Con una rápida evolución de la tecnología, las empresas dependen de sistemas de TI robustos para mantenerse competitivas. Sin embargo, existen controles que no se supervisdan como actualmente se levanta un fenómeno que hace compleja la ciberseguridad y el control de las organizaciones conocido como Shadow IT (o TI en la sombra) . Este término hace referencia al uso de sistemas, dispositivos, software, aplicaciones y servicios tecnológicos por parte de los empleados sin la aprobación o el conocimiento del departamento de TI. Aunque puede parecer una solución práctica para mejorar la productividad, el Shadow IT introduce riesgos en el ámbito de la ciberseguridad, desde fugas de datos hasta incumplimientos normativos (también es una herramienta utilizada por losInsiders).
En este artículo hablaremos y conoceremos qué es el Shadow IT, sus riesgos, ejemplos en el contexto de la ciberseguridad y estrategias para gestionarlo.
¿Qué es el Shadow IT?
Shadow IT abarca cualquier tecnología utilizada en una organización sin la supervisión del departamento de TI. Esto incluye:
- Dispositivos físicos: Smartphones, tablets, unidades USB o incluso teclados personales conectados a la red corporativa.
- Aplicaciones en la nube: Servicios SaaS (Software as a Service) como Dropbox, Google Drive o Trello.
- Software comercial: Programas descargados para tareas específicas, como herramientas de diseño o contabilidad.
- Servicios de comunicación: Aplicaciones como WhatsApp, Skype o Slack utilizadas sin autorización.
La proliferación de la computación en la nube y las políticas de Bring Your Own Device (BYOD) han amplificado este fenómeno como lo cita un estudio del INCIBE España indicando que, el Shadow IT a menudo surge porque los empleados buscan soluciones rápidas para cumplir con sus objetivos laborales, sin pasar por los procesos de aprobación de TI, que pueden percibirse como lentos o restrictivos. Sin embargo, esta práctica, aunque bien intencionada, puede tener consecuencias graves.
Riesgos del Shadow IT en la Ciberseguridad.
El Shadow IT representa una amenaza latente para la ciberseguridad empresarial, es por ello, que a continuación, detallamos los principales riesgos que esta representa:
1. La falta de visibilidad y control.
Cuando el departamento de TI no sabe qué tecnologías se utilizan, no puede implementar medidas adecuadas de ciberseguridad. Esto llega a crear puntos ciegos que los ciberdelincuentes pueden explotar. Por ejemplo, Ciberseguridad.com señala que la falta de visibilidad es el principal riesgo ya que abre múltiples puntos de acceso para atacantes maliciosos.
2. Las vulnerabilidades de ciberseguridad.
Las aplicaciones no autorizadas (aplicaciones que cualquier empleado tiende a instalar sin autoirización de la unidad de TI) pueden contener vulnerabilidades no parcheadas o configuraciones inseguras. Zscaler destaca que el 60% de las aplicaciones para Android tienen vulnerabilidades de ciberseguridad, con un promedio de 39 errores por aplicación, lo que puede facilitar el robo de datos o el secuestro de dispositivos.
3. El incumplimiento normativo.
El uso de herramientas no aprobadas puede violar regulaciones como el Reglamento General de Protección de Datos (RGPD). Esto puede resultar en multas, demandas legales y daños a la reputación de la empresa. Forbes Centroamérica advierte que el Shadow IT puede mover datos regulados a ubicaciones en la nube no monitoreadas, aumentando el riesgo de sanciones.
4. La ineficiencias en la colaboración y cooperación.
Cuando diferentes equipos utilizan distintas herramientas (por ejemplo, Google Drive frente a Box), la colaboración se complica. Ciberseguridad.com indica que las organizaciones promedio utilizan 57 servicios diferentes de intercambio de archivos, lo que genera conflictos en los flujos de trabajo y reduce la productividad.
5. La superficie de ataque ampliada.
Cada aplicación o dispositivo no autorizado añade un nuevo vector de ciberataque a las organizaciones, esto lo indica Zscaler, cuando explica que el Shadow IT aumenta la superficie de ataque al permitir flujos de datos no vinculados a la infraestructura de TI, lo que facilita la penetración de malware o ransomware.
Los impacto de la pandemia.
La pandemia de Covid-19 exacerbó el problema del Shadow IT. Forbes Centroamérica reportó que, durante el auge del trabajo remoto, se esperaba un aumento del 65% en el uso de software no autorizado, impulsado por la necesidad de herramientas de videoconferencia, VPN y servicios de intercambio de archivos.
Ejemplos de Shadow IT en la ciberseguridad:
Para ilustrar cómo el Shadow IT se manifiesta en la práctica, aquí se presentan ejemplos específicos:
01: El uso de dropbox para compartir archivos.
