La información que comparte con ChatGPT puede generar brechas de seguridad
Imagen: Zdzisław Beksiński
De acuerdo con un análisis reciente de la unidad de investigación de SILIKN, alrededor del 8.7% de empleados de pequeñas, medianas y grandes empresas mexicanas o extranjeras con operaciones en el país han alimentado con datos confidenciales a ChatGPT, creando nuevas brechas de seguridad y, con ello, posibles filtraciones masivas de información de patentes, secretos industriales, prototipos, entre otros datos corporativos.
Estos datos son proporcionados por los empleados con la finalidad de probar a ChatGPT y conocer la forma en la que trabaja esta inteligencia artificial, así como obtener respuestas a diferentes requerimientos, en la búsqueda por facilitar sus labores cotidianas.
Esta información que comparten los empleados es procesada por los algoritmos de la inteligencia artificial, los cuales le permiten aprender, comprender contextos, así como resolver problemas. No obstante, esta información es almacenada por lo que podría recuperarse en una fecha posterior por cualquier otro usuario, incluyendo los cibercriminales quienes, además, encontrarían la forma de filtrarla y exponerla con el objetivo de extorsionar a las organizaciones.
Y si bien ChatGPT tiene controles que restringen las respuestas que considera pueden ser utilizadas para realizar actividades malintencionadas, ilegales o delictivas, también es cierto que cada vez se está encontrando la forma de hacer preguntas que buscan obtener esa información, utilizando otras palabras o sintaxis y así crear campañas de phishing o desarrollar código de malware.
En este sentido, no estamos muy lejos de que los cibercriminales, haciendo uso de nuevas técnicas y herramientas, puedan tener acceso a la información confidencial que ha sido compartida con ChatGPT, como datos de clientes, código fuente o directrices operativas.
Entre los casos más comunes mediante los cuales ChatGPT está obteniendo información clasificada se encuentran las preguntas directas acerca de una mejora de producto o relacionadas a estrategias a ejecutar contra determinado competidor para obtener una mayor participación de mercado. Pero también, al compartir código confidencial, para su revisión, mejora o análisis; datos de presentaciones o documentos que le piden a ChatGPT que revise y encuentre errores; campañas de marketing o publicidad que necesitan ser modificadas; historiales médicos que comparten con la inteligencia artificial para corroborar algún diagnóstico, entre otros.
Como se ha mencionado, estos datos quedan almacenados y podrían ser consultados y recuperados a corto plazo por diferentes tipos de usuarios, entre ellos los ciberdelincuentes.
Y el riesgo es alto ya que mediante un estudio de la Universidad de Harvard y la Universidad de Stanford, se descubrieron los ataques de extracción de datos de entrenamiento, a través de los cuales se podían recuperar con éxito secuencias de texto palabra por palabra de la inteligencia artificial.
De hecho, estos ataques de extracción de datos de entrenamiento son una de las principales preocupaciones entre los investigadores de aprendizaje automático. También conocido como exfiltración a través de la inferencia de aprendizaje automático, los ataques podrían recopilar información confidencial o robar propiedad intelectual, según la base de conocimientos Adversarial Threat Landscape for Artificial-Intelligence Systems de MITRE.
Ante esto, algunas organizaciones en países como Estados Unidos o Reino Unido están restringiendo el acceso de ChatGPT, y herramientas similares, en sus instalaciones, al mismo tiempo que están emitiendo alertas para que los empleados tengan cuidado de no compartir información crítica con este tipo de inteligencia artificial.
En este caso, la capacitación en ciberseguridad podría evitar la fuga de datos de una empresa, porque aún no es mucha la cantidad de empleados (en México es 8.7%) que han sido responsables de compartir información confidencial o que han hecho solicitudes riesgosas y, además, estamos a tiempo de alertarlos acerca de los riesgos que esta práctica conlleva.
Para más información, visite: https://www.silikn.com/