tu empresa?

🧩 Shadow AI: la lesión que nadie está viendo

Shadow AI no es un concepto nuevo, es la evolución del viejo Shadow IT, pero más peligroso. Donde el Shadow IT introducía hardware o software no autorizado, el Shadow AI introduce herramientas que procesan, aprenden y retienen datos de empresa de formas que los controles tradicionales no detectan. 

Un empleado copia datos de clientes, los pega en ChatGPT, y esa información sale del perímetro de seguridad de tu organización. Sin rastro. Sin alerta.

Los últimos datos son contundentes sobre lo que la mayoría de directivos sabe. Como decíamos MIT NANDA documenta que trabajadores del 90% de las organizaciones usan IA personal para tareas de trabajo sin aprobación corporativa — mientras solo el 40% de empresas tiene licencias oficiales. 

🤥 Pero hay más: el 57% de empleados oculta activamente su uso de IA a su empresa (KPMG/University of Melbourne, 2025, 48.000 personas en 47 países). El 38% reconoce haber compartido información sensible con herramientas de IA sin permiso del empleador (CybSafe/NCA, 2024). Y según el Cisco 2025 Data Privacy Benchmark Study, el 46% de los profesionales de privacidad admite haber introducido datos de empleados en herramientas GenAI — sin inventario, sin gobierno, sin control. No es un riesgo futuro. Está ocurriendo ahora.

La IA ya está dentro de tu organización. Con datos de clientes. Con contratos. Con documentos internos. El debate sobre si adoptar IA está resuelto — lo resolvieron tus empleados. Lo que no está resuelto es si alguien a nivel directivo sabe lo que está pasando. Y en lo que respecta a Europa, si el 2 de agosto un auditor del AI Act te pregunta qué sistemas de IA opera tu empresa, ¿puedes responder?

Mientras tanto, las reglas del torneo que viene ya han cambiado.

🏆 El ‘Mundial (de la IA)’: 5 reglas nuevas de lo que viene

La complejidad de lo que la gente le pide a la IA ha crecido más de un 300% en veinte meses, según el mayor estudio empírico de uso real de IA publicado hasta la fecha , 100 billones de tokens analizados por OpenRouter y a16z. Los usuarios ya no le piden que resuma emails. Le piden que tome decisiones, llame a sistemas externos y opere en bucles sin supervisión. Y más del 50% de ese uso ocurre fuera de Estados Unidos. Lo que lees sobre IA en la prensa de negocios describe el mercado americano. El problema — y la oportunidad — está en tu mundo.

5 reglas definen el nuevo campo:

1. La infraestructura ya no es la ventaja. Microsoft reportó un negocio de IA de 37.000 millones anuales, +123% interanual. Nvidia publicó el 20 de mayo 81.600 millones en un trimestre, +85% — Jensen Huang lo llamó «la construcción de fábricas de IA, la mayor expansión de infraestructura de la historia de la humanidad». La IA de propósito general es ahora accesible para casi cualquier empresa. La ventaja ya no está en tener acceso — está en saber qué hacer con él.

2. Los modelos chinos pasaron del 1,2% al 30% del mercado en un año — sin que nadie lo decidiera. Según OpenRouter documenta: equipos técnicos eligieron modelos de origen chino por precio y rendimiento, sin decisión directiva. En banca, energía y administración pública, sectores con restricciones regulatorias sobre dónde se procesan los datos, la pregunta ya no es si alguien en tu organización los está usando: es si alguien a nivel directivo lo sabe.

3. El encaje específico genera lock-in, el encaje genérico no. Cuando una empresa encuentra el modelo que resuelve algo que antes era imposible para ella, la retención a cinco meses es del 40% Los estudios también identifican que hay que empresas que prueban, no llegan a nada y ahora vuelven, se dan cuenta de que llevan más de un año de retraso y, claro, el coste de no actuar no es cero.

4. Especialización sobre juego abierto, y comprar sobre construir. El MIT NANDA lo cuantifica con claridad: los proyectos construidos mediante partnership externo con herramientas adaptadas alcanzan la “fase de producción” el 66% de las veces, frente al 33% de los construidos internamente. Y el ROI más alto no está donde va el presupuesto — el 70% va a ventas y marketing — sino en el back-office: eliminación de contratos BPO con ahorro de 2 a 10 millones anuales, reducción del 30% en gasto en agencias externas. El ROI del back-office es mayor y más rápido. Solo que es más difícil de mostrar en el comité.

5. El campo se juega en tu idioma, no en el suyo. Según el estudio de OpenRouter, Norteamérica ya representa menos del 50% del uso global de IA. Asia pasó del 13% al 31% del gasto en un año — más que duplicó. Europa se mantiene estable entre el 15 y el 20%. Y el español, con el 1,43% del volumen de tokens globales, es el cuarto idioma del mundo en uso de IA — detrás del inglés (82,87%), el chino (4,95%) y el ruso (2,47%). Ese 1,43% parece pequeño. Pero los modelos entrenados mayoritariamente en inglés y chino tienen sesgos, gaps de contexto y errores específicos para mercados hispanohablantes. → Quien construya verticales en español primero no compite contra Silicon Valley — compite en un campo donde Silicon Valley llega tarde y mal.

