8 Min. de lectura · Fecha: 23.04.2026

La expansión de SaaS (SaaS sprawl) en 2026 ya no es solo una teoría para los equipos cloud de empresas medianas, sino una fricción tangible en la factura de costos mensuales. Marketing, RRHH, ventas y equipos de ingeniería individual compran herramientas con tarjeta de crédito sin que TI, compras o FinOps se enteren. Quien quiera cambiar esto sistemáticamente no necesita una transformación radical (Big Bang), sino un programa de 90 días con tres pilares: minería de tarjetas de crédito para compras ocultas (shadow purchases), comparación de registros SSO para uso real y una pipeline automática de recuperación de licencias para licencias no utilizadas. El análisis práctico muestra cómo implementarlo en una empresa mediana con entre 200 y 2.000 empleados.

Lo más importante en resumen

• La expansión de SaaS afectará en 2026 a casi todas las empresas de tamaño medio. Las estimaciones muestran que los departamentos de TI a menudo solo conocen entre el 60 y el 70 por ciento de las aplicaciones de SaaS realmente utilizadas.
• Tres componentes llevan el inventario a un estado fiable en 90 días: análisis de tarjetas de crédito, coincidencia de registros SSO, recuperación automática de licencias.
• Los ahorros suelen situarse entre el 15 y el 25 por ciento de los costes anuales de SaaS, sin comprometer las herramientas productivamente utilizadas.
• FinOps y Procurement deben gestionar conjuntamente. Un programa con solo una de estas funciones no aprovecha el potencial.
• Herramientas como Vendr, Tropic, BetterCloud, Productiv o Zluri proporcionan la base técnica, pero el éxito depende de la disciplina en los procesos.

Por qué el crecimiento descontrolado de SaaS será más notable en 2026

¿Qué es el crecimiento descontrolado de SaaS? El crecimiento descontrolado de SaaS describe la expansión no regulada de licencias de software en la nube y suscripciones en una empresa, sin que los departamentos de TI, FinOps o compras tengan una visión completa. Las aplicaciones son reservadas por empleados o equipos individuales mediante tarjeta de crédito, posteriormente transferidas a cuentas corporativas o permanecen en estructuras ocultas. Las consecuencias son licencias redundantes, suscripciones no utilizadas, falta de descuentos por volumen y riesgos de cumplimiento en el procesamiento de datos y la gestión de identidades.

Tres factores intensificarán este efecto en 2026. Primero: las herramientas de IA. Cada departamento especializado quiere Claude, Gemini, Copilot o una herramienta vertical especializada, a menudo en paralelo y sin coordinación. Segundo: las plataformas de proveedores consolidados. Microsoft, Google y Salesforce venden paquetes que superponen herramientas internas. Quien no preste atención pagará dos veces por la misma herramienta. Tercero: la rotación de empleados. Cada salida deja típicamente entre tres y siete licencias de SaaS activas que nunca fueron desactivadas.

La magnitud se puede calcular fácilmente para una empresa de tamaño medio. Una empresa con 500 empleados gasta en promedio entre 1,5 y 3,5 millones de euros al año en herramientas de SaaS. Un buen auditoría de crecimiento descontrolado de SaaS puede recuperar entre el 15% y el 25% de ese gasto. Esto representa entre 250.000 y 875.000 euros al año que fluyen de vuelta al presupuesto propio sin pérdida de funcionalidad de las herramientas. La inversión en el programa de 90 días suele estar en el rango de seis cifras bajas. El ROI es alcanzable dentro del primer año.

Módulo 1: Análisis de tarjetas de crédito para compras sombra

La fuente más simple y a menudo más efectiva es el extracto de la tarjeta de crédito. Los empleados compran herramientas SaaS con tarjetas corporativas, a menudo en un rango de 10 a 200 euros al mes. Quien revise sistemáticamente los extractos de tarjetas de crédito de los últimos 24 meses, encontrará docenas hasta cientos de proveedores que no aparecen en ninguna parte del panorama TI central. Herramientas como Vendr, Tropic o Zluri ofrecen rutas de análisis automatizadas que extraen nombres de proveedores de los cargos de tarjeta de crédito y los comparan con bases de datos internas de SaaS.

Un procedimiento típico se ve así: La contabilidad proporciona los datos de las tarjetas de crédito de los últimos 24 meses en formato CSV. Un script de análisis o una herramienta especializada agrupa por proveedor, frecuencia y volumen. En dos a cuatro semanas surge una lista de 50 a 300 proveedores de SaaS. Cada proveedor se asigna a un responsable y se contrasta con la base de central de datos de activos. Las duplicaciones, herramientas dadas de baja y licencias sombra se vuelven visibles. La reacción inicial en muchas empresas es la sorpresa ante la longitud de la lista.

