La adopción de la inteligencia artificial (IA) en las empresas está entrando en una crisis de gobernanza que muchas organizaciones aún no han identificado ni nombrado. Durante la primera ola de la IA generativa, los empleados avanzaron por delante de las estructuras internas, experimentando con herramientas, compartiendo datos confidenciales en plataformas públicas y aplicando la tecnología en casos prácticos mucho antes de que existieran controles formales. Lo que muchos directivos veían como innovación, en realidad constituyó el germen de una nueva crisis similar a la denominada «Shadow IT», pero con implicaciones mucho más graves.
Mientras que el fenómeno tradicional de TI paralela se refería principalmente al uso no autorizado de aplicaciones, la llamada «Shadow AI» implica un juicio, movimiento y ejecución de datos sin aval de las autoridades corporativas. Mientras que una hoja de cálculo fuera del control de TI puede provocar problemas de versiones, un agente de IA actuando sin supervisión puede acceder a información sensible, activar procesos automatizados, interactuar con clientes y realizar acciones que resultan difíciles de rastrear después.
Entonces, no se trata solo de un problema de grado sino de una cuestión completamente distinta. 
La magnitud del problema actual
Los datos ilustran claramente la situación. En marzo de 2026, un informe de CIO Dive basado en una encuesta realizada por EY a 500 líderes tecnológicos en EE. UU. reveló que más de la mitad de las iniciativas de IA a nivel departamental no contaban con aprobación ni supervisión formal. Además, el 85% de los responsables tecnológicos reconoció priorizar el tiempo de lanzamiento al mercado frente a la gobernanza de la IA, y más del 78% admitió que la adopción estaba superando la capacidad de sus organizaciones para gestionar los riesgos asociados.
Este desequilibrio refleja una tensión conocida: la presión para mostrar avances en IA, la necesidad de rapidez por parte de las unidades de negocio y la exigencia de resultados visibles por parte de los consejos de administración. Sin embargo, a medida que la IA se incorpora en los procesos operativos, ya no basta con regirse por políticas internas o gestionar las excepciones sobre la marcha.
La IA ha dejado de limitarse a generar textos o resumir documentos. La iniciativa de estándares NIST de febrero de 2026 ha definido los sistemas «agénticos» como aquellos capaces de tomar decisiones y actuar de forma autónoma con mínima supervisión humana, anticipando un aumento significativo en el alcance y complejidad de sus funciones conforme se masifique su uso.
Asimismo, un análisis publicado por Reuters Practical Law en abril de 2026 destacó que esta IA capaz de actuar por sí misma multiplica las preocupaciones legales, de privacidad, seguridad y cumplimiento, debido a que puede desempeñar acciones dirigidas a objetivos específicos en distintos contextos con poca intervención humana.
Los consejos de administración están empezando a percibir esta exposición. Un reportaje de Axios de abril de 2026 indicó que la IA se está convirtiendo en un riesgo reputacional y de gobernanza para los directivos, muchos de los cuales carecen del conocimiento y las herramientas necesarias para supervisar la transformación que impulsa esta tecnología. En este punto, la supervisión débil deja de ser un problema exclusivo de TI para convertirse en un riesgo estratégico para toda la empresa.
Qué implica un plano de control para la IA
Las organizaciones necesitan establecer un «plano de control» para la IA, un concepto que debe definirse con claridad más allá de una simple palabra de moda.
- Se trata de una capa de gobernanza centralizada que determina:
- Los modos en que los sistemas de IA acceden a la información,
- Las autorizaciones para actuar,
- La supervisión continua de todas sus actividades,
- Y la auditoría sistemática de sus decisiones.
Este plano no es un producto o una plataforma aislada, sino el enlace esencial entre las ambiciones corporativas en IA y la disciplina operativa necesaria para desplegarla con seguridad.
Sin este control, la adopción de IA se fragmenta en experimentos aislados con supuestos descoordinados respecto a datos, permisos, responsabilidades y riesgos. La gobernanza debe integrarse en tiempo real, superando la simple elección de modelos o las políticas de uso aceptable. La empresa debe saber qué sistemas están activos, qué datos pueden utilizar, qué acciones pueden ejecutar y si esas acciones son trazables.
En su documento conceptual de febrero de 2026, NIST abordó específicamente la necesidad de estándares de identidad y autorización para agentes de IA en entornos corporativos, señalando que los controles de acceso tradicionales no están diseñados para esta nueva realidad.
Los agentes de IA pueden actuar en nombre de personas, equipos, flujos de trabajo o sistemas. Que un empleado tenga acceso legítimo a un dato no implica que cada proceso de IA bajo su autoridad deba heredar el mismo permiso. Por ello, los accesos deben ser más estrictos, contextuales y revocables.
La auditabilidad también es fundamental. A medida que la IA se integre en los procesos de negocio, no bastará con registros que confirmen el uso de una herramienta; será imprescindible disponer de evidencias que detallen qué información se accedió, qué instrucciones se dieron, qué acciones se realizaron, bajo qué políticas y en qué punto hubo revisión humana. Esto no es burocracia, sino memoria operativa indispensable.
Por qué una gobernanza fuerte favorece la adopción
Uno de los grandes errores de las empresas será entender la supervisión de la IA como un freno a la innovación. Por el contrario, una gobernanza robusta genera la confianza necesaria para escalar su uso.
Los departamentos están más dispuestos a desplegar IA cuando las reglas de acceso son claras; los equipos de seguridad apoyan mejor la experimentación si las acciones son visibles; los responsables legales y de cumplimiento aprueban casos de uso cuando existen auditorías rigurosas; y los empleados confían en sistemas que operan dentro de límites definidos.
El objetivo es lograr una «autonomía controlada». Demasiadas limitaciones convierten a la IA en una herramienta marginal; un control insuficiente la convierte en un riesgo fuera de control, implantado antes de que nadie haya evaluado sus impactos. Las empresas que eviten esta crisis emergente serán aquellas que conciban la gobernanza no como un mero trámite, sino como un pilar fundamental de su infraestructura operativa.
La pérdida de control tecnológico rara vez ocurre de forma abrupta. Sucede gradualmente a través de excepciones aisladas, pilotos desconectados, permisos difusos y herramientas que se vuelven críticas antes de evaluar sus riesgos. La gran pregunta para cualquier comité ejecutivo no es si invertir en IA —ya todas las organizaciones lo hacen— sino si están construyendo la gobernanza con la misma celeridad que despliegan sus sistemas.
Si la respuesta es negativa, la crisis de la Shadow AI no es una amenaza futura, sino una realidad ya en proceso de formación.
