ChatGPT y las posibilidades que ofrece están incrementando el interés en este modelo de lenguaje. Sin embargo, cada vez son más las voces que ponen en duda la seguridad de los datos corporativos confidenciales que se comparten utilizando este chatbot de Inteligencia Artificial ante los riesgos que puede conllevar para los negocios.

Ante la gran popularidad que está adquiriendo ChatGPT, los expertos en ciberseguridad manifiestan cierto temor a la hora de utilizar información confidencial corporativa, como cifras de ventas, o informes trimestrales, para generar documentos nuevos.

Teniendo en cuenta que esta Inteligencia Artificial va aprendiendo a medida que se utiliza, esa información confidencial, ¿podría ser accesible por otros usuarios? De ser así, las implicaciones podrían tener un gran alcance.

Por ejemplo, si se utiliza ChatGPT para trabajar en una presentación interna que contenga nuevos datos corporativos que pongan de relevancia un problema interno y que salga a la luz podría conllevar graves consecuencias. Desde hundir el precio de las acciones de la compañía, si cotiza en Bolsa, a perder la confianza de los clientes, e incluso una responsabilidad legal al filtrar información sometida a las normativas de protección de datos.

Son muchas las dudas que surgen en torno a la posibilidad de que puedan darse estas situaciones. Para la firma de investigación Cyberhaven, la entrada de datos confidenciales en ChatGPT podría, potencialmente, revelarse a un tercero si le hicieran ciertas preguntas a ChatGPT en función de la información proporcionada.

ChatGPT no almacena los datos de entrada de los usuarios

El Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido ha compartido recientemente más información sobre este asunto. Según el organismo, ChatGPT y otros modelos de lenguaje extenso (LLM) actualmente no incorpora información automáticamente de consultas para que otros puedan acceder a ellas. Es decir, incluir información en una consulta no dará como resultado que esos datos potencialmente privados se incorporen al LLM.

«Sin embargo, la consulta sí estará visible para la organización que proporciona el LLM (en el caso de ChatGPT, para OpenAI)», según el NCSC.

De acuerdo con este organismo, estas consultas se almacenan y es casi seguro que se utilizarán para desarrollar el servicio o modelo LLM en algún momento. Esto podría significar que el proveedor de LLM, o sus socios, pueden leer consultas e incorporarlas de alguna manera en versiones futuras.

Asimismo, otro riesgo, que aumenta a medida que más organizaciones producen y usan LLM, es que las consultas almacenadas online pueden ser pirateadas, filtradas o accidentalmente puestas a disposición del público.

Y, en última instancia, existe un motivo genuino de preocupación respecto a los datos confidenciales de empresas que ChatGPT incorpora y utiliza, aunque es probable que los riesgos sean menos generalizados de lo que afirman algunos titulares.

Posibles riesgos de incorporar datos confidenciales en ChatGPT

Los LLM tienen un comportamiento llamado ‘aprendizaje en contexto’. Durante una sesión, a medida que el modelo recibe entradas, puede condicionarse para realizar tareas en función del contexto contenido en esas entradas.

Sin embargo, no es posible que la información de la sesión de un usuario se filtre a la de otro. Aunque es normal preocuparse por la información confidencial que manejan los chatbots inteligentes, se necesitaría entrenar un nuevo modelo para incorporar esos datos y que aparecieran realmente en las búsquedas de otros usuarios.

Esto conllevaría mucho tiempo y un alto coste que, de llevarse a cabo, estaríamos hablando de ataques de inferencia de membresía. Esto podría exponer números de tarjetas de crédito o información personal que estaban en los datos de entrenamiento.

Por lo tanto, cabe pensar que es muy poco probable que los modelos futuros sean susceptibles de ataques de inferencia de membresía, aunque Patel admite que es posible que la base de datos que contiene las indicaciones guardadas pueda ser pirateada o filtrada.

Los vínculos de terceros con la IA podrían exponer los datos

Para los expertos, es más probable que surjan problemas de proveedores externos que no declaran explícitamente sus políticas de privacidad, por lo que usarlos con herramientas y plataformas seguras puede poner en riesgo cualquier información.

Además, también es clave controlar qué datos se envían a ChatGPT. Los datos confidenciales representan actualmente el 11% de lo que los empleados incorporan a este chatbot y, según Cyberhaven, una empresa promedio filtra datos confidenciales a ChatGPT cientos de veces por semana.

Esto pone de relevancia la importancia de tener en cuenta los aspectos de la propiedad de los datos y cuál es el impacto potencial si se viola la organización que aloja los datos. Es responsabilidad de una empresa asegurarse de que sus usuarios sean plenamente conscientes de qué información debe y no debe divulgarse en ChatGPT.

En consecuencia, el NCSC sostiene que las organizaciones deben tener mucho cuidado con los datos que comparten, de manera que no pongan en riesgo a la compañía. Además, es importante que implementen políticas en sus puertas de enlace web seguras (SWG) para identificar el uso de herramientas de IA y aplicar políticas de prevención de pérdida de datos (DLP) para identificar qué datos se envían a estas herramientas.

 

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre