Una reciente investigación publicada por Cyberhaven ha puesto de manifiesto los riesgos potenciales de la herramienta ChatGPT, desarrollada por OpenAI, en relación con la confidencialidad de los datos en el entorno empresarial.
Lee también: Análisis: ¿qué tan bueno es ChatGPT-4 para generar textos creativos?
Según datos del producto de Cyberhaven, al 19 de abril, el 9,3 % de los empleados ha utilizado ChatGPT en el lugar de trabajo y el 7,5 % ha pegado datos de la empresa en la herramienta desde su lanzamiento el pasado 30 de noviembre.
Empresas como JP Morgan, Verizon, Amazon y Samsung están bloqueando el acceso a ChatGPT debido a riesgos relacionados con la confidencialidad de los datos. El análisis de Cyberhaven muestra que el 4,0 % de los empleados ha introducido datos confidenciales de su compañía en ChatGPT.
El problema de introducir datos de la empresa en ChatGPT
“OpenAI utiliza el contenido que las personas ingresan en ChatGPT como datos de entrenamiento para mejorar su tecnología. Esto resulta problemático porque los empleados copian y pegan todo tipo de datos confidenciales en ChatGPT para que la herramienta los reescriba, desde código fuente hasta registros médicos de pacientes”, afirma el análisis.
Recientemente, un abogado de Amazon advirtió a los empleados que no introdujeran datos confidenciales en ChatGPT, señalando que “no queremos que los textos producidos por ChatGPT incluyan nuestra información confidencial”.
La ingeniera de sistemas Alexandra Pomares, directora de Investigación de la Javeriana y PhD en Ingeniería e Informática, explicó en parte el funcionamiento de ChatGPT durante el evento discutió el tema en el evento ‘Mujer y ciencia: inteligencia artificial e impacto social’ de la Universidad Javeriana y su apreciación confirma, implícitamente, que brindarle datos confidenciales constituye un riesgo.
“ChatGPT aprendió por un proceso de entrenamiento con información, por ejemplo, de Reddit o Wikipedia, entre otros. Siempre hay un trabajo manual, nada es mágico, todo es aprendizaje y se trata de un componente híbrido (una parte del aprendizaje se lleva a cabo de forma manual y otra de forma automática”, detalló la ingeniera.
Por ende, no resulta extraño que el modelo pueda replicar información confidencial: en este momento se está nutriendo con información de los usuarios en tiempo real, aunque se afirme que su base de datos va hasta septiembre de 2021.
La investigación de Cyberhaven aporta dos valiosos ejemplos:
“Un médico ingresa el nombre de un paciente y detalles de su enfermedad en ChatGPT para redactar una carta a la compañía de seguros del paciente, justificando la necesidad de un procedimiento médico. En el futuro, si un tercero pregunta a ChatGPT “¿qué problema médico tiene [nombre del paciente]?”, ChatGPT podría responder en función de lo que el médico proporcionó”.
“Un ejecutivo ingresa los puntos clave del documento de estrategia de la empresa para 2023 en ChatGPT y le pide que lo reescriba en formato de presentación de PowerPoint. En el futuro, si un tercero pregunta “¿cuáles son las prioridades estratégicas de [nombre de la empresa] este año?”, ChatGPT podría responder en función de la información proporcionada por el ejecutivo”.
Es difícil para los productos de seguridad monitorear el uso de ChatGPT y proteger los datos que se envían a la herramienta por dos razones:
1. Cuando los trabajadores ingresan datos de la empresa en ChatGPT, no cargan un archivo, sino que copian y pegan el contenido en su navegador web. Muchos productos de seguridad están diseñados para proteger archivos (etiquetados como confidenciales) de ser cargados, pero una vez que se copia el contenido fuera del archivo, no pueden seguir su rastro.
2. Los datos de la empresa que se envían a ChatGPT a menudo no contienen un patrón reconocible que las herramientas de seguridad buscan, como un número de tarjeta de crédito o número de Seguridad Social. Sin conocer más sobre su contexto, las herramientas de seguridad actuales no pueden distinguir entre alguien que ingresa el menú de la cafetería y los planes de fusiones y adquisiciones de la empresa.
