¿Qué es el shadow IT y por qué representa un riesgo legal en Chile?

El shadow IT son las aplicaciones, servicios cloud y dispositivos que los empleados usan sin aprobación del área de TI. En Chile, el 52% de los trabajadores almacena datos laborales en nubes personales no autorizadas (Cyberix Chile, 2026). Bajo la Ley 21.719, que entra en vigor en diciembre de 2026, las empresas son responsables de todos los datos personales que procesan, incluso aquellos en sistemas que no controlan. Eso convierte el shadow IT en una fuente directa de multas de hasta 5.000 UTM por infracción grave.

¿Cuánto puede costar una brecha de datos originada en shadow IT?

El costo promedio de una brecha de seguridad originada en acceso no autorizado es de USD 4,8 millones, según el informe IBM Cost of a Data Breach 2025. Eso incluye costos de investigación forense, inactividad operacional, notificación a titulares, multas regulatorias y daño reputacional. Si la brecha afecta datos de clientes bajo la Ley 21.719, la empresa enfrenta además multas de hasta 5.000 UTM por infracción grave, más la obligación de notificar al titular dentro de 72 horas.

¿Qué es un CASB y cómo ayuda a controlar la nube no autorizada?

Un CASB (Cloud Access Security Broker) es una capa de control que se ubica entre los usuarios y los servicios cloud que utilizan, tanto autorizados como no autorizados. Detecta qué aplicaciones cloud acceden los empleados, bloquea las no aprobadas, cifra datos en tránsito y genera logs de auditoría. Herramientas como Microsoft Defender for Cloud Apps, Netskope y Palo Alto Prisma Access permiten aplicar políticas de datos personales de forma centralizada, algo que la IG N°4 de ANCI exige para los Operadores de Importancia Vital.

¿Cómo cumplir la IG N°4 de ANCI si hay shadow IT en la organización?

La IG N°4 de ANCI exige capacidad de suspensión inmediata de acceso ante incidentes, lo que es imposible sin visibilidad completa de todos los sistemas en uso. El primer paso es un descubrimiento de shadow IT usando CASB o análisis de logs de firewall y DNS. Con ese inventario, se clasifican aplicaciones por riesgo, se migran las funcionales a equivalentes corporativos, y se implementa una política de acceso basada en identidad. Sin esa visibilidad, no existe capacidad de respuesta efectiva ante un incidente.

¿En cuánto tiempo se puede implementar un control básico de shadow IT?

Un control básico de shadow IT puede implementarse en 90 días con un plan estructurado. Los primeros 30 días se dedican al descubrimiento y análisis de logs existentes para inventariar aplicaciones no autorizadas. Del día 31 al 60 se despliega el CASB en modo monitoreo, sin bloqueos, para calibrar políticas. Del día 61 al 90 se activan los bloqueos selectivos, se capacita a los equipos y se documenta el inventario final para auditorías bajo la Ley 21.719.

Shadow IT e IA: multas Ley 21.719 Chile

En resumen: El 52% de los trabajadores latinoamericanos almacena datos laborales en nubes personales no autorizadas. La Ley 21.719 entra en vigor en diciembre de 2026 y exige control completo sobre todos los datos personales que la empresa procesa, sin importar dónde estén. Sin visibilidad del shadow IT, las multas pueden llegar a 5.000 UTM por infracción grave. El plan es descubrir, clasificar y controlar antes de que llegue la fecha límite.

El área de marketing crea una cuenta en Notion para organizar los contenidos. El equipo de ventas sube propuestas a su Google Drive personal. Recursos humanos usa un ChatGPT gratuito para redactar evaluaciones de desempeño, pegando datos de empleados directamente en el chat. Todo ocurre fuera del radar de TI. Todo es shadow IT. Y todo será responsabilidad legal de la empresa a partir de diciembre de 2026.

