Publicado el 11/7/2026
Software no autorizado en tu empresa: cómo detectar el shadow IT antes de que cueste caro
El software no autorizado —el famoso shadow IT— se detecta comparando lo que hay instalado en cada PC contra lo que tu empresa aprobó, y vigilando cuándo aparece algo nuevo. Argos mantiene un inventario de software por máquina y puede avisarte el mismo día en que alguien instala un TeamViewer que nadie pidió, una app de criptomonedas o una herramienta para sacar datos de la empresa.
La escena se repite en casi cualquier negocio con más de cinco computadoras: un técnico externo instaló AnyDesk "para resolver rápido" hace ocho meses y ahí sigue, con acceso remoto a la PC de facturación. Un empleado bajó un juego "para el rato libre". Otro puso su Dropbox personal en el equipo de la oficina y sincroniza carpetas de clientes hacia su cuenta privada, sin mala intención, solo por comodidad.
Nada de eso pasó por ti. Nadie lo aprobó. Y hasta que revises esa máquina en persona —cosa que probablemente no harás nunca—, no existe.
Eso es shadow IT: software que corre en los equipos de tu empresa sin que la empresa lo sepa. No es un problema de empleados malintencionados; la mayoría de las veces es gente resolviendo su trabajo con la herramienta que le quedó más a mano. El problema es que cada instalación no aprobada es una puerta que tú no sabes que existe.
Por qué el shadow IT importa más de lo que parece
Un programa no aprobado no es solo "una app de más". Dependiendo de cuál sea, el riesgo cambia de categoría:
- Acceso remoto no autorizado. Un TeamViewer o AnyDesk que quedó de un soporte viejo es una entrada permanente a esa máquina. Si la cuenta que lo configuró se compromete —o el técnico ya ni trabaja con ustedes—, alguien puede entrar sin tocar tu red.
- Fuga de datos silenciosa. Clientes de nube personal (Dropbox, Drive personal, MEGA) sincronizan carpetas de la empresa hacia cuentas que no controlas. El día que ese empleado se va, los archivos se van con él.
- Software pirata. Un Office o un Photoshop crackeado trae dos problemas: el instalador suele venir acompañado de malware, y la multa por licencias en una inspección la paga la empresa, no quien lo instaló.
- Mineros y apps de crypto. Consumen CPU y electricidad de tus máquinas para beneficio de otro, y suelen venir de fuentes que ningún antivirus corporativo aprobaría.
- Juegos y apps de ocio. El menor de los riesgos de seguridad, pero el más visible en productividad — y una señal de que en esa máquina se instala lo que sea sin fricción alguna.
Ninguna de estas cosas manda un correo avisando que llegó. Todas se instalan en dos minutos y se quedan meses.
Las señales típicas de shadow IT en una flota
Antes de tener herramientas, ayuda saber qué buscar. Estas son las señales que más se repiten:
| Señal | Qué suele significar | |---|---| | Herramientas de acceso remoto que TI no instaló (TeamViewer, AnyDesk, RustDesk) | Puerta trasera de un soporte viejo, o alguien conectándose desde casa por su cuenta | | Clientes de nube personal en equipos con datos de clientes | Archivos de la empresa sincronizando hacia cuentas privadas | | Navegadores o VPNs "raros" (Tor, VPNs gratuitas, proxies) | Alguien evitando los controles de red de la empresa | | Procesos con nombres genéricos consumiendo CPU constante | Posible minero de criptomonedas | | Launchers de juegos (Steam, Epic) en máquinas de trabajo | Uso personal del equipo, instalación sin control | | Software con licencia que nadie compró | Copias pirata, con el riesgo legal y de malware que traen | | Utilidades de "recuperación" o copiado masivo instaladas justo antes de una renuncia | El clásico previo a una salida con datos bajo el brazo |
Ver una de estas señales una vez no es una crisis. El patrón peligroso es no tener forma de verlas nunca.
Del inventario manual al inventario que se mantiene solo
La respuesta clásica al shadow IT es el inventario manual: alguien recorre las máquinas con una lista, anota qué hay instalado y arma un Excel. Funciona exactamente una vez. A la semana siguiente alguien instala algo y tu Excel ya está mintiendo.