Fechas relevantes
22 de febrero: JP Morgan informó que no podía determinar “cuántos empleados estaban usando el chatbot ni para qué funciones lo estaban utilizando” y posteriormente lo bloquéo.
2 de mayo de 2023: Samsung prohibió el uso de los servicios de inteligencia artificial como ChatGPT a los empleados de su división de móviles y electrodomésticos.
21 de marzo de 2023: OpenAI cerró ChatGPT debido a un error que etiquetaba incorrectamente los chats en el historial del usuario con los títulos de chats de otros usuarios. En la medida en que esos títulos contenían información confidencial o delicada, podrían haber sido expuestos a otros usuarios de ChatGPT.
6 de abril de 2023: se difundió la noticia de que Samsung descubrió que sus empleados estaban introduciendo datos confidenciales en ChatGPT, incluido el código fuente para depurarlo y transcripciones de reuniones internas para resumirlas. Como medida de emergencia, la empresa limitó la entrada a ChatGPT a 1024 bytes.
Cifras de uso de ChatGPT en el trabajo
Cyberhaven Labs llevó a cabo un análisis del uso de ChatGPT en 1,6 millones de trabajadores de diversas industrias que emplean su producto. Desde el lanzamiento público de ChatGPT, un 9,3 % de los trabajadores estudiados lo han utilizado al menos una vez en el trabajo y un 7,5 % ha ingresado datos en la herramienta. A pesar del creciente número de empresas que bloquean el acceso a ChatGPT, su uso sigue aumentando exponencialmente.
Lee también: Análisis: los trabajos que cambiarán por ChatGPT y los que no
El 12 de abril, Cyberhaven registró un récord de 6,352 intentos de introducir datos corporativos en ChatGPT por cada 100,000 empleados. Además, la empresa monitorea la transferencia de datos desde ChatGPT a otros lugares, como documentos de Google, correos electrónicos empresariales o editores de código fuente. Curiosamente, los trabajadores copian datos de ChatGPT más frecuentemente de lo que ingresan datos corporativos en la plataforma, en una proporción cercana a 2 a 1.
En una entrevista con Crónicatech, Daniel Molina, vicepresidente para el mercado de América Latina en iProov, una empresa de seguridad especializada en autenticación biométrica, expresó su preocupación no solo por la posible filtración de datos sensibles de las empresas, sino también por la falta de claridad en cuanto a la autenticidad de la información generada por ChatGPT. Molina planteó la siguiente pregunta: “Si el texto producido es el resultado de combinar información de varias fuentes con derechos de autor, ¿podemos afirmar que el contenido generado por la herramienta es original?”.
Según el directivo, en el ámbito académico, se exige indicar expresamente cuando un artículo científico incluye información de ChatGPT, ya que podría incurrir en plagio. Además, si dicho texto contiene información confidencial de ciertas empresas, podría llegar a ser ilegal.
Tipos de datos más filtrados
Desde el lanzamiento de ChatGPT, Cyberhaven informa que el 4,0 % de los empleados ha introducido datos sensibles en la herramienta al menos en una ocasión. A pesar de que los datos sensibles representan solo el 11 % de lo que los empleados pegan en ChatGPT, la alta tasa de uso y el crecimiento exponencial hacen que esta cantidad de información sea preocupante.
En un período que abarca desde la semana del 26 de febrero hasta la semana del 9 de abril, se observó un aumento del 60,4 % en incidentes de datos confidenciales ingresados en ChatGPT por cada 100.000 empleados. Los tipos de datos confidenciales más comunes incluyen datos sensibles o de uso interno, con 319 incidentes semanales por cada 100.000 empleados; código fuente, con 278 incidentes; y datos de clientes, con 260 incidentes.
El estudio de Cyberhaven también encontró que en una empresa promedio, un pequeño grupo constituido por solo el 0,9% de los empleados es responsable del 80% de los casos en que se pegan datos de la empresa en ChatGPT.
Conclusión
El uso creciente de ChatGPT en el lugar de trabajo plantea desafíos y riesgos para la seguridad de los datos de las empresas. Es fundamental que las organizaciones adopten medidas de seguridad adecuadas y políticas claras para garantizar que los empleados utilicen ChatGPT de manera responsable y no compartan información confidencial a través de la plataforma.