Ley 21.719 infraestructura TI

Key Takeaways

El 52% de trabajadores latinoamericanos usa nubes personales con datos laborales (Cyberix Chile, 2026)

La Ley 21.719 hace responsable a la empresa de datos en sistemas que no controla

Multas de hasta 5.000 UTM por infracción grave desde diciembre 2026

La IG N°4 de ANCI exige suspensión inmediata de acceso, imposible sin visibilidad de shadow IT

Un plan de 90 días puede llevar a control básico antes de la fecha límite

¿Qué es el shadow IT y por qué explotó con la IA?

El shadow IT creció un 59% en los últimos tres años según Gartner, impulsado directamente por la adopción masiva de herramientas de inteligencia artificial gratuitas o de bajo costo (Gartner IT Trends 2025). La respuesta directa: es el conjunto de aplicaciones, servicios y dispositivos que los empleados usan sin aprobación del equipo de TI, y la IA lo aceleró porque bajó el costo de entrada a cero.

Antes de la IA generativa, el shadow IT típico era Dropbox personal, WhatsApp para coordinar proyectos, o un Excel compartido por correo. Eso ya era un problema. Hoy, la escala y el riesgo son distintos.

Un empleado puede subir la base de clientes a ChatGPT para que le ayude a redactar correos personalizados. Otro usa Claude.ai para analizar contratos que contienen información confidencial de terceros. Un tercero procesa evaluaciones de crédito con una IA gratuita de un proveedor desconocido. Ninguno de estos datos tiene rastro. Ninguno está en el inventario de TI. Y todos son datos personales bajo la Ley 21.719.

Observación del equipo de Elite Center: El mayor cambio no es el volumen del shadow IT, sino su naturaleza. El shadow IT anterior era almacenamiento o comunicación. El shadow IT con IA es procesamiento: los datos no solo se guardan fuera, se analizan, se transforman y se usan como contexto de entrenamiento o mejora de modelos en servidores de terceros. Eso cambia radicalmente el perfil de riesgo y hace que la recuperación de datos sea prácticamente imposible tras la exposición.

¿Cuánto shadow IT hay en las empresas chilenas hoy?

El 52% de los trabajadores latinoamericanos almacena datos laborales en nubes personales no autorizadas como Google Drive, iCloud o Dropbox personal, según el informe Cyberix Chile 2026 (Cyberix, 2026). En Chile específicamente, el 45% de las empresas ya usa alguna herramienta de IA, pero solo el 23% tiene procesos de integración sostenibles con controles de seguridad documentados.

Eso significa que en la empresa chilena promedio, más de la mitad de los trabajadores está moviéndose por fuera de los canales aprobados. No por malicia. Por conveniencia, velocidad o desconocimiento.

El dato que más preocupa no es el almacenamiento personal. Es el 43% que usa apps de IA no autorizadas. Porque a diferencia de Dropbox, donde el archivo sigue siendo el archivo, en una IA el dato se convierte en contexto. Se fragmenta. Se usa para generar respuestas. En muchos proveedores gratuitos, se incorpora al entrenamiento del modelo.

Citation capsule: El 43% de los trabajadores latinoamericanos usa herramientas de inteligencia artificial no autorizadas por TI para procesar información laboral, incluyendo datos de clientes y documentos confidenciales, según Cyberix Chile (2026). Bajo la Ley 21.719, cada uno de esos usos puede constituir una transferencia no consentida de datos personales a terceros, una infracción grave sujeta a multas de hasta 5.000 UTM.

¿Qué dice la Ley 21.719 sobre datos que no controlas?

La Ley 21.719, que entra en vigor en diciembre de 2026, establece responsabilidad objetiva para el responsable del tratamiento de datos personales (Biblioteca del Congreso Nacional, 2024). Eso significa que si los datos personales de tus clientes están en un servicio que tú no aprobaste, no configuraste y no controlas, igual eres el responsable legal de lo que les ocurra.

La ley no distingue entre datos en sistemas propios y datos en shadow IT. Distingue entre datos que la empresa trata y datos que no trata. Si un empleado subió la base de clientes a su Google Drive personal mientras trabajaba para tu empresa, esos datos son tratamiento tuyo. El incumplimiento tiene consecuencias escalonadas:

Infracción leve: amonestación escrita o multa de hasta 100 UTM.
Infracción grave: multa de hasta 1.000 UTM.
Infracción gravísima: multa de hasta 5.000 UTM.

