En la era digital, las empresas enfrentan una amenaza invisible y creciente: el Shadow IT. Este fenómeno, definido por el uso de aplicaciones, dispositivos y servicios de nube pública no autorizados, está poniendo en jaque la seguridad cibernética de las organizaciones.
Un estudio de Kaspersky ha arrojado luz sobre esta problemática, revelando que un alarmante 77% de las empresas a nivel mundial han sufrido incidentes cibernéticos en los últimos dos años, con el 11% de estos incidentes atribuidos directamente al uso de Shadow IT. La industria TI se ha visto especialmente afectada, reportando un 16% de ciberincidentes relacionados con este fenómeno.
El caso de Okta sirve como un claro ejemplo de los peligros que conlleva. Un empleado, utilizando su cuenta personal de Google en un dispositivo de la empresa, permitió sin querer a los ciberdelincuentes acceder al sistema de atención al cliente, afectando a 134 clientes durante un lapso de 20 días.
Pero el Shadow IT no se limita solo a aplicaciones visibles. Incluye también dispositivos móviles no solicitados, memorias USB y hasta hardware obsoleto. Además, los programadores dentro de las empresas a menudo crean soluciones a medida sin el consentimiento del departamento de TI, aumentando inadvertidamente los riesgos de seguridad.
Alexey Vovk, de Kaspersky, advierte sobre la responsabilidad compartida en los términos y condiciones de proveedores externos, una trampa común para los empleados que usan estas herramientas no autorizadas.
La falta de sanciones documentadas y la previsión de que Shadow IT se convierta en una amenaza principal para la ciberseguridad en 2025 complican aún más el panorama. Sin embargo, hay una luz al final del túnel: la mayoría de los empleados usan estos programas no por malicia, sino por eficiencia o preferencia personal.
Kaspersky sugiere varias estrategias para mitigar los riesgos del Shadow IT, como fomentar la cooperación entre los departamentos, realizar inventarios de activos informáticos, limitar el acceso a dispositivos personales y ofrecer formación en seguridad de la información.
El reto es claro: las empresas deben adaptarse a esta realidad cambiante, equilibrando las necesidades de seguridad con la flexibilidad y la innovación.