El ‘Shadow AI’, o uso no autorizado de herramientas de inteligencia artificial sin la supervisión del equipo de seguridad, se ha disparado: 7 de cada 10 startups cuenta con aplicaciones de IA operando a la sombra, según datos de Vanta. La respuesta llega con Vanta Agent for Risk, un agente lanzado hoy que mapea el ecosistema de herramientas y cuantifica los riesgos. La lección para founders es contundente: experimentar rápido con IA no está reñido con blindar la información sensible.
El ‘Shadow AI’ que acecha en las startups
El fenómeno del ‘Shadow IT’ (la tecnología que los equipos adoptan sin directriz oficial) es tan viejo como el PC que alguien llevó a la oficina antes de que la empresa lo autorizase. Pero la explosión de la IA lo ha convertido en un polvorín. Christina Cacioppo, CEO de Vanta, pone cifras contundentes: el 70 % de sus más de 16.000 clientes ya registra algún tipo de Shadow AI. «Básicamente, es alguien dentro de la compañía que prueba una nueva herramienta de IA, que puede ofrecer mucho valor, pero que no ha pasado por una revisión formal de seguridad», detalla.
La presión por adoptar la IA provoca que los profesionales alimenten modelos con datos sensibles sin saber qué riesgos corren. Vanta ha identificado que las empresas revisan solo al 7 % de los proveedores de IA, a pesar de que el 30 % de ellos es calificado como crítico o de alto riesgo. El resultado: el 88 % de los riesgos detectados no se solventa.
Este descontrol se alimenta de una cultura builder que crece sin pausa. Los roles de ‘constructor’ dentro de las organizaciones han aumentado un 311 % interanual; posiciones como ‘ingeniero de GTM’ se han disparado un 1.329 % y la de ‘ingeniero legal’ un 850 %. Más construcción implica más herramientas: la adopción de proveedores de IA es un 73 % superior en las empresas con roles de builder. Sin un sistema que ponga orden, el riesgo de fuga de datos o incumplimiento normativo se vuelve estructural.
Vanta Agent for Risk: la brújula del caos de herramientas
El nuevo agente de Vanta se conecta a más de 400 integraciones y ejecuta más de 1.400 pruebas continuas que evalúan los controles de seguridad: desde si los buckets de AWS están cifrados hasta si los empleados pasan los chequeos de antecedentes a tiempo. «Comprende todas las cosas que ocurren en tu compañía», resume Jeremy Epling, director de producto de Vanta. El agente dibuja un mapa unificado de proveedores, activos de datos, responsabilidades de cumplimiento y políticas de IA, señalando las zonas de peligro.
Junto al Agente de Riesgo, Vanta presenta un sistema de puntuación que cuantifica el riesgo con impacto financiero, de marca y operativo, un agente para la gestión de riesgos de terceros y una biblioteca de conocimiento sobre riesgos de IA. La idea no es frenar la experimentación, sino dotar a los equipos de una foto actualizada que les permita decidir con datos. «Todavía creemos en el ‘humano dentro del circuito’ y en la aprobación humana para todas esas piezas, pero el agente sugerirá ediciones en tus políticas o controles», añade Epling.
Tener herramientas de IA sin visibilidad es como abrir la caja fuerte de la empresa delante de un desconocido.
Del papeleo de cumplimiento a los 300 millones de facturación recurrente
Christina Cacioppo gestó la idea de Vanta cuando era jefa de producto en Dropbox, lidiando con el tedioso papeleo de cumplimiento (SOC 2, GDPR). Tras entrevistar a decenas de profesionales de seguridad, fundó la compañía junto a Erik Goldman, y Vanta fue acelerada por Y Combinator en 2018. Andrew Reed, socio de Sequoia Capital, lideró la inversión y hoy forma parte del consejo. La misión fundacional era ayudar a asegurar internet», explica Reed, «y lograr que la gente cumpla con normas y certificaciones es una forma muy eficaz de poner en orden su casa de seguridad.
Los números dan fe: Vanta alcanzó 10 millones de dólares de ingresos sin levantar capital riesgo, una rareza que llamó la atención de Sequoia. Hoy roza los 300 millones de dólares de facturación recurrente anual, casi el doble que nueve meses atrás. «La confianza es el problema definitorio de la era de la IA», resume Cacioppo. «Las nuevas empresas de IA reciben más escrutinio, más preguntas, más cuestionarios de seguridad… porque todos estamos entusiasmados con su promesa, pero también un poco asustados por sus capacidades».
Lo que la startup que escala con IA puede copiar hoy mismo
El lanzamiento de Vanta deja tres lecciones de aplicación inmediata para cualquier founder. La primera: no se puede improvisar la seguridad cuando el equipo crece deprisa. Si el 88 % de los riesgos detectados no se remedia, es señal de que falta un sistema, no solo conciencia. La segunda: la fotografía del riesgo debe estar viva. No sirve una auditoría anual; hacen falta pruebas continuas, automatizadas y un mapa que relacione herramientas, datos y políticas. La tercera: la innovación ascendente —que un empleado pruebe una IA— no es mala por sí misma, siempre que exista un marco que la enmarque y proteja los datos sensibles.
El caso Vanta demuestra, además, que vender confianza en un ecosistema tan revuelto como el de la IA genera tracción comercial. Pasar de 200 a 300 millones de ARR en nueve meses no es fruto del azar: es la señal de que el mercado demanda justo lo que esta herramienta ofrece. Para las startups que están en fase seed y empiezan a sumar las primeras integraciones con modelos de lenguaje, establecer desde el día cero un agente de riesgo —propio o externo— deja de ser un gasto y se convierte en un argumento de venta frente a inversores y clientes.
🚀 Hoja de Ruta para Emprender
- Mapea antes de escalar: Dedica una semana a inventariar todas las herramientas de IA que tu equipo está usando, aunque sea en pruebas. Si no sabes qué tienes, no puedes protegerlo.
- Adopta pruebas continuas de seguridad: No esperes a la ronda Series A para implantar controles automáticos. Un agente que revise a diario accesos, cifrado y políticas te ahorra sorpresas en la auditoría de un inversor.
- Fomenta la experimentación con límites: Diseña una política de uso aceptable de la IA generativa. Los empleados innovan más cuando saben qué datos no deben introducir en un modelo externo.
- Convierte la seguridad en argumento de venta: Durante el pitch deck, muestra a los inversores que tienes un mapa de riesgos de IA. La confianza se ha convertido en un KPI tan importante como el MRR.
