Desde siempre, el mundo digital corporativo ha enfrentado una lucha constante entre la eficiencia y la seguridad. Durante años, esto se manifestó en forma de "Shadow IT": empleados que utilizaban laptops no autorizadas o servicios en la nube para hacer su trabajo más rápidamente. Los equipos de seguridad se volvieron expertos en el rastreo de estos sistemas no autorizados, configurando firewalls y políticas para poner orden en el caos.
Pero la nueva frontera es diferente y, posiblemente, mucho más sutil y peligrosa.
Imagina un equipo de ingenieros, totalmente inmersos en el desarrollo de un producto revolucionario. Trabajan contra reloj, y un ingeniero junior, intentando optimizar su flujo de trabajo, pega un fragmento de un algoritmo propietario en un chatbot público de IA popular, pidiéndole que refactorice el código para mejorar el rendimiento. La herramienta responde al instante con el código mejorado, y el ingeniero, contento con el resultado, lo incorpora sin dudar.Lo que ignoran es que ese fragmento de código y su pregunta podrían estar ahora en manos del sistema de IA, como parte de su entrenamiento o guardados por el proveedor.Sin que nadie lo advierta, una parte crítica de la propiedad intelectual de la empresa acaba de ser enviada fuera de la organización: una fuga de datos silenciosa y no monitoreada.
Este no es un escenario hipotético. Es la nueva realidad. Los trabajadores, con acceso a estas potentes herramientas de IA, las utilizan actualmente para tareas que van desde la síntesis de documentos sensibles hasta la creación de contenido de marketing e incluso la programación.La información que se transmite fuera de la organización durante estas interacciones suele pasar desapercibida para las soluciones de seguridad convencionales, ya que no fueron concebidas para interpretar la complejidad de una sesión de navegador comunicándose con un modelo lingüístico de gran tamaño. Este uso silencioso y no gestionado se conoce como "Shadow AI", y representa un nuevo punto ciego de seguridad de alto riesgo.
Para mitigar este riesgo, se requiere un nuevo enfoque que permita tener visibilidad sobre estas aplicaciones emergentes y otorgue a los equipos de seguridad el control necesario, sin frenar la innovación que las vuelve tan poderosas.
Aquí es donde entra en juego el Informe de Shadow IT de Cloudflare. No es una lista de amenazas que deban bloquearse, sino una herramienta de visibilidad y análisis para ayudarte a entender el problema antes de que se convierta en una crisis. En lugar de depender de conjeturas o intentar localizar manualmente cada aplicación no autorizada, los clientes de Cloudflare One pueden aprovechar los conocimientos derivados de su tráfico para obtener una imagen clara y basada en datos del uso de aplicaciones en su organización.
El informe brinda una vista detallada y categorizada de la actividad de tu aplicación, y se puede reducir fácilmente a la actividad de IA. Hemos aprovechado nuestras funciones de red e información sobre amenazas para identificar y clasificar los servicios de IA, identificando modelos de propósito general como ChatGPT, asistentes de generación de código como GitHub Copilot y herramientas especializadas que se utilizan para marketing, análisis de datos u otra creación de contenido, como Leonardo.ai. Esta vista detallada permite que los equipos de seguridad vean no solo si un empleado está utilizando una aplicación de IA, sino también qué aplicación de IA y qué usuarios acceden a esta.
Es posible que los usuarios atentos hayan notado que la función Shadow IT ya está disponible desde hace un tiempo. Entonces que, ¿qué ha cambiado recientemente? Si bien Cloudflare Gateway, nuestro Secure Web Gateway (SWG), ha recopilado cierta información durante un tiempo, los usuarios buscan ahora una comprensión más exhaustiva y capacidades de generación de informes sobre el uso de aplicaciones en su entorno empresarial.Cloudflare Gateway gestiona diariamente cientos de millones de registros de uso de aplicaciones para sus principales clientes, y ese volumen estaba provocando dificultades al ejecutar consultas sobre períodos de tiempo más extensos. Además, la implementación original carecía de las funciones de filtrado y personalización necesarias para investigar adecuadamente el uso de las aplicaciones de IA. Sabíamos que esta era información que nuestros clientes valoraban, pero no estábamos comunicándola de manera suficientemente efectiva.
La solución implicó un trabajo conjunto entre distintos equipos y una reestructuración integral liderada por nuestros ingenieros de analítica e informes.Es posible que hayas visto nuestro trabajo recientemente en esta publicación del blog de julio de 2025 donde se detalla cómo adoptamos TimescaleDB para respaldar nuestra plataforma de análisis, desbloqueando nuestras capacidades analíticas, y permitiéndonos agregar y comprimir datos a largo plazo para mejorar significativamente el rendimiento de las consultas. Esta solución aborda el desafío inicial relacionado con la escalabilidad, habilitando a nuestros principales clientes a hacer consultas sobre sus datos durante períodos prolongados.Nuestro rastreador recopila los datos originales de tráfico HTTP desde Gateway, que almacenamos en una base de datos Timescale.