💼 Implicaciones estratégicas

Para CEOs y directivos

• Antes del partido, audita el vestuario: si el 90% de tus empleados ya usa IA personal para el trabajo, tienes un problema de gobernanza actual, no futuro. La primera pregunta no es «¿cómo adoptamos más IA?» sino «¿qué IA está usando nuestra gente, con qué datos, y quién lo sabe?». BBVA lo resolvió desplegando ChatGPT Enterprise para 11.000 empleados con métricas claras — 83% de uso diario, 2,8 horas ahorradas por semana — antes de escalar a 120.000. Primero el sistema, luego la escala.
• El ROI está donde nadie mira: el 70% del presupuesto de IA va a ventas y marketing porque es fácil de justificar ante el consejo. Pero el MIT NANDA documenta que los mayores retornos están en back-office: 2-10M anuales eliminando BPO. Si tu empresa no ha analizado el back-office como terreno de juego para la IA, estás invirtiendo en el campo equivocado.
• No vacíes la cantera: Klarna eliminó 700 puestos de atención al cliente sustituyéndolos por IA y en mayo 2025 recontrató: su CEO admitió que “the cost was too predominant” y el resultado fue calidad inferior. Matt Garman, CEO de AWS, lo llamó “one of the dumbest things I’ve ever heard”. El talento junior de 2026 es el talento senior de 2030. El Missing Junior Loop no se resuelve contratando seniors en 2028.
• Implementar ≠ Gobernar — el 2 de agosto en Europa lo hace obligatorio: Implementar es desplegar. Gobernar es medir, auditar y mejorar de forma continua. El AI Act Omnibus acordado el 7 de mayo exige lo segundo. Prepararlo ahora es ventaja; en agosto, coste.

Para fundadores y equipos

• Compra antes de construir: el MIT NANDA es inequívoco, el 66% de éxito con partnership externo vs. 33% construyendo internamente. Los proyectos externos son dos veces más rápidos, tienen menor coste total y mejor alineación con procesos reales. La tentación de construir internamente crea ilusión de control y duplica la tasa de fracaso.
• El encaje específico es el activo, no el modelo: Salesforce desplegó Agentforce internamente primero y declaró 100 millones anuales en ahorro operativo en Dreamforce 2025. JPMorgan tiene 450 casos de uso en producción diaria. La ventaja no está en el modelo que usas sino en los datos propios y procesos específicos con los que lo alimentas. La IA vertical reduce errores entre un 20 y un 40% respecto a generalistas en sectores regulados.
• El mercado se mueve, los modelos de razonamiento ya son el 50% del uso real: según el estudio de OpenRouter, los modelos de razonamiento multi-paso pasaron de uso prácticamente nulo a más del 50% del tráfico en 2025. Si tu producto o servicio de IA todavía usa modelos de generación simple para tareas de toma de decisiones, estás compitiendo con tecnología de hace un año.

📚 TENDENCIAS interesantes elegidas para ti

📊Datos: 

«The GenAI Divide: State of AI in Business 2025 — MIT NANDA»

(MIT NANDA)

¿Por qué es interesante leerlo?

El informe más riguroso del año sobre adopción de IA empresarial. El dato central: solo el 5% de los proyectos de IA especializada llega a producción con impacto medible. El resto tiene pilotos, no resultados. Identifica cuatro patrones que separan a los que cruzan el divide de los que se quedan atrapados. ¿En cuál de los dos lados está tu organización?

🏦Legislación: 

«AI Act Omnibus: acuerdo provisional entre Consejo y Parlamento Europeo»

(Consilium.europa.eu)

¿Por qué es interesante leerlo?

Acuerdo del 7 de mayo: documentación simplificada para pymes, más acceso a sandboxes regulatorios. Fecha crítica: 2 de agosto de 2026, obligaciones para sistemas de alto riesgo en vigor. Con el 90% de empleados usando IA personal sin inventario corporativo, la pregunta ya no es si aplica la regulación — es si tienes el sistema para demostrar que lo cumples. ¿Tienes ese inventario?

📈Mercado: 

«State of AI: An Empirical 100 Trillion Token Study — OpenRouter / a16z»

(arXiv (OpenRouter / a16z))

¿Por qué es interesante leerlo?

El estudio empírico más grande jamás publicado sobre uso real de modelos de IA. Tres señales que ningún directivo debería ignorar: la complejidad de las peticiones creció un 300% en veinte meses (los usuarios ya operan agentes autónomos); los modelos de razonamiento pasaron de cero al 50% del uso en un año; y más del 50% del uso global de IA ocurre fuera de Estados Unidos. Lo que lees en prensa de negocios describe el mercado americano de hace seis meses. ¿Estás tomando decisiones con ese desfase?

ℹ️ Mi segundo libro ya está a la venta

“La inteligencia artificial y tú”

ℹ️ ¿Cómo hago Buzzwords?

Fuentes de este número: The GenAI Divide, MIT NANDA, julio 2025; State of AI: 100 Trillion Token Study, OpenRouter / a16z, diciembre 2025; Microsoft Q3 FY2026, CNBC; Nvidia Q1 FY2027, SEC; AI Act Omnibus, Consilium; Labor Market Recent Graduates, Fed Nueva York; «Canaries in the Coal Mine», arXiv. He usado Claude de Anthropic para organización y edición del texto.