El criterio para determinar la gravedad incluye la escala de datos afectados, la negligencia en los controles implementados y si hubo o no perjuicio real a los titulares. Un incidente de shadow IT donde datos de clientes terminaron en una IA de tercero difícilmente se clasificará como leve.

obligaciones Ley 21.663 para OIV

Citation capsule: La Ley 21.719 de protección de datos personales, vigente desde diciembre de 2026, hace responsable al controlador de todos los datos personales que trata, independientemente de si el sistema que los aloja fue autorizado por TI. Las multas por infracción gravísima alcanzan las 5.000 UTM, equivalente a aproximadamente CLP 350 millones al valor actual de la UTM (Biblioteca del Congreso Nacional, 2024).

¿Cómo el shadow IT impide cumplir la IG N°4 de ANCI?

La Instrucción General N°4 de la Agencia Nacional de Ciberseguridad (ANCI) exige que los Operadores de Importancia Vital mantengan capacidad de suspensión inmediata de acceso ante cualquier incidente de seguridad (ANCI, 2025). Esa capacidad es técnicamente imposible si hay sistemas activos que TI desconoce.

Piénsalo en términos prácticos. Ocurre un incidente: un empleado reporta que sus credenciales fueron comprometidas. El equipo de seguridad debe revocar accesos de inmediato. Pero si ese empleado usaba Notion, Airtable y tres apps de IA que nunca pasaron por TI, esos accesos no están en el directorio corporativo. No hay forma de revocarlos centralmente. El atacante que tiene las credenciales puede seguir extrayendo datos desde esas plataformas mientras TI cree haber contenido el incidente.

Ese es exactamente el escenario que IBM documentó como el más costoso. Una brecha originada en acceso no autorizado cuesta en promedio USD 4,8 millones cuando el origen es acceso no controlado, según el IBM Cost of a Data Breach 2025 (IBM, 2025). El costo no viene del ataque inicial. Viene de los meses de acceso no detectado que el shadow IT permite.

estrategia backup inmutable contra ransomware

La IG N°4 también exige documentación de todos los activos críticos y sus flujos de datos. Un activo que TI desconoce no puede estar en esa documentación. Y un activo que no está documentado convierte cada auditoría en un riesgo, no en una garantía.

¿Cómo descubrir el shadow IT en tu organización?

El descubrimiento de shadow IT comienza por los datos que ya tienes, no por comprar herramientas nuevas. Los firewalls de próxima generación, los proxies web y los resolvers DNS ya registran a qué dominios se conectan los dispositivos de la red. Ese log es un mapa del shadow IT.

El proceso tiene cuatro pasos concretos:

1. Análisis de logs DNS y proxy. La mayoría de los firewalls empresariales tiene reportes de dominios más consultados. Un análisis de 30 días revela qué servicios cloud se usan con mayor frecuencia, incluyendo los no autorizados. Herramientas como Palo Alto Cortex o Fortinet FortiAnalyzer pueden generar este reporte en minutos si ya están desplegadas.

2. Shadow IT Assessment con CASB en modo pasivo. Un Cloud Access Security Broker (CASB) en modo descubrimiento, sin bloqueos, analiza el tráfico y cataloga automáticamente las apps según su nivel de riesgo. El resultado es un inventario priorizado: cuántos usuarios, qué datos, qué nivel de riesgo por aplicación.

3. Encuesta estructurada a los equipos. Los empleados raramente esconden el shadow IT por mala intención. Una encuesta anónima preguntando qué herramientas usan para trabajar, combinada con la promesa de evaluar alternativas corporativas, genera información que los logs no capturan (apps móviles, herramientas offline, servicios de baja frecuencia).

4. Revisión de tarjetas corporativas y gastos. Las suscripciones SaaS no autorizadas suelen pagarse con tarjetas de la empresa. Un análisis de gastos en categoría “software” o “servicios digitales” revela suscripciones que nadie aprobó formalmente.

