Según Gartner, el 41% de los empleados ya tiene su propia solución tecnológica. Lo que eso puede estar costándole a tu empresa

No es un problema de seguridad. O no es solo eso. La narrativa habitual sobre el shadow IT —las herramientas que los empleados usan sin que IT lo sepa— sitúa el riesgo en la ciberseguridad y el cumplimiento normativo. Esos riesgos son reales. Pero en la empresa mediana española, el impacto más inmediato del shadow IT es más prosaico: la empresa paga dos veces por el mismo proceso.

Gartner estima que en 2024 el 41% de los empleados adquiere o crea soluciones tecnológicas sin conocimiento del departamento de IT [1]. Para 2027, esa cifra alcanzará el 75%. Gartner también estima que el shadow IT representa entre el 30% y el 50% del gasto tecnológico real de una organización [2].

En una empresa con un presupuesto tecnológico de 200.000 euros anuales, eso son entre 60.000 y 100.000 euros en herramientas que nadie inventarió, que no están integradas con los sistemas corporativos y que, cuando la persona que las configuró se va de la empresa, dejan de funcionar o dejan de entenderse.

Este artículo no es una llamada a prohibir nada. Las herramientas que los equipos adoptan por su cuenta suelen resolver problemas reales que los sistemas corporativos no resuelven bien. El objetivo es entender qué hay ahí, qué cuesta de verdad y qué se puede hacer con ello de forma ordenada.

El mapa del shadow IT típico en una empresa mediana española

La empresa mediana española en los sectores de hostelería, distribución, servicios profesionales y educación tiene un perfil de shadow IT bastante predecible. No son herramientas raras ni usos ilegítimos: son soluciones que los equipos adoptan porque los sistemas corporativos tienen una brecha que nadie ha cerrado todavía [8].

‍

La MuleSoft Connectivity Benchmark Report 2024 lo cuantifica: la empresa media utiliza más de 900 aplicaciones, de las cuales solo el 28% están integradas entre sí [5]. En la empresa mediana española —que opera con un ecosistema mucho menor— el patrón se replica a escala: entre 50 y 200 aplicaciones, la mayoría de ellas sin conexión entre sí, generando silos de datos que IDC estima cuestan entre el 20% y el 30% de los ingresos anuales en ineficiencias [7].

Por qué el shadow IT no desaparece prohibiéndolo

La respuesta institucional clásica ante el shadow IT es la prohibición: lista de herramientas autorizadas, bloqueo de instalaciones no aprobadas, comunicaciones internas sobre el uso correcto de los recursos tecnológicos. El resultado habitual es que el shadow IT continúa, pero de forma más oculta. Los empleados siguen usando sus herramientas; simplemente dejan de mencionar que lo hacen.

El informe de Retool Build vs. Buy Report 2026 —encuesta a 817 profesionales en empresas de startup a Fortune 500— documentó que el 60% de los encuestados construyó software fuera de la supervisión de IT en el último año [3].

No lo hicieron por negligencia ni por desafiar a IT: lo hicieron porque tenían un problema que resolver y las herramientas autorizadas no lo resolvían con la velocidad que necesitaban. El 35% ya ha reemplazado al menos una herramienta SaaS corporativa con un desarrollo propio.

La causa estructural es que la empresa mediana tiene una brecha entre la velocidad a la que los departamentos operativos necesitan resolver problemas y la velocidad a la que IT puede priorizarlos. Gartner reconoce este fenómeno como estructural: el concepto de citizen developer —empleado que construye soluciones sin perfil técnico formal— no es una anomalía, sino un patrón que se acelera [6].

Para 2026, el 80% de los usuarios de plataformas low-code serán profesionales fuera de IT.

El shadow IT no es un problema de cultura corporativa ni de formación. Es un síntoma de que hay procesos operativos sin cobertura tecnológica adecuada. Eliminarlo sin cubrir esos procesos no resuelve nada: traslada el problema a otro formato.

Cómo auditar el shadow IT de una empresa mediana en cuatro semanas

Gartner recomienda un enfoque de governance en tres fases: auditoría de uso real, clasificación por nivel de riesgo y decisión de regularización, sustitución o eliminación [10]. Lo que sigue es una adaptación práctica para empresa mediana, sin recursos de un departamento de IT enterprise.

