El mundo está contagiándose de la fiebre ChatGPT. Conversamos con este chatbot para que resuelva nuestras dudas y para que nos ayude a trabajar mejor, pero mientras lo hacemos, le estamos contando un montón de cosas a este motor de inteligencia artificial conversacional. Eso no es problema si uno habla de temas más o menos banales, pero la cosa cambia, y mucho, en empresas.
Top secret. Como indican en Dark Reading, un informe reciente de la consultora de seguridad de datos Cyberhaven reveló que se detectaron y bloquearon peticiones de introducción de datos en el 4,2% de los 1,6 millones de trabajadores de empresas que trbaajan con ellos. Es un porcentaje que parece bajo pero que es realmente preocupante porque en todos los casos el peligro estaba en que esos trabajadores acabaran filtrando datos sensibles.
¿Qué datos sensibles se pueden filtrar? De todo tipo. Desde información confidencial sobre la empresa hasta datos de clientes o código fuente de sus aplicaciones. En uno de los casos, un directivo copió y pegó el documento de la estrategia de 2023 de la empresa en ChatGPT y le pidió que creara una presentación en PowerPoint. En otro, un doctor introdujo el nombre de un paciente y su estado de salud, y le pidió a ChatGPT que escribiera el borrador de una carta a la compañía de seguros del paciente.
Contándole todo a ChatGPT. Para estos expertos, el peligro es real e irá en aumento. "Hubo una gran migración de datos de la nube a la nube, y el próximo gran cambio va a ser la migración de datos a estas aplicaciones generativas", explicaba Howard Ting, CEO de Cyberhaven.
Las empresa empiezan a reaccionar. Algunas compañías han reconocido ya el problema y están comenzando a tomar medidas. JPMorgan ha restringido el uso de ChatGPT, y otras como Amazon, Microsoft —qué ironía— y Wal-Mart han publicado avisos para sus empleados: tened cuidado cómo usáis los servicios de IA generativa.
ChatGPT no sabe guardar secretos. El problema es que si alguien da datos confidenciales ChatGPT, el motor no sabe que lo son. Los expertos en ciberseguridad avisan de un nuevo tipo de ataques llamados "de extracción de datos de entrenamiento" o de "exfiltración mediante inferencia de aprendizaje automático" que básicamente logran sacarle información confidencial a ChatGPT.
Y esto va a más. La presentación ayer de Microsoft 365 Copilot no hará más que impulsar el uso de estos sistemas con datos empresariales, y aunque en Redmond aseguraron que en esos entornos la privacidad y la protección de los datos confidenciales está garantizada, más y más trabajadores acabarán usando estos y otros sistemas para ayudarles en su trabajo. Eso, lo quieran o no las empresas, puede representar una amenaza potencial. Una que tendrán que tratar de evitar a toda costa.
Imagen: Ryoji Iwata
Ver 22 comentarios