Seguridad

Riesgos corporativos derivados del uso de ChatGPT

 

A final del mes de noviembre de
2022 se publicó el prototipo de chatbot de inteligencia artificial (IA), ChatGPT,
desarrollado por la organización OpenAI. Unos meses más tarde, en marzo de 2023,
se lanzó la última versión del chatbot, el modelo GPT-4.  Su uso comenzó a popularizarse llevando a
algunos países como Italia a plantear cómo el servicio gestionaba la
información que se le proporcionaba. Posteriormente, el país bloqueó ChatGPT por
incumplimiento sobre la protección de datos personales durante veinte días. Tras
dicho periodo OpenAI realizó una serie de cambios para seguir operando, como: mostrar
de forma detallada qué datos personales se recopilan, cómo se procesan y la
posibilidad de que los usuarios se nieguen a que los datos se usen en otras IAs.
Actualmente la Unión Europea se encuentra en proceso de elaboración de la
primera norma sobre IA, esta afectaría también a la IA generativa utilizada por
ChatGPT[1].
Se espera que esté lista a finales de 2023.

La aparición de ChatGPT como
servicio abierto al público supuso un nuevo momento histórico del ámbito cibernético.
Gran cantidad de usuarios desafiaron con su ingenio a la IA y probaron su
usabilidad, muestra de ello los 67 millones de resultados de Google ante la
pregunta ¿Para qué usar ChatGPT? Las respuestas a la cuestión son amplias y
variadas, sobre gran cantidad de ámbitos, donde cabría mencionar el uso con
intención maliciosa del servicio: generación de nuevos malware o contenidos
para un phishing más eficaz.

Para los usuarios la capacidad de
la IA para resolver los problemas rápidamente ha prevalecido ante el hecho de
que se trata de un servicio prestado por una organización y que esta podría
obtener beneficios en un futuro gracias al entrenamiento y los datos
proporcionados. No obstante, OpenAI se presenta como una organización sin ánimo
de lucro y con el objeto de crear una IA segura para la humanidad. Esto habría
participado en la generación de confianza sobre los consumidores.

Asimismo, parece olvidado aquello
de que “la información es poder”. La confianza de los usuarios podría haber
colaborado en este olvido masivo. Hoy en día, la exposición en Internet de una
persona media es bastante alta y se carece de perspectiva sobre las
consecuencias que esto puede conllevar. En esta línea, los usuarios realizan
peticiones a ChatGPT que conllevan proporcionarle información personal o
confidencial como, por ejemplo: generar un curriculum vitae, redactar un contrato
legal, seleccionar entre varios documentos PDF a un candidato, etc.

Tal confianza en el servicio ha
promovido la expansión del uso de la IA desde el plano personal al corporativo.
Esta situación está llevando a que el establecimiento de límites sea una
necesidad en las empresas. Grandes corporaciones como Samsung ya han prohibido
o limitado su uso como consecuencia de incidentes relacionados con la pérdida
de información corporativa.

Actualmente, existe controversia
acerca del uso de la información que se le proporciona a ChatGPT, puesto que a
pesar de que dicha tecnología afirma no almacenar los datos, numerosos usuarios
habrían podido acceder a informaciones proporcionadas por otros (véase código
de desarrollo de productos internos[2]
o licencias para Windows 11 Pro[3]).

También se han detectado fallos
en las respuestas proporcionadas, ya bien por ser falsas o por ser inventadas,
como le sucedió a un abogado estadounidense que utilizó ChatGPT para su argumentación
jurídica en un escrito que presentó a juicio y en el que la IA inventó
precedentes legales inexistentes, por lo que ahora podría ser sancionado[4].

Además, cabe recordar que ChatGPT
tampoco es infalible en el ámbito de la ciberseguridad. Como servicio, para su
utilización requiere de usuario, cuenta de correo electrónico, número de teléfono
móvil y contraseña. En la actualidad ya se han detectado las primeras
filtraciones de datos con la exposición de unas 100.000 cuentas de usuarios[5].
En la información filtrada aparte de contener la necesaria para el acceso al
servicio también se encontraría aquella enviada a ChatGPT, es decir, el
registro de las conversaciones mantenidas con la IA por un usuario en concreto.

En síntesis, los riesgos
corporativos derivados del uso de la IA son numerosos y variados como la
utilización en las consultas de información personal o confidencial (propiedad
de la empresa o sobre de la que es responsable en su gestión), las posibles
brechas de seguridad y las filtraciones de datos en el servicio e incluso la
aceptación de la premisa de que el juicio de la IA es de mayor valor que el de
uno mismo. Por todo esto, las organizaciones tendrán que preguntarse: ¿vale la
pena asumir estos riesgos?

Noelia B.Analista de Inteligencia.

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.