Shadow IT: cómo encontrarlo, por qué te cuesta dinero y cómo detenerlo
El shadow IT — software en uso sin aprobación de TI o finanzas — suele representar entre el 30 y el 50% del gasto SaaS total de una empresa mediana. Es también la fuente más predecible de brechas de seguridad, hallazgos de auditoría y sorpresas en renovaciones. Cómo aflorarlo y eliminarlo sin convertirte en la policía de la oficina.
El shadow IT no es un fallo moral. Es el resultado natural de equipos que necesitan entregar y un proceso de compras que tarda tres semanas en aprobar una herramienta de $19/mes. La solución no es una política más estricta — es un camino sancionado más rápido más un bucle de descubrimiento que captura el resto.
Las cuatro fuentes de shadow IT
- SaaS con tarjeta personal — un responsable se suscribe a una herramienta de $30/mes y la incluye en gastos. Multiplicado por una empresa de 200 personas, esta es la mayor fuente.
- Escalada del nivel gratuito — un equipo adopta una versión gratuita, el equipo crece, el nivel gratuito se convierte silenciosamente en un plan de pago de $5k/año que nadie revisó.
- Conversión de prueba a pago — una prueba de 14 días se convierte automáticamente en una suscripción de pago porque nadie la canceló.
- Herramientas adquiridas — una empresa que compraste trajo 12 nuevas suscripciones SaaS que todavía no conoces.
Por qué realmente te cuesta dinero
| Coste | Magnitud (organización típica de 200 empleados) |
|---|---|
| Desperdicio directo (duplicados, sin uso, sin rastrear) | $50k–$200k/año |
| Hallazgos de cumplimiento / auditoría | Una sola remediación puede costar más de $10k por hallazgo |
| Incidentes de seguridad | El 67% de las brechas de 2025 se rastrean hasta SaaS no gestionado — datos de IBM Cost of Breach |
| Apalancamiento de renegociación perdido | El proveedor conoce tu número de puestos, tú no — margen neto del 8–15% |
Técnicas de descubrimiento que realmente funcionan
1. Rastreo de informes de gastos
Extrae los últimos 12 meses de datos de tarjeta corporativa e informes de gastos. Filtra por categorías de comerciante como SaaS, software, suscripciones. Agrupa por nombre de proveedor. La lista de proveedores de los que nunca has oído hablar es tu primer montón de shadow IT.
2. Concesiones OAuth del proveedor de identidad
La mayoría del SaaS moderno se autentica mediante Google o Microsoft. Ambos IdPs mantienen una lista de todas las aplicaciones de terceros a las que los usuarios han concedido acceso. Exporta esa lista — normalmente es entre 3 y 5 veces lo que el equipo de TI cree que está en uso. Configuración → Seguridad → Aplicaciones OAuth en Google; Aplicaciones empresariales en Microsoft Entra.
3. Registros de DNS / proxy
Si tienes un proxy corporativo o un resolvedor DNS, los principales destinos por volumen de solicitudes revelan qué endpoints SaaS usan los empleados. Compáralos con tu lista de herramientas sancionadas.
4. Conectores SaaS a SaaS
Herramientas como Slack, Notion y Zoom exponen listas de aplicaciones instaladas. Un administrador de Slack puede listar todas las aplicaciones que se han añadido al workspace. Lo mismo para Notion (integraciones) y Zoom (aplicaciones del marketplace). Cada lista tiene candidatos de shadow IT.
5. Auditoría de extensiones del navegador
Para parques gestionados de Chrome / Edge / Safari, lista las extensiones instaladas. Muchas "extensiones" son en realidad productos SaaS completos con servicios backend y contratos.
La matriz de clasificación
Una vez que tienes la lista, clasifica cada hallazgo de shadow IT en uno de cuatro grupos:
| Grupo | Acción |
|---|---|
| Sancionado (solo no rastreado) | Añadir al inventario, asignar responsable, ciclo de vida normal |
| Útil pero redundante | Migrar usuarios a la herramienta sancionada existente, cancelar |
| Riesgo de cumplimiento / seguridad | Bloquear, migrar o remediar según la sensibilidad de los datos |
| Uso personal | Eliminar de la facturación corporativa; el usuario puede mantenerlo en su tarjeta personal si lo desea |
No lo encabeces con vergüenza
La forma más rápida de empujar el shadow IT más profundo es castigar públicamente a los primeros que detectes. Trata el primer barrido como descubrimiento, no como aplicación de la ley. La aplicación comienza después de haber lanzado un camino sancionado más rápido.
El camino sancionado rápido
Eliminar el shadow IT de forma permanente requiere una alternativa sancionada que sea genuinamente más rápida que saltarse el proceso de compras. El patrón correcto:
- Catálogo de autoservicio de herramientas preaprobadas con acceso con un clic.
- Flujo de solicitud de "nueva herramienta" que se resuelve en menos de 5 días laborables para herramientas por debajo de un umbral ($500/mes).
- Aprobación automática para escenarios de sustitución de una herramienta existente.
- Escalado claro para casos sensibles al cumplimiento (datos de RRHH, datos de clientes, flujos de trabajo regulados).
Si una herramienta puede aprobarse y aprovisionarse en 4 días, los informes de gastos dejan de ser el camino de mínima resistencia.
Prevención continua
Un barrido inicial encuentra el inventario acumulado. Un bucle continuo evita que vuelva:
- Revisión mensual de concesiones OAuth — todo lo nuevo se clasifica.
- Informes de gastos etiquetados automáticamente como SaaS — finanzas revisa mensualmente.
- Alertas de conversión de prueba en la tarjeta corporativa.
- Encuesta trimestral a los usuarios — "¿qué herramientas usas que no estén en la lista sancionada?" A menudo aflora cosas que importan.
Cómo ayuda InventorIA
InventorIA extrae datos de gastos, concesiones OAuth del IdP e integraciones de APIs SaaS en una vista unificada de shadow IT. Cualquier novedad se marca con su procedencia ("visto por primera vez el 12-04-2026 vía informe de gastos; usuario: María L.; coste: $29/mes"). La clasificación se convierte en una lista con acciones con un clic — sancionar, migrar o bloquear. Más sobre la disciplina de licencias más amplia aquí.
Encuentra tu shadow IT antes de que lo haga tu auditor
InventorIA aflora cada SaaS no rastreado — desde informes de gastos, concesiones IdP y más de 50 integraciones. El nivel gratuito cubre 10 usuarios.
Empezar gratis →