En nuestra experiencia con clientes del segmento PyME en Chile: el análisis DNS de 30 días revela entre 40 y 120 servicios cloud distintos en uso, de los cuales entre el 60% y el 80% no está en ningún inventario de TI. La cifra sorprende a los gerentes TI, pero no a los usuarios. Ellos saben exactamente qué usan. Solo nadie les había preguntado de forma estructurada.

¿Qué herramientas controlan el acceso cloud no autorizado?

El control técnico del shadow IT se implementa principalmente con tres categorías de herramientas, y la elección depende del tamaño y la madurez de la organización. Según Gartner, el mercado CASB creció un 31% en 2025, impulsado por la demanda de cumplimiento regulatorio en mercados con nueva legislación de datos (Gartner Magic Quadrant for SSE, 2025).

Cloud Access Security Broker (CASB). Es la herramienta núcleo para controlar shadow IT. Actúa como intermediario entre los usuarios y los servicios cloud. Las opciones líderes son:

Microsoft Defender for Cloud Apps: integrado con Microsoft 365, ideal para organizaciones que ya usan el ecosistema Microsoft. Detecta más de 31.000 aplicaciones cloud y permite políticas de control granular por usuario, grupo o sensibilidad de datos.
Netskope: especializado en protección de datos en movimiento hacia apps cloud. Tiene capacidades avanzadas de DLP (Data Loss Prevention) que pueden detectar cuando un usuario intenta subir información sensible a una app no autorizada.
Palo Alto Prisma Access: combina CASB con SASE (Secure Access Service Edge), adecuado para organizaciones con trabajo remoto o múltiples sucursales.

DNS Filtering. Para organizaciones más pequeñas, un filtro DNS como Cisco Umbrella o Cloudflare Gateway puede bloquear el acceso a categorías completas de servicios no autorizados (apps IA gratuitas, almacenamiento personal) sin requerir desplegar infraestructura compleja.

Identity and Access Management (IAM) con SSO. Forzar el uso de Single Sign-On corporativo para todos los servicios hace visible cualquier app que no esté integrada. Si el empleado no puede acceder con sus credenciales corporativas, o TI aprueba la integración, o el empleado no usa la herramienta.

Citation capsule: El mercado de Cloud Access Security Brokers (CASB) creció un 31% en 2025, impulsado por nuevas regulaciones de protección de datos en América Latina, Europa y Asia-Pacífico (Gartner Magic Quadrant for SSE, 2025). En Chile, la entrada en vigor de la Ley 21.719 en diciembre de 2026 está acelerando la adopción de estas herramientas en empresas medianas que antes consideraban el control cloud una inversión optativa.

phishing IA y acceso no autorizado

Plan de acción: de cero a control de shadow IT en 90 días

Un control básico de shadow IT es alcanzable en 90 días con recursos internos y las herramientas correctas. El plan no requiere un presupuesto extraordinario, sino priorización. El costo de no actuar, USD 4,8 millones en promedio si ocurre una brecha, justifica cualquier inversión en esta escala.

Días 1 al 30: descubrimiento y diagnóstico

El primer mes es de escucha, no de bloqueos. Bloquear antes de entender genera resistencia y workarounds creativos que son aún más difíciles de rastrear.

Exportar y analizar logs DNS del último mes desde el firewall existente.
Instalar un CASB en modo “shadow IT report” sin activar bloqueos.
Realizar encuesta a equipos de marketing, ventas, RR.HH. y operaciones.
Revisar gastos en tarjetas corporativas: categoría software y servicios.
Resultado esperado: inventario de 40-120 aplicaciones, clasificadas por número de usuarios y tipo de datos que manejan.

Días 31 al 60: clasificación y política

Con el inventario en mano, cada aplicación recibe una clasificación de riesgo: alta, media o baja. El criterio principal es si la app procesa datos personales de clientes o empleados.