El efecto cultural secundario no debe subestimarse. Quien comunique el análisis de tarjetas de crédito de manera transparente, transmite a los empleados un sentido de responsabilidad sin marcarlos como infractores de compras. Un tono abierto como «queremos ver el uso real, no atraparlos» sostiene el programa. Quien comience con desconfianza, perderá la colaboración de los departamentos especializados y, con ello, el mayor palanca de cambio.

Módulo 2: Comparación de registros SSO para el uso real

La segunda fuente de datos es el sistema Single Sign-On (SSO). Proveedores de identidad como Okta, Microsoft Entra, Google Workspace o Auth0 registran qué empleado inicia sesión en qué aplicación y cuándo. Quien compara estos registros con el inventario de licencias observa dos patrones importantes. En primer lugar: herramientas que están licenciadas pero rara vez o nunca se utilizan. En segundo lugar: herramientas que se utilizan intensamente pero no figuran en el inventario de licencias, por ejemplo porque funcionan a través de cuentas de nivel gratuito (Free-Tier).

Ambos patrones conducen a medidas concretas. Las licencias no utilizadas pueden reducirse en la próxima negociación contractual, a menudo con ahorros significativos. Las aplicaciones de nivel gratuito (Free-Tier) con alto uso deben transferirse a contratos de licencia formales, tanto por razones de cumplimiento normativo (compliance) como para la seguridad de los datos. Quien no da este paso deja sus datos críticos de negocio en sistemas de terceros no controlados.

La implementación técnica es manejable. Una extracción semanal de datos del sistema SSO, una correspondencia con la base de datos de inventario SaaS y un panel de control con perfiles de uso por herramienta y por grupo de empleados son suficientes. Proveedores como Productiv, BetterCloud y Zluri tienen integraciones listas para los proveedores de identidad más comunes. Quien cuenta con un equipo de TI reducido obtiene resultados más rápidamente con una herramienta estándar que con un desarrollo propio.

Módulo 3: Pipeline automática de recuperación de licencias

El tercer módulo aborda el ciclo de vida. Las licencias asignadas a una empleada que ha abandonado la empresa deben desactivarse automáticamente o asignarse a otra persona. Las licencias no utilizadas durante 60 días deben marcarse automáticamente y revocarse después de 90 días. Esta pipeline solo funciona si RRHH, TI y FinOps trabajan con un modelo de datos común.

La arquitectura típica combina los datos maestros de RRHH (ingreso, baja, cambio de posición) con la actividad de SSO, el inventario de licencias y motores de flujo de trabajo como ServiceNow, Atlassian Jira Service Management o herramientas similares. Quien implemente esto automatiza la recuperación de licencias y reduce significativamente el control manual. En los primeros seis meses, sin esfuerzo adicional, se pueden recuperar entre el 5 y el 15% de las licencias existentes.

Es importante la cadena de escalada. Una licencia no se revoca sin previo aviso, sino con un período de gracia de 14 días y una notificación a la persona usuaria y a su superior. Quien no respete esto genera frustración y pierde la aceptación del programa. La disciplina en la escalación determina el éxito, más que la madurez de la herramienta.

Un programa de 90 días para FinOps y Procurement

Tres meses son suficientes para alcanzar una primera posición sólida. Los siguientes hitos se han mostrado como un ritmo realista en varios equipos cloud de tamaño medio.

Lo que los equipos cloud aprenden después de los primeros 90 días

Las experiencias de los primeros programas son sorprendentemente similares en muchas empresas. Tres lecciones destacan especialmente. En primer lugar: la lista de proveedores de SaaS encontrados siempre es más larga de lo esperado. Duplicar la cantidad previamente estimada no es inusual. Los directivos deberían prepararse para esta sorpresa y no caer en el primer reflejo defensivo.

En segundo lugar: los ahorros provienen menos de la cancelación de herramientas que del agrupamiento de volumen. Quienes tienen tres herramientas de marketing con funciones similares rara vez negocian con éxito la reducción de herramientas, porque los departamentos especializados defienden sus herramientas favoritas. Quienes, por el contrario, sincronizan los plazos de contrato a un punto de renovación común y negocian un precio mejorado con cada proveedor, aprovechan sistemáticamente el potencial de ahorro.