Con los datos ya en nuestra base, diseñamos vistas materializadas específicas para analizar el uso de Shadow IT y herramientas de IA, fortaleciendo el soporte analítico de esta función. Si bien los análisis HTTP existentes que desarrollamos están centrados en las solicitudes HTTP de una cuenta, estas vistas específicas se enfocan en la información relevante para las aplicaciones. Por ejemplo: ¿Cuáles de mis usuarios están accediendo a aplicaciones no aprobadas? ¿Qué ancho de banda están consumiendo? ¿Hay un usuario final en una ubicación geográfica inesperada que esté interactuando con una aplicación no revisada? ¿Qué dispositivos están usando más ancho de banda?
Durante el último año, el equipo ha definido un marco establecido para los análisis que presentamos. Nuestros gráficos de series de tiempo y gráficos top-n permiten filtrar por duración y por los puntos de datos relevantes, lo que facilita a los usuarios profundizar y examinar los detalles de su tráfico corporativo. Hemos renovado el sistema de Shadow IT al examinar los datos disponibles e investigar cómo las aplicaciones de IA estaban planteando desafíos de visibilidad a los clientes.Desde allí, aprovechamos nuestro marco existente y desarrollamos el panel de control de Shadow IT. Esto brindó visibilidad a nivel de aplicación que sabemos que nuestros clientes necesitaban.
El núcleo del sistema es Cloudflare Gateway, un filtro y proxy en línea para todo el tráfico de Internet de tu organización, independientemente de dónde se encuentren tus usuarios. Cuando un empleado intenta acceder a una aplicación de IA, su tráfico pasa por la red global de Cloudflare. Cloudflare puede inspeccionar el tráfico, incluso el nombre de host, y mapear el tráfico a nuestras definiciones de aplicaciones. La inspección de TLS es opcional para los clientes de Gateway, pero es necesaria para los análisis de ShadowIT.
Las interacciones se registran y se vinculan a la identidad del usuario, el estado del dispositivo, el ancho de banda consumido e incluso la ubicación geográfica. Este contexto detallado es crucial para entender quién está usando qué herramientas de IA, cuándo y desde dónde.
2. Revisa el uso de la aplicación
Todos estos datos detallados se presentan en un Informe de Shadow IT en tu panel de control de Cloudflare One. Simplemente filtra las aplicaciones de IA para que puedas hacer lo siguiente:
Visión general. Obtener una idea inmediata de la adopción de IA en tu organización. Consulta las principales aplicaciones de IA en uso, las tendencias generales de uso y el volumen de datos que se están procesando. Esto te ayudará a identificar y priorizar tus estrategias de seguridad y gobernanza.
Análisis detallados. ¿Necesitas más detalles? Haz clic en cualquier aplicación de IA para ver los usuarios o grupos específicos que acceden a esta, la frecuencia de uso, la ubicación y la cantidad de datos transferidos. Este detalle te ayuda a identificar los equipos que utilizan IA en toda la empresa, así como cuántos datos fluyen hacia esas aplicaciones.
Panel de control de análisis de ShadowIT
3. Marca los estados de aprobación de la aplicación
Entendemos que no todas las herramientas de IA se crean de la misma manera, y que el nivel de comodidad de tu organización variará. El Informe de Shadow AI incorpora un marco flexible para el Estado de Aprobación de Aplicaciones, lo que te permite categorizar formalmente cada aplicación de IA detectada:
Aprobado: estas son las aplicaciones de IA que han pasado tu evaluación de seguridad interna, cumplen con tus políticas y su uso está oficialmente autorizado.
No aprobado: estas son las aplicaciones prohibidas.Quizás sus políticas de privacidad son preocupantes, tienen un historial de vulnerabilidades o, simplemente, no se ajustan a los objetivos de tu empresa.
En revisión: para las aplicaciones que se encuentran en una zona gris o para herramientas recién descubiertas, este estado permite que tus equipos reconozcan su uso mientras realizan una investigación exhaustiva. Te da tiempo para tomar una decisión informada sin una interrupción inmediata.
Revisa y marca los estados de las aplicaciones en el panel de control
Estos estados de aprobación se activan cuando se integran con las políticas de Cloudflare Gateway. Esto te permite aplicar automáticamente tus decisiones sobre IA en el perímetro de la red de Cloudflare, lo que garantiza una seguridad uniforme para todos los empleados, independientemente de dónde trabajen.
Aquí te mostramos cómo convertir tus decisiones en protección directa:
Bloquea la IA no aprobada: la acción más sencilla y directa. Crea una política HTTP de Gateway que bloquee todo el tráfico hacia cualquier aplicación de IA marcada como "No Aprobada". Esto detiene de inmediato la exfiltración de datos peligrosa.
