Mientras los comités directivos debaten si adoptar inteligencia artificial, sus equipos ya la adoptaron sin permiso. El 84% de las empresas enfrenta riesgos asociados al uso no autorizado de herramientas de IA, según cifras presentadas esta semana en Bogotá. El nombre técnico es Shadow AI, y cambia el orden de la conversación: la pregunta ya no es si tu organización usará IA, sino si la usará bajo gobierno o en la sombra.
El dato que reordena la agenda
Tres cifras del mismo reporte dibujan el problema completo. Los ataques potenciados con IA se ejecutan en menos de 30 minutos, cuando antes tomaban días. Las organizaciones apenas detectan entre el 35% y el 40% de las amenazas impulsadas por IA. Y según Marsh, solo el 26% de las empresas cuantifica su riesgo cibernético en términos financieros. El agresor automatizó; el defensor promedio sigue midiendo su exposición con adjetivos.
Para el mid-market latinoamericano el asunto es menos abstracto que para la gran corporación. La empresa mediana no tiene un SOC de cuarenta personas ni un CISO dedicado. Tiene un gerente de tecnología que también administra el ERP, y empleados que pegan datos de clientes en herramientas de IA pública porque les ahorra una hora de trabajo.
Shadow AI no es un problema de disciplina: es un síntoma de vacío
La reacción instintiva es prohibir. Es también la más inútil: la herramienta que se prohíbe se usa desde el teléfono personal. El uso no autorizado de IA florece exactamente donde la organización no ofrece una alternativa gobernada. Si el equipo comercial usa un chatbot público para redactar propuestas, no es porque sea rebelde: es porque nadie le entregó una capacidad equivalente con controles.
La IA en la sombra no se elimina con circulares. Se elimina con una IA oficial que sea mejor que la clandestina.
Qué separa la adopción gobernada de la adopción accidental
La diferencia no está en el modelo de lenguaje: está en la arquitectura que lo rodea. Una adopción gobernada define qué datos pueden tocar los modelos, deja trazabilidad de cada interacción, aísla la información sensible y mide el riesgo en pesos, no en adjetivos. Las empresas que cuantifican financieramente su exposición reducen de manera significativa el costo de las brechas, de acuerdo con el mismo reporte de Marsh. La gobernanza, que suena a freno, resulta ser el único acelerador sostenible. En industrias reguladas como servicios financieros y salud, la IA que opera sin gobernanza con más frecuencia opera sobre documentos no estructurados, expedientes de pacientes, registros de cumplimiento, contratos, que nunca fueron diseñados para ser inputs de IA. Esa es exactamente la intersección que DocIntel gobierna.
Este es el estándar bajo el que construimos nuestra plataforma de agentes de IA en LIFE·IN·CO. Cuando desplegamos automatización documental y de datos de cliente con Fiducoldex, la fiduciaria del Ministerio de Comercio, la condición de entrada fue operar bajo políticas estrictas de gobernanza de datos: perfiles unificados con reglas explícitas de acceso y trazabilidad. En auditoría de fondos públicos con Grupo Blev & Garssa, cada folio procesado por visión artificial deja evidencia verificable. La lección de esos despliegues es directa: en industrias reguladas, la IA solo llega a producción si la gobernanza viaja dentro de la arquitectura, no como anexo.
Lo que conviene monitorear el resto de 2026
Tres frentes. Primero, la regulación: los supervisores sectoriales colombianos ya observan el uso de IA en sus vigilados, y el costo de la informalidad va a subir. Segundo, los seguros: las aseguradoras empiezan a preguntar por gobernanza de IA al cotizar pólizas cibernéticas, y la respuesta moverá la prima. Tercero, el talento: los equipos ya saben usar IA; la organización que les dé un marco seguro capturará esa productividad en lugar de exportarla a herramientas públicas con sus datos adentro.
La adopción de IA en el mid-market latinoamericano va a ocurrir de cualquier forma. La única decisión real de un comité directivo en 2026 es si ocurre dentro de una arquitectura que pueda defender ante un regulador, un asegurador o un cliente. Si tu organización opera en una industria regulada, conviene tener esta conversación pronto.