En lugar de intentar eliminar por completo el Shadow IT, el proceso de recuperar el control empieza por identificar las aplicaciones no oficiales utilizadas en la empresa sin la aprobación del departamento de TI. Este enfoque mejora la gobernanza y ayuda a anticipar problemas potenciales.

Existen diferentes métodos y técnicas para detectar el uso de aplicaciones no autorizadas, y pueden variar según el tamaño de la empresa, el sector y la sensibilidad de la información tratada.

En este artículo detallamos estos métodos, explicamos cómo funcionan y analizamos sus ventajas e inconvenientes para ayudarle a elegir la mejor opción para su organización.

Análisis de red

Un enfoque técnico consiste en analizar con detalle los flujos de red, especialmente los flujos HTTP y DNS, con el objetivo de identificar el uso de aplicaciones web (SaaS) externas a la organización.

Este tipo de análisis suele estar disponible de forma nativa en determinadas plataformas:

Firewalls de nueva generación (NGFW): realizan este análisis y generan informes asociados. Fabricantes como Palo Alto y Fortinet se han destacado por su rendimiento y experiencia. Sin embargo, en la era del trabajo remoto, es importante recordar que el tráfico de la empresa no siempre pasa por el firewall corporativo.
Proxies o CASB (Cloud Access Security Broker): están específicamente diseñados para esta tarea. Además de analizar el uso de aplicaciones SaaS, los CASB suelen incorporar funciones para proteger los accesos, lo que los convierte en herramientas clave para la seguridad de datos e información sensible.

No obstante, el análisis de red tiene límites. Por ejemplo, no detecta aplicaciones utilizadas a través de VPNs o conexiones proxy específicas. También puede no detectar aplicaciones usadas en dispositivos personales o fuera de la red corporativa.

Portal SSO

Cada vez más aplicaciones SaaS ofrecen registro e inicio de sesión mediante un proveedor de identidad (“Sign in with Google/Microsoft”). Cuando estos proveedores están asociados a un correo corporativo, es posible identificar la aplicación origen en las “aplicaciones empresariales”. Es otra vía útil para detectar aplicaciones SaaS.

Este método también tiene límites: solo permite ver registros realizados por SSO. Si un usuario se registra por otro medio, no será detectado. A pesar de ello, sigue siendo una pieza valiosa dentro del conjunto de métodos.

Inventario de programas instalados

Las plataformas de gestión de puestos de trabajo suelen permitir crear un inventario detallado del software instalado en un equipo. Gracias a ello, es posible identificar la presencia de ciertos programas que revelan el uso de aplicaciones SaaS con clientes nativos, como Notion o Slack.

Esto resulta especialmente útil para descubrir diversos servicios. Por ejemplo, se puede detectar:

Servicios de compartición de archivos (por ejemplo, Google Drive o Dropbox).
Aplicaciones alternativas de videoconferencia y mensajería (por ejemplo, Discord o WhatsApp).
Herramientas de productividad (calendarios, listas de tareas, notas, etc.).

En un contexto donde estas plataformas están implantadas, los sistemas Endpoint Detection and Response (EDR) también pueden ser útiles: además de detectar y responder a amenazas, son capaces de listar aplicaciones instaladas en los dispositivos.

Sin embargo, el inventario de programas instalados puede percibirse como invasivo. Requiere instalar un agente en los equipos, lo que puede plantear cuestiones de privacidad. Es esencial comunicar de forma transparente y respetar la normativa de protección de datos al implementar este método.

Análisis de transacciones con tarjeta corporativa

Usar una aplicación SaaS suele implicar suscribirse a un plan. Para ello, los equipos operativos con autonomía pueden utilizar la tarjeta corporativa (las domiciliaciones SEPA suelen requerir un compromiso mayor).

Estas transacciones se reflejan en los extractos bancarios. Existen plataformas que explotan esta fuente para detectar el uso de aplicaciones SaaS. Estas plataformas, conocidas como SMP (SaaS Management Platform), complementan el análisis con consolidación financiera y recomendaciones.

Entre las recomendaciones habituales:

Reducir el número de “seats” no utilizados
Racionalizar suscripciones duplicadas

Pero este método tiene una gran debilidad: no permite identificar aplicaciones gratuitas ni aquellas pagadas con una tarjeta personal (por ejemplo, con reembolso vía gastos).

Ejemplo

En Freety (200 empleados) se observa en el extracto de la tarjeta del equipo de Comunicación un cargo mensual de 80 euros. La descripción indica “Trello Inc.”, lo que corresponde al uso de Trello (gestión de proyectos) para 8 usuarios.

Encuestas a empleados

También es interesante —y a veces esencial— preguntar directamente a los empleados qué aplicaciones usan en su día a día. Lejos de querer ocultarlo, suelen aportar detalles valiosos para completar una lista ya existente (construida con los métodos anteriores) o rellenar un formulario abierto y detallado.

Es una oportunidad para recopilar información más profunda: criticidad de la aplicación, nivel de satisfacción, e identificación del responsable (application owner).

Para ser eficaz, la encuesta puede repetirse periódicamente. Un ciclo anual suele ser razonable para muchas organizaciones. Además, un formulario permanente puede integrarse en un proceso continuo de recogida de datos, manteniendo una visión actualizada del ecosistema de aplicaciones.

Conclusión

Para detectar Shadow IT pueden usarse varios métodos: análisis de flujos de red (firewalls o proxies), inventario de software instalado, análisis de transacciones bancarias y encuestas a empleados. Cada método tiene ventajas e inconvenientes; la elección depende del tamaño de la empresa, el sector y la sensibilidad de la información tratada.

¿Cómo detectar Shadow IT?