Lo que necesitas no es una foto, es una película:
- Línea base. Saber qué hay instalado hoy en cada máquina, sin caminar hasta ella.
- Lista de lo aprobado. Definir qué software es normal en tu operación. No hace falta que sea perfecta el primer día; se afina con el uso.
- Aviso cuando aparece algo nuevo. Lo que no está en la lista y aparece en una máquina debería generar una alerta, no esperar a la próxima auditoría.
- Capacidad de actuar remoto. Detectar sin poder responder es frustrante: necesitas poder revisar la máquina y quitar lo que sobra sin desplazarte.
Cómo lo resuelve Argos
Argos instala un agente ligero en cada PC Windows de tu flota y a partir de ahí el inventario deja de ser un proyecto y pasa a ser un dato que siempre está fresco:
- Inventario de software por máquina. Desde el panel ves qué tiene instalada cada PC de la flota, sin pedirle a nadie que te pase pantallazos. La pregunta "¿en cuántas máquinas está AnyDesk?" se responde en segundos, no en una tarde de llamadas.
- Alertas cuando aparece software nuevo. Configuras reglas de notificación y, cuando en una máquina aparece algo fuera de lo aprobado, te llega el aviso por Telegram, correo o webhook. Te enteras el día que se instaló, no el trimestre que auditaste.
- Uso por aplicación. No solo qué está instalado, sino qué se está usando y cuánto. Un programa instalado hace un año que nadie abre es ruido; uno que corre cuatro horas al día en la PC de contabilidad es otra conversación.
- Respuesta remota. Si algo no debería estar ahí, entras por terminal o control remoto y lo quitas desde donde estés, con registro de quién hizo qué.
El detalle de qué más vigila el agente en cada equipo —postura de seguridad, actividad, rendimiento— está en la página de funciones de seguridad.
Un plan realista para esta semana
- Instala el agente en toda la flota y deja que el inventario se llene solo.
- Revisa la lista resultante buscando las señales de la tabla de arriba. Casi siempre aparece algo el primer día.
- Decide qué se queda, qué se va y qué se aprueba oficialmente. El shadow IT a veces revela una necesidad real: si media empresa instaló la misma herramienta por su cuenta, quizás la empresa debería darla.
- Configura la alerta de software nuevo para las máquinas sensibles primero: facturación, contabilidad, gerencia.
- Repite la revisión completa una vez al mes; las alertas cubren el día a día entre revisiones.
Preguntas frecuentes sobre detección de software no autorizado
¿Es legal revisar qué software hay instalado en las computadoras de mis empleados? En equipos propiedad de la empresa y con una política de uso comunicada, inventariar el software instalado es práctica estándar de administración de TI en la mayoría de los países. Déjalo por escrito en la política interna y avísalo a los empleados — la transparencia, por sí sola, elimina la mayor parte del shadow IT.
¿Argos bloquea la instalación de programas? No — Argos detecta y avisa, no impide. El bloqueo de instalaciones se hace con permisos de Windows (cuentas sin privilegios de administrador), y es un buen complemento. La visibilidad va primero por una razón práctica: hasta que no sabes qué hay y qué aparece, cualquier política de bloqueo es a ciegas.
¿Y si el programa no se instala, como las apps portables que corren desde una USB? Ahí es donde el inventario solo no alcanza y el monitoreo de uso por aplicación completa el cuadro: Argos ve qué aplicaciones se ejecutan en cada máquina, estén instaladas o no. Un ejecutable portable que corre desde una carpeta temporal aparece en el uso aunque nunca haya pasado por un instalador.
¿No voy a recibir una avalancha de alertas por cada actualización de Windows? No, porque las alertas se disparan por software nuevo fuera de lo esperado, no por cada cambio de versión de lo que ya está aprobado. Las reglas se configuran por máquina o por grupo, así que puedes ser estricto con la PC de facturación y relajado con la de la sala de reuniones.
¿Quieres ver cómo se ve una alerta de software no autorizado en una flota real? Explora la vista de alertas en la demo — en dos minutos ves lo que hoy no estás viendo en tus propias máquinas.