Limita la exposición de aplicaciones "En Revisión": para aquellas aplicaciones que aún se están evaluando, quizás no quieras aplicar un bloqueo estricto, sino establecer una leve limitación que reduzca los riesgos potenciales:
Previene la pérdida de datos (DLP): Cloudflare DLP inspecciona y analiza el tráfico para detectar indicadores de datos confidenciales (por ejemplo, números de tarjetas de crédito, información de identificación personal, nombres de proyectos internos, código fuente) y luego puede bloquear la transferencia. Al aplicar DLP a las aplicaciones de IA "En Revisión", puedes evitar que los prompts de IA contengan datos confidenciales, y además notificar al usuario por qué se bloqueó el prompt. Esto podría haber evitado el desafortunado error de nuestro ingeniero junior, pese a sus buenas intenciones.
Restringe acciones específicas: bloquea solo las cargas de archivos que permiten la interacción básica pero evitan la salida masiva de datos.
Aísla las sesiones de riesgo: redirige el tráfico para las aplicaciones "En revisión" a través del aislamiento del navegador de Cloudflare. El aislamiento del navegador ejecuta la sesión del navegador en un contenedor remoto seguro, aislando todas las interacciones de datos de la red corporativa. Con esta herramienta, puedes controlar las cargas de archivos, las acciones del portapapeles, reducir las entradas por teclado y más, disminuyendo la interacción con la aplicación mientras la revisas.
Audita el uso "Aprobado": incluso con herramientas de IA en las que confías, podría ser conveniente registrar todas las interacciones para auditorías de cumplimiento normativo o aplicar reglas específicas de manejo de datos que aseguren el cumplimiento normativo continuo de las políticas internas.
Este flujo de trabajo permite que tu equipo audite de forma constante el uso de la IA en tu organización y actualice fácilmente las políticas para reducir de manera rápida y eficaz los riesgos de seguridad.
Análisis forense con Cloudflare Log Explorer
Si bien el Informe de Shadow AI ofrece excelentes perspectivas, los equipos de seguridad a menudo necesitan hacer investigaciones forenses más detalladas. Para estas situaciones especiales, ofrecemos Cloudflare Log Explorer.
Log Explorer te permite almacenar y consultar tus registros de Cloudflare directamente en el panel de control de Cloudflare o a través de la API, eliminando así la necesidad de enviar volúmenes masivos de registros a SIEM de terceros para cada investigación. Brinda datos de registro sin procesar y sin muestrear con el contexto completo, lo que permite un análisis rápido y detallado.
Los clientes de Log Explorer pueden explorar los registros de Shadow AI con consultas SQL predefinidas de Cloudflare Analytics, lo que permite investigaciones más profundas sobre el uso de la IA:
Interfaz de consulta SQL de Log Search
Cómo investigar Shadow AI con Log Explorer:
Rastrea la actividad específica del usuario: si el Informe de Shadow AI marca a un usuario con alta actividad en una aplicación de IA "En revisión" o "No aprobada", puedes acceder a Log Explorer y consultar por usuario, categoría de aplicación o servicios de IA específicos.
Analiza los intentos de exfiltración de datos: si tienes políticas de DLP configuradas, puedes buscar coincidencias de DLP junto con categorías de aplicaciones de IA. Esto permite identificar los intentos de cargas de datos confidenciales en aplicaciones de IA y a precisar exactamente qué datos se estaban transmitiendo.
Identifica el uso anormal de la IA: el Informe de Shadow AI puede mostrar un pico en el uso de una aplicación de IA en particular. En Log Explorer, puedes filtrar por estado de la aplicación (En revisión o No aprobada) para un intervalo de tiempo específico. Luego, busca patrones inusuales, como un alto número de solicitudes desde una única dirección IP de origen o áreas geográficas inesperadas, que podrían indicar cuentas en riesgo o intentos de evasión de políticas.
Si la visibilidad de la IA resulta un desafío para tu organización, el Informe de Shadow AI ya está disponible para los clientes de Cloudflare One, como parte de nuestras funciones más amplias de detección de Shadow IT. Inicia sesión en tu panel de control para empezar a obtener visibilidad y dar forma a tu estrategia de gestión de la IA hoy mismo.
¿Estás listo para modernizar la forma en que proteges el acceso a las aplicaciones de IA? Solicita una consulta con nuestros expertos en seguridad de Cloudflare One sobre cómo obtener visibilidad y control.
Si aún no estás listo para hablar con alguien, casi todas las funciones de Cloudflare One están disponibles sin costo hasta para 50 usuarios. Muchos de nuestros mayores clientes empresariales empiezan por explorar los productos de nuestro plan gratuito, y tú puedes empezar aquí.
Si tienes comentarios o deseas ayudar a definir cómo Cloudflare mejora la visibilidad en Shadow AI, únete a nuestro programa de investigación de usuarios.