Semana 1 y 2. El inventario real

‍No el inventario que IT cree que existe. El inventario real requiere conversaciones directas con los responsables de cada departamento —ventas, operaciones, RRHH, finanzas, marketing— con una sola pregunta: ¿qué herramientas usa tu equipo para hacer su trabajo que no estén en la lista de software corporativo aprobado? La pregunta no es acusatoria: es de diagnóstico. El objetivo es entender la brecha, no castigarla.

Las herramientas de gestión de red como Lansweeper o similares pueden complementar este inventario detectando aplicaciones instaladas o dominios SaaS accedidos desde la red corporativa. Pero la conversación con los equipos es imprescindible: las herramientas de red no detectan lo que se usa desde el móvil personal o desde redes domésticas.

Semana 3. La clasificación por impacto

‍No todo el shadow IT tiene el mismo riesgo ni el mismo valor. Una vez inventariado, cada herramienta puede clasificarse en tres categorías: herramientas que resuelven un problema real que ningún sistema corporativo cubre bien (candidatas a regularización o sustitución planificada), herramientas que duplican funcionalidades ya pagadas en el stack corporativo (candidatas a eliminación y migración), y herramientas que involucran datos sensibles sin las garantías adecuadas (prioritarias para intervención inmediata).

Semana 4. El plan de acción

‍Gartner estima que el 40% del shadow IT identificado en empresas medianas puede regularizarse con ajustes de configuración en herramientas ya contratadas [10].

El otro 60% requiere una decisión: formalizar la herramienta shadow con un contrato y las garantías adecuadas, sustituirla por una herramienta interna diseñada específicamente para ese caso de uso, o integrarla en el stack corporativo vía iPaaS. Las tres opciones son legítimas. La cuarta opción —prohibirla sin cubrir el proceso que resolvía— es la que genera más shadow IT de segunda generación.

Qué hacer con lo que encuentras: el caso de Airtable y la herramienta interna

El caso más frecuente en empresa mediana es el de Airtable o Google Sheets usados por un departamento para gestionar un proceso que el ERP o el CRM no cubren bien: un pipeline de proyectos, un tracker de incidencias, un sistema de onboarding de clientes. Estas herramientas suelen funcionar correctamente dentro del equipo que las creó y dejan de funcionar cuando escalan: cuando el equipo crece, cuando los datos necesitan conectarse con otro sistema o cuando la persona que las configuró se va.

El 80% del Fortune 100 usa Airtable [9].

La diferencia entre el uso enterprise de Airtable y el uso shadow IT de Airtable no es la herramienta: es el diseño. Una base de Airtable bien diseñada, con permisos correctos, integrada vía API con el ERP y con un propietario de proceso identificado, resuelve el problema operativo con garantías. Una base de Airtable creada por alguien en un fin de semana para resolver un problema urgente, sin documentación y con acceso compartido por enlace, es shadow IT aunque la herramienta sea la misma.

La implicación es que la respuesta al shadow IT productivo —el que resuelve problemas reales— no es eliminarlo, sino diseñarlo correctamente. Eso requiere tiempo y conocimiento de diseño de procesos, no solo acceso a la herramienta. Y ese diseño bien hecho, con los datos conectados a los sistemas corporativos y con las garantías de seguridad adecuadas, es exactamente lo que distingue una herramienta interna de un workaround improvisado.

Las organizaciones que consolidan su shadow IT antes de implementar automatización logran un 23% más de adopción de los nuevos flujos que las que automatizan sobre un ecosistema fragmentado [11].

El orden importa: primero el mapa del territorio, luego la infraestructura.

El shadow IT como señal, no como problema

Cada herramienta no autorizada que un departamento está usando es información. Indica que hay un proceso operativo sin cobertura tecnológica adecuada, que los sistemas corporativos existentes tienen una brecha que los usuarios han identificado y que hay capacidad de adopción tecnológica en los equipos que el departamento de IT desconoce.

Tratado como señal, el shadow IT es el mejor mapa de dónde construir herramientas internas con impacto real. Tratado como amenaza, genera un ciclo de prohibición y sustitución que no cierra las brechas operativas y que, para 2027, afectará al 75% de los empleados de cualquier organización [1].

La pregunta que vale la pena hacerse no es «¿qué herramientas están usando sin permiso?», sino «¿qué nos están diciendo sobre lo que nuestros sistemas no resuelven?». Esa segunda pregunta tiene una respuesta mucho más útil.

‍Referencias

[1] Gartner (2024). Predicts 2025: Empowered Employees and Technology Democratization.
Gartner estima que en 2024 el 41% de los empleados adquiere o crea soluciones tecnológicas sin conocimiento del departamento de IT. Para 2027, esta cifra alcanzará el 75%. El informe define el shadow IT como el conjunto de sistemas, soluciones y servicios utilizados dentro de una organización sin aprobación explícita del departamento de tecnología.

[2] Gartner (2023). How to Manage and Mitigate Shadow IT Risk (ID: G00793742).
El shadow IT representa entre el 30% y el 50% del gasto tecnológico real de una empresa. Parte de este gasto no es adicional, sino duplicado, ya que sustituye herramientas corporativas existentes.

[3] Retool (2026, febrero). The Build vs. Buy Shift: How Vibe Coding and Shadow IT Have Reshaped Enterprise Software.
markets.financialcontent.com/wral/article/bizwire-2026-2-17-retools-2026-build-vs-buy-report-reveals-35-of-enterprises-have-already-replaced-saas-with-custom-software
Encuesta a 817 profesionales en empresas desde startups hasta Fortune 500. El 60% construyó software fuera de la supervisión de IT en el último año (25% de forma frecuente) y el 35% ha reemplazado al menos una herramienta SaaS por un desarrollo propio.

[4] McKinsey & Company (2024). Unlocking value from AI in operations: A playbook for the enterprise.
Los empleados pierden hasta 9,3 horas semanales buscando información y coordinando aprobaciones entre sistemas no integrados. El 45% del tiempo dedicado a estos procesos podría automatizarse con tecnología existente.

[5] MuleSoft (2024). 2024 Connectivity Benchmark Report. www.mulesoft.com/connectivity-benchmark
La empresa media utiliza más de 900 aplicaciones, de las cuales solo el 28% están integradas. El 68% de las organizaciones identifica los silos de datos como su principal obstáculo, y el 80% de los líderes de IT afirma que estos impiden aprovechar los datos para la toma de decisiones.

[6] Gartner (2023). Magic Quadrant for Enterprise Low-Code Application Platforms.
El concepto de citizen developer —empleados que crean soluciones sin perfil técnico formal— es un fenómeno estructural. Para 2026, el 80% de los usuarios de plataformas low-code serán profesionales fuera de IT.

[7] IDC (2024). The Cost of Disconnected Data in the Enterprise.
Las organizaciones pierden entre el 20% y el 30% de sus ingresos anuales debido a ineficiencias derivadas de silos de datos. La duplicación de herramientas es uno de los principales factores.

[8] ONTSI / Red.es (2024). Tecnologías digitales en la empresa 2023.
El 74,2% de las pymes españolas tiene un nivel básico de intensidad digital y solo el 13,9% utiliza análisis de big data. La brecha con la gran empresa supera los 40 puntos porcentuales.

[9] Airtable (2026). Enterprise. www.airtable.com/enterprise
El 80% del Fortune 100 utiliza Airtable. La adopción en entornos enterprise suele comenzar en departamentos no IT que resuelven necesidades operativas concretas.

[10] Gartner (2024). How to Build a Shadow IT Governance Framework.
Gartner propone un enfoque en tres fases: auditoría de uso real, clasificación por riesgo y decisión de regularización, sustitución o eliminación. Estima que el 40% del shadow IT en empresas medianas puede regularizarse con herramientas ya existentes.

[11] Deloitte (2023). Automation with Intelligence: 2022 Global Automation Survey.
Las organizaciones que consolidan su shadow IT antes de automatizar logran un 23% más de adopción de nuevos flujos frente a aquellas que operan sobre entornos fragmentados.