Un empleado de marketing usa Dropbox para compartir archivos muy pesados con un cliente, ya que el sistema aprobado por TI es demasiado lento. Pero esta cuenta de Dropbox no está configurada con las medidas de ciberseguridad requeridas por la empresa, como cifrado o autenticación de dos factores. Si un ciberdelincuente accede a esta cuenta, podría exponer datos confidenciales (como contratos o información financiera) de la organización. Este caso, destacado por Zscaler, es común en entornos donde los empleados priorizan la conveniencia sobre la ciberseguridad.
02: Usar WhatsApp para las comunicaciones laborales.
El quipo de ventas utiliza WhatsApp en sus dispositivos corporativos para coordinar rápidamente con colegas y clientes. Aunque WhatsApp proivee un cifrado de extremo a extremo, su uso no autorizado puede violar las políticas de cumplimiento de la empresa, especialmente si se comparten datos sensibles de manera regular. Además, si un dispositivo se pierde o es comprometido, los mensajes podrían ser interceptados ya no solo por ciberdelincuentes sino pr la delincuencia común. Ciberseguridad.com cita este como un ejemplo típico de Shadow IT en aplicaciones de mensajería.
03: Las herramientas de productividad no aprobadas por TI.
Un equipo de proyecto adopta Trello para gestionar sus tareas, sin informarle sobre esta instalación al departamento de TI y, aunque Trello es una herramienta legítima, su uso sin supervisión puede llevar a configuraciones inseguras, como tableros públicos que llegan a exponer información sensible de una organización. Este caso mencionado por Ciberseguridad.com, nos explica cómo incluso las herramientas populares pueden convertirse en riesgos si no están gestionadas adecuadamente.
04: Los dispositivos personales dentro de la red corporativa.
Un empleado conecta su smartphone personal a la red de la empresa para acceder al correo corporativo. Este dispositivo no tiene las actualizaciones de seguridad necesarias ni un software antivirus aprobado. Si el smartphone está infectado con malware, podría propagarse a la red corporativa. El INCIBE de Espa;a subraya que los dispositivos personales son una fuente común de Shadow IT, especialmente en los entornos BYOD.
Estrategias para Gestionar el Shadow IT
Aunque el Shadow IT es inevitable, las organizaciones pueden tomar medidas para mitigar sus riesgos:
| Estrategia | Descripción | Fuente |
|---|---|---|
| Políticas claras | Establecer directrices sobre el uso de tecnologías y comunicarlas a los empleados. | INCIBE España |
| Formación en ciberseguridad | Capacitar a los empleados para reconocer los riesgos del Shadow IT y fomentar el uso de herramientas aprobadas. | Zscaler |
| Herramientas aprobadas | Proporcionar alternativas seguras y eficientes que satisfagan las necesidades de los empleados, reduciendo la tentación de usar soluciones no autorizadas. | Forbes Centroamérica |
| Monitoreo y auditorías | Utilizar herramientas como SpinAudit para escanear aplicaciones de terceros y detectar Shadow IT. | Ciberseguridad.com |
| Enfoque colaborativo | Involucrar a los empleados en la selección de herramientas para alinear las necesidades operativas con las políticas de seguridad. | INCIBE España |
Los beneficios potenciales del Shadow IT.
Aunque el Shadow IT es principalmente una amenaza, también tiene su lado positivo. Por ejemplo, el INCIBE de España indica que se puede aliviar la carga de los departamentos de TI, permitiendo a los empleados trabajar de manera más eficiente y estimulando la innovación al explorar nuevas tecnologías en un ecosistema seguro y gestionado en la ciberseguridad. Sin embargo, estos beneficios solo se materializan si el Shadow IT se gestiona adecuadamente, integrando las soluciones útiles en los sistemas aprobados por la unidad de TI.
Algunos datos importantes a tomar en cuenta:
- Las organizaciones promedio utilizan 1,083 servicios en la nube, pero los departamentos de TI solo conocen 108 (Ciberseguridad.com).
- El 80% de los usuarios finales utiliza software o servicios no aprobados (Ciberseguridad.com).
- Durante la pandemia, el uso de software no autorizado creció un 65% debido al trabajo remoto (Forbes Centroamérica).
- El 32% de los empleados que teletrabajan usa software no autorizado, y el 92% utiliza dispositivos personales no registrados (INCIBE-CERT España).
El Shadow IT es una realidad que se vive día a día en el entorno empresarial moderno, impulsada por la necesidad de agilidad y la accesibilidad de la tecnología. Más sin embargo, sus riesgos en ciberseguridad —desde lsa fugas de datos hasta los incumplimientos normativos— no pueden ignorarse. Ejemplos como el uso no autorizado de Dropbox o WhatsApp, nos ilustran cómo decisiones aparentemente inofensivas pueden tener consecuencias graves. Y debido a esta situación, Urge que las organizaciones adopten un enfoque proactivo, combinando políticas claras, formación, monitoreo y soluciones aprobadas para transformar el Shadow IT de una amenaza en una oportunidad para la innovación segura. Al hacerlo, pueden proteger sus datos, cumplir con las regulaciones y mantener la competitividad en el mercado digital.
Escrito por José R. leonett. Fundador del Observatorio Guatematelco de Delitos Informáticos – OGDI
