IT sombra, exceso de funciones y renovaciones automáticas: así se les escapan los costes SaaS a las empresas

4 min de lectura

SaaS parece sencillo, pero suele convertirse en una trampa de costes y seguridad. Sin una visión clara del uso, los contratos y la IT sombra, las empresas se exponen a gastos innecesarios y riesgos. Quien quiera gestionar realmente SaaS no puede prescindir de un moderno Software Asset Management.

En resumen

• SaaS no requiere gestión de licencias clásica, pero sí un Software Asset Management estructurado.
• Sin control centralizado, la IT sombra crece debido a compras independientes por parte de los departamentos.
• Las licencias SaaS están vinculadas a identidades, no a dispositivos.
• La transparencia se logra mediante integración con SSO, APIs y análisis de facturas de tarjetas de crédito.
• La optimización de costes mediante rightsizing es más relevante que el cumplimiento clásico en SaaS.

«Para SaaS no se necesita Software Asset Management». Esta afirmación resulta rápidamente engañosa en la práctica. Al principio, el Software-as-a-Service parece la solución ideal frente a modelos de licencia complejos: ya no hay instalaciones en sistemas locales, ni métricas de licencia complicadas; el mantenimiento y soporte suelen estar incluidos. En su lugar, hay suscripciones sencillas, cancelables mensualmente, activables al instante y facturadas directamente con tarjeta de crédito.

Sin embargo, quien crea que SaaS es «libre de licencias» o autogestionado ignora los riesgos derivados de trasladar el software a la nube. La pérdida de control acecha por todas partes y la IT sombra no deja de crecer.

Cuanto más dependan las empresas de SaaS, mayores serán los desafíos en materia de transparencia, costes y cumplimiento normativo. Lo que antes gestionaban centralizadamente los departamentos de TI y los responsables de licencias se escapa hoy cada vez más del alcance de las estructuras tradicionales de TI y SAM. Lo que se celebra como «agilidad empresarial» encierra en realidad riesgos considerables: los contratos se renuevan sin que nadie lo note, las licencias permanecen sin usar y datos sensibles acaban en sistemas no autorizados.

Por tanto, para los responsables de TI es más importante que nunca replantearse profundamente su comprensión del SAM.

1.     ¿Cómo funciona la detección (discovery) de SaaS?

El Software Asset Management clásico se desarrolló en una era en la que el software estaba firmemente ligado al hardware. La metodología era clara: la inventariación basada en agentes detectaba qué software estaba instalado en qué dispositivos. Estos datos se comparaban con el historial de compras para calcular las llamadas «posiciones efectivas de licencia» (Effective License Positions, ELPs), es decir, la conciliación entre uso y derechos. El objetivo era estar lo más preparado posible frente a auditorías de los fabricantes de software.

Pero este modelo se basa en tres supuestos que simplemente ya no existen en el mundo SaaS:

1. No hay instalaciones locales de SaaS
   Las aplicaciones SaaS se ofrecen a través del navegador o servicios web dedicados. El software no deja rastro clásico de «instalación» en el sistema: ni en el sistema de archivos ni en el registro. Las herramientas basadas en agentes, que escanean dispositivos, no detectan estas aplicaciones.
2. Las licencias ya no están vinculadas al hardware, sino a identidades
   La licencia suele ser por usuario, a menudo con granularidad según rol, funcionalidad o incluso intensidad de uso. En el entorno SaaS se necesitan datos sobre comportamiento de inicio de sesión, uso de funciones y estructuras de inquilinos (tenants) – información que no proviene de un inventario de dispositivos, sino de APIs, sistemas SSO o consolas de administración.
3. Los departamentos compran de forma independiente: la IT sombra se convierte en norma
   En muchas empresas, ventas, marketing o recursos humanos utilizan sus presupuestos para adquirir directamente herramientas como HubSpot, Miro, Canva o Asana, a menudo mediante versiones de prueba o licencias individuales económicas, y frecuentemente sin que TI, compras o seguridad lo sepan.
   

   Intentar obtener una visión general de los sistemas de TI utilizados a menudo se asemeja a un laberinto. Fuente: Unsplash / Susan Q Yin.

Consecuentemente, intentar obtener una imagen clara del propio ecosistema SaaS conduce rápidamente a un laberinto de imprecisiones técnicas, organizativas y legales. En la práctica, han demostrado ser eficaces dos enfoques complementarios:

1. Análisis técnico – la visión del uso:
   Las herramientas modernas de discovery de SaaS se basan en integraciones con sistemas SSO (p. ej., Azure AD, Okta), interfaces API con proveedores SaaS o monitorización de red mediante proxies. El objetivo es capturar datos de inicio de sesión, número de usuarios, uso de funciones o suscripciones activadas, preferiblemente en tiempo real.
2. Análisis financiero – «sigue el dinero»:
   A menudo, la transparencia sobre SaaS comienza donde mira contabilidad: en los extractos de tarjetas de crédito, facturas de proveedores de servicios o informes de gastos (expense reports). Quien analiza sistemáticamente gastos con descripciones como «servicios en la nube», «herramientas de productividad» o incluso «gastos de viaje» suele detectar suscripciones ocultas, renovaciones no planificadas o herramientas redundantes.