En tercer lugar: el impacto cultural es al menos tan valioso como el financiero. Los empleados que forman parte de un programa transparente compran de manera más consciente en los próximos meses. Solicitan herramientas con antelación, examinan críticamente las opciones de nivel gratuito y aceptan los procesos formales de adquisición. Quienes logran establecer esto evitan el 80% de los efectos de dispersión futuros.

Para la dirección, vale la pena una observación adicional. Las auditorías de dispersión de SaaS a menudo señalan problemas estructurales más allá de la cuestión de las licencias. Si tres equipos de marketing han comprado independientemente el mismo software, hay un problema de comunicación. Si el equipo de Ingeniería compra constantemente herramientas de SaaS para tareas que faltan en la plataforma interna, hay un problema de plataforma. La discusión sobre la madurez de FinOps obtiene a través de las auditorías de dispersión de SaaS una colección de casos concretos. Ambos están estrechamente relacionados.

Cómo el programa pasa a la operación regular

Después de los primeros 90 días, la fase de transición determina el éxito a largo plazo. Tres componentes aseguran la operación regular. Primero: un foro permanente de FinOps-Procurement con control mensual y un presupuesto fijo. Segundo: una línea de informes trimestrales a la dirección con tres KPI claros. Tercero: un anclaje en las directrices de adquisiciones de la empresa, que vincula cada nueva compra de SaaS a un flujo de trabajo de aprobación breve pero vinculante.

Un conjunto típico de KPI para la perspectiva directiva incluye el número de aplicaciones SaaS activas, la utilización promedio de licencias y los costos de SaaS como porcentaje del presupuesto de TI. Estas tres cifras son suficientes para una evaluación trimestral rápida. Quien pueda construir una línea de tendencia durante cuatro trimestres dispone de una herramienta de gestión fiable. En el sector medio en 2026, esta línea de tendencia es precisamente el objetivo real del programa, no un informe de auditoría puntual.

Una observación complementaria es útil para la comunicación con el consejo directivo: los equipos de nube que realizan sistemáticamente auditorías de dispersión de SaaS ganan argumentos para la próxima negociación del presupuesto de TI. Un registro documentado de ahorros es más efectivo en una conversación con el CFO que cualquier afirmación abstracta sobre eficiencia. Quien construya deliberadamente sus informes se crea una palanca flexible para la próxima inversión en plataforma, herramientas o talento.

Preguntas frecuentes

¿Qué herramientas son adecuadas para una primera auditoría de SaaS sprawl?

En el sector medio, Zluri, Productiv, BetterCloud y Tropic son opciones consolidadas. Vendr se centra más en el aspecto de las negociaciones. Quien comience con recursos limitados puede realizar la primera auditoría también con un análisis basado en Excel de los datos de las tarjetas de crédito y una comparación manual de los registros SSO.

¿De qué tamaño debe ser el equipo del programa?

Un responsable de FinOps, un encargado de adquisiciones y una interfaz de TI son suficientes para los primeros 90 días. En empresas más grandes, también merece la pena contar con una persona de RRHH para el componente del ciclo de vida. El soporte externo puede ser útil, pero no sustituye al equipo del programa interno.

¿Cómo se relaciona el SaaS sprawl con el cumplimiento del Reglamento de IA de la UE?

Es estrecho. Las aplicaciones SaaS con IA caen bajo el Reglamento de IA de la UE tan pronto como se utilizan en procesos regulados. Quien no tiene un inventario completo no puede demostrar qué aplicaciones de IA se están utilizando en la empresa. Por lo tanto, un inventario de SaaS sprawl también es un elemento de cumplimiento, no solo un tema de costos.

¿Con qué frecuencia debe actualizarse un inventario de SaaS?

Como mínimo mensual de forma automatizada, con una revisión trimestral estructurada por parte de FinOps y Procurement. En grandes renovaciones de contratos, también merece la pena un análisis detallado separado tres meses antes de la renovación.

¿Qué riesgos concretos plantean las compras de SaaS sombra?

Lagunas en protección de datos, porque faltan contratos de tratamiento de datos. Riesgos de identidad, porque las cuentas funcionan sin SSO. Hallazgos de cumplimiento, porque los contratos no cumplen con las cláusulas estándar. Además, faltan descuentos por volumen y problemas de auditoría con los auditores.

¿Vale la pena la gestión de SaaS sprawl también para pequeñas empresas medianas con menos de 100 empleados?

Sí, con un esfuerzo adaptado. Una auditoría basada en Excel de los datos de las tarjetas de crédito y una comparación manual con el sistema SSO se pueden realizar en una semana. Los ahorros son absolutamente menores, pero porcentualmente comparables.

Fuente imagen de portada: Pexels / Lukas Blazek (px:577195)