Riesgos corporativos derivados del uso de ChatGPT

A final del mes de noviembre de 2022 se publicó el prototipo de chatbot de inteligencia artificial (IA), ChatGPT, desarrollado por la organización OpenAI. Unos meses más tarde, en marzo de 2023, se lanzó la última versión del chatbot, el modelo GPT-4. Su uso comenzó a popularizarse llevando a algunos países como Italia a plantear cómo el servicio gestionaba la información que se le proporcionaba. Posteriormente, el país bloqueó ChatGPT por incumplimiento sobre la protección de datos personales durante veinte días. Tras dicho periodo OpenAI realizó una serie de cambios para seguir operando, como: mostrar de forma detallada qué datos personales se recopilan, cómo se procesan y la posibilidad de que los usuarios se nieguen a que los datos se usen en otras IAs. Actualmente la Unión Europea se encuentra en proceso de elaboración de la primera norma sobre IA, esta afectaría también a la IA generativa utilizada por ChatGPT[1]. Se espera que esté lista a finales de 2023.

La aparición de ChatGPT como servicio abierto al público supuso un nuevo momento histórico del ámbito cibernético. Gran cantidad de usuarios desafiaron con su ingenio a la IA y probaron su usabilidad, muestra de ello los 67 millones de resultados de Google ante la pregunta ¿Para qué usar ChatGPT? Las respuestas a la cuestión son amplias y variadas, sobre gran cantidad de ámbitos, donde cabría mencionar el uso con intención maliciosa del servicio: generación de nuevos malware o contenidos para un phishing más eficaz.

Para los usuarios la capacidad de la IA para resolver los problemas rápidamente ha prevalecido ante el hecho de que se trata de un servicio prestado por una organización y que esta podría obtener beneficios en un futuro gracias al entrenamiento y los datos proporcionados. No obstante, OpenAI se presenta como una organización sin ánimo de lucro y con el objeto de crear una IA segura para la humanidad. Esto habría participado en la generación de confianza sobre los consumidores.

Asimismo, parece olvidado aquello de que “la información es poder”. La confianza de los usuarios podría haber colaborado en este olvido masivo. Hoy en día, la exposición en Internet de una persona media es bastante alta y se carece de perspectiva sobre las consecuencias que esto puede conllevar. En esta línea, los usuarios realizan peticiones a ChatGPT que conllevan proporcionarle información personal o confidencial como, por ejemplo: generar un curriculum vitae, redactar un contrato legal, seleccionar entre varios documentos PDF a un candidato, etc.

Tal confianza en el servicio ha promovido la expansión del uso de la IA desde el plano personal al corporativo. Esta situación está llevando a que el establecimiento de límites sea una necesidad en las empresas. Grandes corporaciones como Samsung ya han prohibido o limitado su uso como consecuencia de incidentes relacionados con la pérdida de información corporativa.

Actualmente, existe controversia acerca del uso de la información que se le proporciona a ChatGPT, puesto que a pesar de que dicha tecnología afirma no almacenar los datos, numerosos usuarios habrían podido acceder a informaciones proporcionadas por otros (véase código de desarrollo de productos internos[2] o licencias para Windows 11 Pro[3]).

También se han detectado fallos en las respuestas proporcionadas, ya bien por ser falsas o por ser inventadas, como le sucedió a un abogado estadounidense que utilizó ChatGPT para su argumentación jurídica en un escrito que presentó a juicio y en el que la IA inventó precedentes legales inexistentes, por lo que ahora podría ser sancionado[4].

Además, cabe recordar que ChatGPT tampoco es infalible en el ámbito de la ciberseguridad. Como servicio, para su utilización requiere de usuario, cuenta de correo electrónico, número de teléfono móvil y contraseña. En la actualidad ya se han detectado las primeras filtraciones de datos con la exposición de unas 100.000 cuentas de usuarios[5]. En la información filtrada aparte de contener la necesaria para el acceso al servicio también se encontraría aquella enviada a ChatGPT, es decir, el registro de las conversaciones mantenidas con la IA por un usuario en concreto.

En síntesis, los riesgos corporativos derivados del uso de la IA son numerosos y variados como la utilización en las consultas de información personal o confidencial (propiedad de la empresa o sobre de la que es responsable en su gestión), las posibles brechas de seguridad y las filtraciones de datos en el servicio e incluso la aceptación de la premisa de que el juicio de la IA es de mayor valor que el de uno mismo. Por todo esto, las organizaciones tendrán que preguntarse: ¿vale la pena asumir estos riesgos?

Noelia B., Analista de Inteligencia.