2.     Por qué el rightsizing es más importante que el cumplimiento normativo

Las licencias SaaS ya no están vinculadas a instalaciones, sino al comportamiento real de los usuarios. El cumplimiento clásico frente a los fabricantes pasa a un segundo plano, mientras que las cuestiones de costes cobran una relevancia sin precedentes. La pregunta clave ya no es: «¿Está instalado?», sino: «¿Se utiliza realmente? Y si es así, ¿con qué intensidad?».

Los riesgos típicos surgen por falta de transparencia: las licencias permanecen activas aunque ya no se necesiten; el sistema sigue contabilizándolas y los costes aumentan. Con frecuencia se opta preventivamente por la versión más cara (feature-bloat), sin verificar si realmente se necesitan esas funciones. Y sin una visión centralizada, muchas licencias se renuevan automáticamente, incluso cuando los proyectos ya han finalizado o los empleados han abandonado la empresa.

La palanca más eficaz contra esto: datos reales de uso. Solo quien comprende cómo, con qué frecuencia y por quién se utiliza una herramienta puede tomar decisiones fundamentadas:

• ¿Quién inicia sesión y con qué frecuencia?
• ¿Qué funciones se utilizan realmente?
• ¿Existen complementos (add-ons) pagos que no se usan?
• ¿Qué cuentas se pueden fusionar o cancelar?

 

Esas son las preguntas que ahora hay que responder.

«Lo que se celebra como “agilidad empresarial” encierra en realidad riesgos considerables: los contratos se renuevan sin que nadie lo note, las licencias permanecen sin usar y datos sensibles acaban en sistemas no autorizados.»

3.     ¿Y la seguridad?

Con cada aplicación SaaS utilizada en la empresa, los datos abandonan la red interna. Datos de clientes, información financiera, comunicaciones internas… todo ello ya no reside en servidores propios, sino en centros de datos de terceros.

La falta de transparencia constituye un riesgo grave: infracciones del RGPD, accesos huérfanos y cuentas ocultas.

Esta realidad exige un cambio de mentalidad a los responsables de Software Asset Management. El campo de juego ha cambiado: el SAM debe salir del ámbito exclusivo del cumplimiento normativo y entrar en la gestión estratégica de costes, uso y riesgos de TI. Así se puede mejorar la seguridad, reducir la IT sombra y tomar decisiones fundamentadas sobre el panorama de software.

Preguntas frecuentes

¿Por qué el Software Asset Management clásico no basta para SaaS?

El SAM clásico se basa en inventarios de dispositivos, pero las aplicaciones SaaS se utilizan a través del navegador y no dejan rastro de instalación. Además, las licencias están vinculadas a identidades de usuario, no a hardware.

¿Cómo se puede hacer visible el uso de SaaS en la empresa?

Mediante integración con sistemas SSO como Azure AD u Okta, consultas API a proveedores SaaS y monitorización de red a través de proxies. Además, ayuda el análisis de extractos de tarjetas de crédito y facturas.

¿Qué papel juega la IT sombra en el uso de SaaS?

Los departamentos suelen adquirir herramientas SaaS como HubSpot o Canva de forma independiente, sin participación de TI. Esto genera costes no controlados, riesgos de seguridad y pérdida de datos.

¿Por qué es más importante el rightsizing que el cumplimiento en SaaS?

En SaaS lo que cuenta es el uso real por parte de los usuarios, no la instalación. Las licencias innecesarias o sin usar generan costes innecesarios, por lo que ajustar el número y tipo de licencias es fundamental.

¿Qué fuentes de datos ayudan a registrar los costes de SaaS?

Los extractos de tarjetas de crédito, los informes de gastos (expense reports) y las facturas de proveedores suelen revelar gastos SaaS no documentados. Palabras clave como «servicios en la nube» o «herramientas de productividad» indican suscripciones ocultas.

Recomendaciones de lectura de la redacción

• API-First: por qué las arquitecturas cloud modernas triunfan o fracasan según su diseño API
• Pretext: ¿resuelve una biblioteca JavaScript un problema de 30 años en el navegador o es solo hype?
• AWS vs. Azure vs. Google Cloud 2026: la comparativa honesta para empresas del DACH

Más del MBF Media Netzwerk

SecurityToday | MyBusinessFuture | Digital Chiefs

Fuente de imagen: Unsplash / Christina @ wocintechchat.com