La doble amenaza que ChatGPT representa para los secretos corporativos

Una vez que aprenden a usarlo, cada vez más empleados están utilizando ChatGPT para simplificar sus tareas, como responder correos electrónicos, preparar presentaciones o codificar software. Según Cyberhaven, una empresa especializada en ciberseguridad y protección de datos, esto podría convertirse en una pesadilla potencial.

Como siempre, y con todas las encuestas y estudios, es crucial comenzar examinando la metodología. “Según los datos de los productos de Cyberhaven, el 5,6% de los empleados ha utilizado ChatGPT en su lugar de trabajo y el 4,9% ha introducido datos de la empresa en él”, afirma un estudio de la empresa de ciberseguridad.

Aunque el porcentaje pueda parecer bajo, solo se debe a la identificación que permite la herramienta de esta empresa, especializada en protección de datos. Además, la nota de prensa aclara que copiar y pegar en el navegador elimina la etiqueta “confidencial” de los datos copiados. Y los datos transmitidos a ChatGPT no contienen elementos “rastreables” como números de seguro social o de tarjeta de crédito.

Entonces, ¿cuál es el problema? Los autores del estudio presentan dos casos prácticos:

– Un médico que quiere escribir una nota para un paciente puede copiar toda la información en ChatGPT y pedirle que redacte esta nota y la feche. Pero si otro usuario más tarde pide a ChatGPT una nota basada en las enfermedades de este paciente, podría terminar poseyendo sus secretos más íntimos, ya que la inteligencia artificial procesa y reutiliza los datos que le proporcionamos.

– Un ejecutivo utiliza un documento de estrategia para pedirle a la IA que prepare diapositivas sobre los puntos principales. Una investigación más profunda sobre los puntos principales de este negocio para el año X podría revelar lo que se ha preparado para ese marco.

1% de los empleados, 80% de las fugas

“Los datos confidenciales constituyen el 11% de lo que los empleados introducen en ChatGPT, pero dado que el uso de ChatGPT es tan alto y sigue creciendo exponencialmente, esto resulta en una gran cantidad de información. Durante la semana del 26 de febrero al 4 de marzo, los empleados de una empresa promedio con 100.000 empleados colocaron documentos confidenciales en ChatGPT 199 veces, datos de clientes 173 veces y código fuente 159 veces”, según el estudio de Cyberhaven. Menos del 1% de los empleados son responsables del 80% de las fugas de datos, explica.

Por el momento, ni la Comisión Nacional de Protección de Datos ni la Comisión de Supervisión del Sector Financiero han publicado recomendaciones específicas para abordar este nuevo riesgo.

Sin embargo, uno por uno, los principales actores están implementando estrategias anti-ChatGPT, si no en toda la empresa, al menos en algunas de las líneas de negocio más riesgosas. A fines de enero, Business Insider informó que los abogados de Amazon habían “instado” a los empleados del gigante a no introducir datos confidenciales en la herramienta, explicando en el canal de Slack del personal que ya habían encontrado material bastante similar a los datos originales… Finalmente, la empresa habría instalado un sistema de reconocimiento que el empleado que quiera usar ChatGPT deberá validar antes de su uso… y que probablemente ayudará a identificar a quienes no han entendido el mensaje.

Cibercrimen para principiantes

JP Morgan ha prohibido el uso de la inteligencia artificial a todos sus empleados en todo el mundo, mientras que el banco de inversión Morgan Stanley se ha limitado a advertir sobre los riesgos, especialmente los vinculados a las respuestas fantasiosas de esta herramienta. La misma postura ha adoptado Verizon, que convocó a su directora jurídica, Vandana Venkatesch, y a su vicepresidenta senior y directora de tecnología, Nasrin Rezai, para explicar por qué y en qué aspectos prestar atención. Ambos expertos hicieron énfasis no solo en el riesgo de revelar secretos corporativos, sino también en cómo los piratas informáticos podrían usar la herramienta para imitar la forma en que el grupo escribe correos electrónicos o notas, lo que facilitaría sus intentos de phishing.

Es difícil profundizar más ya que Verizon acaba de relanzar, a finales de enero, cuatro productos de su suite VCC, todos basados en IA.

Apple ha bloqueado ChatGPT en su aplicación Blue Mail por temor a que la IA envíe “respuestas inapropiadas a los niños”.

Y el problema solo está comenzando, ya que ha surgido otro efecto secundario: el cibercrimen está al alcance de cualquiera y se multiplican los ejemplos de principiantes que programan software malicioso… mientras que los profesionales de la ciberseguridad también utilizan estas herramientas para reforzar la protección de las empresas para las que trabajan.

Este artículo proviene del boletín semanal Paperjam Tech, el lugar para seguir las últimas novedades sobre innovación y nuevas tecnologías. Puedes suscribirte haciendo clic aquí.

Califica Esta Página

BLOG