Por: Luis Manuel Rivera

“Shadow AI” (o “IA en la sombra”) es un término que se refiere al uso de herramientas o sistemas de inteligencia artificial dentro de una organización sin el conocimiento, aprobación o control del departamento de TI, de seguridad o de gobierno de datos. 

Aquí te explico con más detalle y te comparto algunos ejemplos en la Hoteleria.

Qué implica

Colaboradores pueden usar ChatGPT, herramientas de generación de contenido, modelos de lenguaje, asistentes inteligentes o aplicaciones de IA externas para tareas del trabajo, sin que los equipos oficiales lo supervisen. 

No hay visibilidad ni trazabilidad formal de qué datos se envían, cómo se procesan ni dónde quedan almacenados. 

Surge como una especie de extensión del concepto de shadow IT (uso no autorizado de tecnología), pero enfocado específicamente en tecnologías basadas en IA. 

⚠️ Riesgos principales

Filtración o exposición de datos sensibles Al usar herramientas externas no reguladas, se puede entregar información confidencial — clientes, finanzas, código interno — sin control. 

Incumplimiento normativo y legal Si los datos se manejan fuera de los estándares de seguridad o regulaciones (GDPR, normativas locales), puede haber sanciones o problemas legales. 

Salidas no confiables / sesgos / errores Las herramientas de IA pueden “alucinar” respuestas o generar resultados sesgados; si no hay supervisión, esas salidas podrían usarse erróneamente en decisiones. 

Fragmentación de procesos / inconsistencias Si diferentes departamentos usan distintos sistemas de IA no coordinados, puede haber falta de coherencia en procesos, dificultad en mantenimiento y control. 

Amenazas de seguridad Puede abrir puertas a vulnerabilidades, acceso no autorizado, cuentas sombra o escalación de privilegios. 

Ejemplos de “Shadow AI” en la hotelería

1. ChatGPT o Gemini usados sin control corporativo

Escenario:

Un gerente de ventas o un recepcionista usa ChatGPT o Gemini para redactar correos, cotizaciones o respuestas a huéspedes — incluso ingresando nombres, fechas o números de reserva — sin aprobación ni anonimización de datos.

Riesgo:

Se exponen datos personales (violando GDPR o Ley Federal de Protección de Datos en México). El área de TI o Contraloría no sabe que se están compartiendo datos con terceros.

Solución:

Implementar un ChatGPT corporativo o un modelo privado (por ejemplo, ChatGPT Team o Enterprise) con políticas de seguridad y entrenamiento en “prompt seguro”.

2. Revenue managers que usan IA externa para pronósticos

Escenario:

El departamento de Revenue utiliza herramientas externas de IA (por ejemplo, algoritmos en plataformas online como ForecastAI o ChatGPT para Excel) para proyectar tarifas o demanda, sin validación del contralor financiero o del PMS.

Riesgo:

El modelo puede usar datos inexactos o desactualizados. Se rompe la trazabilidad entre sistemas (PMS–BI–contabilidad).

Solución:

Centralizar la analítica con plataformas integradas (por ejemplo, Power BI con modelos de IA aprobados o módulos de IA dentro del PMS).

3. Recursos humanos utilizando IA para evaluaciones de desempeño

Escenario:

El área de RR.HH. usa una aplicación gratuita de IA para evaluar currículos o redactar entrevistas psicométricas, sin que TI la haya revisado.

Riesgo:

Sesgos en la selección de personal. Fuga de datos personales de los candidatos. Incumplimiento con las NIF C-6 y NIF D-3 respecto al tratamiento del capital humano.

Solución:

Alinear el uso de IA con políticas éticas y sistemas internos aprobados de Human Analytics (por ejemplo, BambooHR con IA interna o módulos de Oracle Hospitality).

4. Departamentos de Marketing creando campañas con IA sin control

Escenario:

Un community manager usa Midjourney o DALL·E para generar imágenes con logotipos del hotel o incluso rostros de huéspedes o empleados sin autorización.

Riesgo:

Violación de derechos de imagen o propiedad intelectual. Publicación de contenido no aprobado por la marca.

Solución:

Establecer un protocolo de Brand Governance que defina qué herramientas de IA son aprobadas y cómo deben citarse o archivarse los recursos generados.

5. Recepción y concierge usando traductores o bots de IA

Escenario:

Recepcionistas usan traductores de IA (Google Translate, DeepL, ChatGPT) para atender huéspedes extranjeros, incluyendo datos de pasaportes o tarjetas.

Riesgo:

Divulgación de datos confidenciales. Incumplimiento con las normas de protección de información sensible.

Solución:

Implementar un sistema interno multilingüe con IA aprobada, como parte del CRM o PMS, que garantice cifrado y registro interno de consultas.

Consecuencias comunes en un hotel con Shadow AI

Desviaciones contables: cuando los datos procesados por IA no se reflejan en el sistema oficial (USALI). Fugas de información: ventas, contratos o tarifas compartidas con herramientas no seguras.

Auditorías fallidas: por falta de evidencia o trazabilidad de decisiones automatizadas. Riesgo reputacional: contenido o mensajes generados por IA que no reflejan la voz del hotel o del grupo.

Recomendaciones para evitar el Shadow AI

Inventario de herramientas IA usadas por cada departamento.

Capacitación corporativa en IA segura, especialmente para Revenue, RRHH y Marketing.

Definición de un Comité de Gobernanza de IA, con presencia de Contraloría, TI y Dirección General.

Implementación de modelos internos o privados (Azure OpenAI, ChatGPT Enterprise, IBM watsonx).

Protocolos de ética y trazabilidad: registrar cuándo y con qué fin se usa la IA.

Gracias

Luis Manuel Rivera