Alta: acceso a datos personales de clientes, información financiera, datos de salud. Acción: bloquear o reemplazar con alternativa corporativa en 60 días.
Media: colaboración interna, productividad personal sin datos sensibles. Acción: evaluar si existe equivalente corporativo. Si no, crear proceso de aprobación formal.
Baja: herramientas de referencia, calculadoras, utilidades sin acceso a datos. Acción: registrar y monitorear, sin bloquear.

Durante esta fase se redacta la Política de Uso de Software y Servicios Cloud, que debe incluir el proceso de aprobación para herramientas nuevas. Esta política es el documento que muestra a la ANCI que la organización tiene controles formales, no solo técnicos.

Días 61 al 90: implementación y capacitación

El tercer mes activa los controles técnicos y cierra el ciclo con las personas.

Activar bloqueos en CASB para las aplicaciones de riesgo alto que no han sido reemplazadas.
Integrar alternativas corporativas aprobadas para las funciones críticas (almacenamiento, IA, mensajería).
Realizar sesión de capacitación de 60 minutos con cada área: qué cambió, por qué y cómo acceder a las herramientas corporativas equivalentes.
Documentar el inventario final de aplicaciones cloud aprobadas para incluir en el registro de activos de la IG N°4.
Establecer proceso de revisión trimestral: el shadow IT es dinámico. Lo que no existía en enero puede ser una app nueva en abril.

El objetivo al día 90 no es la perfección. Es tener visibilidad, tener política documentada y tener controles técnicos activos sobre las aplicaciones de mayor riesgo. Eso es lo que una auditoría bajo la Ley 21.719 verifica: que la empresa tomó medidas razonables, proporcionales al riesgo, antes de que ocurriera el incidente.

Preguntas frecuentes sobre shadow IT y la Ley 21.719

¿El shadow IT solo afecta a empresas grandes?

No. La Ley 21.719 aplica a cualquier organización que trate datos personales de ciudadanos chilenos, independientemente del tamaño. Las PyMEs tienen el mismo riesgo legal que las grandes empresas, pero generalmente menos controles. De hecho, el porcentaje de shadow IT tiende a ser más alto en organizaciones medianas donde TI tiene menos recursos para monitorear y donde la presión por productividad lleva a los empleados a buscar herramientas propias. La diferencia es que una multa de 1.000 UTM impacta proporcionalmente más a una PyME que a una corporación.

¿Usar ChatGPT en el trabajo es ilegal bajo la Ley 21.719?

No es ilegal en sí mismo, pero puede generar infracción si se usan datos personales de clientes o empleados como input. La ley exige que el responsable del tratamiento garantice que los datos se procesan solo con los fines informados al titular. Si un empleado usa ChatGPT en su versión gratuita para procesar contratos de clientes, los datos pueden usarse para entrenamiento del modelo de OpenAI. Eso podría constituir una transferencia no autorizada a tercero. La solución es o usar la versión Enterprise de la herramienta (con protecciones de datos contractuales), o prohibir el uso con datos personales mediante política escrita.

¿Cuándo entra en vigor exactamente la Ley 21.719?

La Ley 21.719 fue promulgada en diciembre de 2024 y tiene un período de adecuación de 24 meses. Entra en plena vigencia en diciembre de 2026. Eso significa que las organizaciones tienen hasta esa fecha para implementar sus controles. Sin embargo, la ANCI puede iniciar investigaciones por incidentes ocurridos antes de esa fecha si hay evidencia de negligencia grave. No esperar al último trimestre de 2026 para actuar es la recomendación unánime de los especialistas en compliance.

El shadow IT no desaparece porque TI diga que no. Desaparece cuando la organización ofrece alternativas que son igual de convenientes que las herramientas no autorizadas. Eso requiere entender por qué los empleados las usan, no solo bloquearlas. El control técnico es la mitad del trabajo. La otra mitad es cultura y alternativas.

Con la Ley 21.719 a meses de entrar en vigor, el tiempo para actuar es ahora, no en noviembre de 2026. El plan de 90 días existe. Las herramientas existen. Lo que hace falta es empezar.

implementación ANCI y cumplimiento OIV