El equipo de marketing contrata una herramienta de automatización de campañas. El área de ventas adopta una plataforma de gestión de propuestas. Recursos humanos empieza a usar un sistema de evaluación de desempeño en la nube. Cada una de esas decisiones se tomó sin pasar por seguridad, sin revisar los términos de procesamiento de datos y sin evaluar qué permisos solicita la aplicación sobre el directorio corporativo.
Multiplicado por doce áreas y tres años de crecimiento, eso es shadow SaaS. Y está en casi todas las organizaciones medianas y grandes.
El inventario que nadie tiene completo
Según datos de Gartner, las organizaciones medianas operan en promedio con más de 100 aplicaciones SaaS activas, pero los equipos de TI tienen visibilidad formal sobre menos de la mitad. El resto se contrata con tarjeta de crédito del área, se activa con un correo corporativo y empieza a procesar datos sin que nadie haya firmado un acuerdo de procesamiento de datos ni evaluado la postura de seguridad del proveedor.
Ese inventario incompleto no es solo un problema de gobierno de TI. Es una superficie de ataque que crece sola, sin que el equipo de seguridad tenga que hacer nada para que crezca.
Tres riesgos concretos que el SaaS no auditado introduce
El primero es el acceso excesivo a datos e identidades. Muchas aplicaciones SaaS solicitan, durante su configuración inicial, permisos amplios sobre el directorio de usuarios, el correo corporativo o los archivos compartidos. El administrador que instala la herramienta acepta esos permisos sin leerlos porque quiere que la herramienta funcione. Resultado: un tercero tiene acceso de lectura —o en algunos casos de escritura— sobre datos que la organización nunca decidió compartir.
El segundo es la dependencia operativa sin continuidad garantizada. Cuando un proceso crítico de negocio vive en una plataforma SaaS que no tiene SLA documentado, sin plan de salida y sin respaldo de los datos en un formato exportable, la organización ha creado una dependencia unilateral. Si el proveedor cambia sus condiciones, sube precios de forma abrupta o simplemente cierra, el impacto operativo puede ser severo. Eso es riesgo de concentración, y rara vez aparece en el mapa de riesgos de TI.
El tercero es la cadena de subprocesadores invisibles. Un proveedor SaaS no procesa los datos solo: usa infraestructura de nube, herramientas de análisis, servicios de soporte técnico de terceros. Cada uno de esos subprocesadores también tiene acceso a los datos. Bajo marcos como la LFPDPPP o el GDPR, la organización que recopiló los datos es responsable de toda esa cadena. Pero si nunca revisó la política de privacidad del proveedor, probablemente no sabe ni cuántos subprocesadores hay.
¿Qué hacer al respecto?
El primer movimiento no es tecnológico: es de proceso. Establecer que cualquier herramienta SaaS que procese datos corporativos requiere una revisión mínima antes de activarse. No un proceso de meses: una checklist de quince minutos que cubra quién almacena los datos, bajo qué jurisdicción, si tiene certificación de seguridad vigente y qué permisos solicita. Eso solo ya filtra los casos de mayor exposición.
El segundo movimiento es hacer un inventario real del SaaS activo. Revisar el tráfico de red saliente, los registros de SSO corporativo y las facturas del área de compras revela una imagen mucho más completa que preguntar a los líderes de área qué herramientas usan. La brecha entre ambas respuestas es el shadow SaaS.
El tercer movimiento es priorizar por exposición de datos. No todas las aplicaciones SaaS representan el mismo riesgo. Una herramienta que procesa datos de clientes o información financiera merece más scrutiny que una que gestiona el calendario de salas de juntas. La priorización por sensibilidad de datos permite enfocarse donde realmente importa sin paralizar la operación.
¿Sabes hoy cuántas aplicaciones SaaS tienen acceso activo a tu directorio de usuarios o a los datos de tus clientes?
Acciones inmediatas
- Revisa los registros de tu proveedor de identidad corporativo para listar todas las aplicaciones conectadas. Si usas SSO corporativo, ese registro muestra qué aplicaciones tienen acceso activo y bajo qué permisos. Es el punto de partida más rápido para dimensionar el ecosistema SaaS real de tu organización.
- Identifica qué aplicaciones SaaS activas tienen acceso a datos de clientes o información financiera. De toda tu lista de herramientas, filtra las que procesan esas dos categorías. Ese subconjunto es tu prioridad inmediata de revisión y el mayor riesgo regulatorio bajo la LFPDPPP.
- Verifica si tus proveedores SaaS críticos tienen una política de subprocesadores publicada. Busca en sus sitios o en sus contratos la lista de terceros con quienes comparten datos. Si no existe o no es accesible, eso ya es una señal de alerta que debes documentar.
- Establece una checklist mínima de evaluación para nuevas herramientas SaaS. Cuatro preguntas: ¿dónde se almacenan los datos?, ¿qué certificación de seguridad tiene el proveedor?, ¿qué permisos solicita sobre sistemas corporativos?, ¿tiene proceso de exportación y eliminación de datos? Con esas cuatro preguntas ya tienes un filtro funcional.
- Revisa las facturas de tarjetas corporativas en busca de suscripciones SaaS no registradas en el inventario de TI. Este ejercicio, que no requiere herramientas especiales, suele revelar entre 10 y 30 aplicaciones activas que nadie en seguridad conocía. Cada una es un punto de exposición no gestionado.
Si quieres revisar la exposición de tu organización a través de proveedores SaaS y terceros digitales, contáctanos en https://tbsek.mx/contacto/.
