El uso de inteligencia artificial para automatizar tareas como la redacción de informes o revisión de códigos es cada vez más frecuente en la compañía. Sin embargo, su aplicación sin una estrategia predefinida puede generar riesgos, advierte el profesor de Finanzas de ESAN Graduate School of Business Luis Mendiola.

En el Perú, como en muchas economías en desarrollo, la IA generativa se está integrando en los flujos de trabajo sin requerir presupuestos ni aprobaciones corporativas. Solo se necesita una conexión a internet y una cuenta gratuita de ChatGPT o Claude para que cualquier trabajador de oficina pueda automatizar tareas, redactar informes o revisar códigos. Esta práctica generalizada, pero no oficial, se llama Shadow AI. Y aunque pueda parecer inofensiva o incluso beneficiosa en el corto plazo, está creando una crisis silenciosa en las empresas: una economía paralela de productividad que evade la estrategia oficial, la ciberseguridad y la ética corporativa.

Un estudio reciente del MIT (2025) lo ilustra: solo el 40% de las empresas tiene suscripciones formales a modelos de lenguaje, pero más del 90% de sus empleados utiliza herramientas de IA personales para trabajar. Esto quiere decir que, mientras los CIO brindan por pilotos de IA que nunca llegan a producción, los empleados ya cruzaron la línea: automatizan tareas, experimentan con flujos de trabajo y crean valor, todo sin visibilidad ni apoyo institucional. Pero el problema no es solo tecnológico, es estratégico y operativo.

Y el Perú no se queda atrás. La creciente familiaridad con instrumentos como Copilot, Firefly, Perplexity o Bard se desarrolla en un contexto de baja formalización digital y escasa regulación. Muchas empresas peruanas no cuentan con políticas de uso de IA y, cuando existen, carecen de mecanismos de seguimiento o gobernanza. Esta mezcla permite que crezca la Shadow AI: herramientas no autorizadas, datos confidenciales fluyendo por canales no auditados y algoritmos automatizados sin rastro. En otras palabras, un caldo de cultivo para errores invisibles, sesgos inconscientes y violaciones normativas que solo salen a la luz cuando ya es demasiado tarde.

Los riesgos no son imaginarios. Un informe de la Cloud Security Alliance (CSA, 2025) registra casos reales: un analista que usó ChatGPT Plus para pronosticar ingresos antes de una OPI (Oferta Pública Inicial), creando riesgo de infracción ante la SEC. Esto no solo revela información sensible, sino que también daña la confianza institucional, puede costar licencias, auditorías e incluso la viabilidad del negocio.

En el Perú, donde muchas empresas aún tienen dificultades con la transformación digital más elemental, el uso informal de la IA es un salto no planificado. Y aunque esto pueda sonar bien (más eficiencia, menos burocracia), los costos ocultos son elevados. La gobernanza de la Shadow AI requiere recursos que las organizaciones no han presupuestado: detectar herramientas no autorizadas, auditar prompts y respuestas, rediseñar flujos de trabajo y adaptarse a las regulaciones. Y eso sin hablar del daño reputacional en caso de que se descubra que la empresa violó leyes o contratos, incluso sin querer.

El problema es que la mayoría de las empresas sigue midiendo la adopción de IA con métricas obsoletas: licencias compradas, usuarios formados, aplicaciones desplegadas. Pero la verdadera productividad de estas herramientas se da en las conversaciones, no en las adquisiciones. Es en el correo que mejor se escribe, en la base de datos que mejor se entiende o en la propuesta al cliente que más rápido se entrega donde se siente la diferencia. No verlo es ceguera operativa.

¿Es inevitable? No. La Shadow AI no es rebelión, es un signo de innovación sistémica. Los trabajadores están solucionando problemas reales, y lo están haciendo porque las soluciones corporativas no están llegando o no funcionan. El 95% de los proyectos de IA empresarial no logra un impacto en los estados financieros (MIT, 2025). En cambio, los empleados que utilizan dispositivos personales tienen un éxito del 40%. No porque las herramientas sean mejores en sí mismas, sino porque posibilitan iterar rápidamente, adaptándose a cada necesidad y, sobre todo, eludiendo la fricción burocrática.

Hacer caso omiso de esta realidad es un error. Criminalizarla, uno peor. Las empresas en el Perú tienen una oportunidad si, en vez de combatirla, la comprenden y encauzan. Algunas ya lo hacen. Un caso de Fortune muestra cómo una aseguradora descubrió 27 herramientas no autorizadas en uso. En lugar de eliminarlas, identificaron cuáles realmente aportaban valor, rediseñaron los flujos para ajustarse a la normativa y escalaron las soluciones. El resultado: se mantuvo la productividad y se eliminó el riesgo. Un enfoque similar podría aplicarse en sectores sensibles como salud, banca o educación.

Para avanzar, se requieren tres cambios inmediatos. Primero, cambiar el centro de gravedad de la gobernanza, lo que significa dejar de elaborar listas de herramientas aprobadas para enfocarse en mapear los flujos de trabajo en que se usa IA y auditar los resultados. Segundo, medir diferente: no cuánto se gasta o cuántas licencias se activan, sino cuánto mejora cada interacción la eficiencia, la precisión y el cumplimiento. Tercero, desarrollar talento interno, no solo en ética y prompts, sino también en entendimiento del riesgo tecnológico, desde el back office hasta el directorio.

En un país emergente como el Perú, con marcos normativos aún en proceso, la Shadow AI puede ser una oportunidad para construir gobernanza desde la práctica. Esto requiere dejar de pensar en la IA como software que se instala y empezar a pensar en ella como fuerza laboral extendida. El peligro de la IA no es lo que puede hacer, sino lo que no podemos medir.

Las organizaciones que conviertan la Shadow AI en inteligencia organizacional no solo disminuirán riesgos, sino que obtendrán una ventaja competitiva real. Porque en toda economía informal no solo hay riesgo en lo que se oculta: también hay aprendizaje, creatividad y una verdad incómoda para los directores. Muchas veces, lo que mejor funciona no es lo que se aprueba, sino lo que se improvisa.

Lee la nota completa aquí.