Ciberseguridad
Inteligencia artificial
IA
Protección de datos
IA generativa

El uso de plataformas de IA generativa sin control pone en riesgo los datos de las empresas

En muchas organizaciones ya se están incluyendo documentos legales, datos de recursos humanos, código fuente y otra información confidencial en las plataformas de IA sin ningún control ni autorización por parte del área de TI. Este auge de la IA 'en la sombra' genera nuevos riesgos de protección de datos.

inteligencia artificial
Foto de ThisIsEngineering (Pexels).

Los empleados de muchas organizaciones están participando en el uso generalizado de modelos de inteligencia artificial (IA) no autorizados a espaldas de sus CIO y CISO, según un estudio reciente. 

Estos trabajadores están compartiendo documentos legales de la empresa, código fuente e información de los empleados con versiones no corporativas y sin licencia de IA, incluyendo ChatGPT y Google Gemini, lo que podría provocar grandes dolores de cabeza a los CIO y otros líderes de TI. 

Alrededor del 74% del uso de ChatGPT en el trabajo se realiza a través de cuentas no corporativas, lo que podría dar a la IA la capacidad de utilizar o entrenarse con esos datos, según el Informe sobre adopción y riesgo de la IA del segundo trimestre de 2024 de Cyberhaven Labs, basado en los patrones de uso reales de la IA de tres millones de trabajadores. Más del 94% del uso de las IA Gemini y Bard de Google en el lugar de trabajo procede de cuentas no corporativas, revela el estudio. 

El informe añade que casi el 83% de todos los documentos legales compartidos con herramientas de IA se realizan a través de cuentas no corporativas, mientras que cerca de la mitad del código fuente, los materiales de I+D y los registros de recursos humanos y de empleados se introducen en IA no autorizadas. 

La cantidad de datos introducidos en todas las herramientas de IA se multiplicó casi por cinco entre marzo de 2023 y marzo de 2024. "Los usuarios finales están adoptando nuevas herramientas de IA más rápido de lo que TI puede seguir, alimentando el crecimiento continuo de la 'IA en la sombra", añade el informe. 

 

¿A dónde van a parar los datos? 

Al mismo tiempo, es posible que muchos usuarios no sepan qué ocurre con los datos de sus empresas una vez que los comparten con una IA sin licencia. Las condiciones de uso de ChatGPT, por ejemplo, dicen que la propiedad de los contenidos introducidos sigue siendo de los usuarios. Sin embargo, ChatGPT puede utilizar ese contenido para proporcionar, mantener, desarrollar y mejorar sus servicios, lo que significa que podría entrenarse utilizando los registros compartidos de los empleados. Los usuarios pueden optar por que ChatGPT no se forme con sus datos. 

Hasta ahora, no ha habido informes de gran repercusión sobre secretos de grandes empresas divulgados por IA públicas, pero los expertos en seguridad se preocupan por lo que ocurre con los datos de las empresas una vez que una IA los ingiere. El 28 de mayo, OpenAI anunció la creación de un nuevo Comité de Seguridad para abordar estas preocupaciones. 

Es difícil evaluar el riesgo de compartir información confidencial o sensible con IA públicas, afirma Brian Vecci, CIO de Varonis, una empresa de seguridad en la nube. Parece improbable que empresas como Google u OpenAI permitan que sus IA filtren datos empresariales sensibles al público, dados los quebraderos de cabeza que les causaría tal divulgación, afirma. 

Aun así, algunos expertos en seguridad señalan que no hay muchas normas que regulen lo que los desarrolladores de IA pueden hacer con los datos que les proporcionan los usuarios. En los próximos años aparecerán muchos más modelos de IA, afirma Vecci. 

"Cuando salgamos del ámbito de OpenAI y Google, aparecerán otras herramientas", afirma. "Va a haber herramientas de IA por ahí que harán algo interesante pero que no están controladas por OpenAI o Google, que presumiblemente tienen muchos más incentivos para rendir cuentas y tratar los datos con cuidado". 

La próxima ola de desarrolladores de IA de segundo y tercer nivel pueden ser fachadas de grupos de piratas informáticos, pueden ver beneficios en la venta de información confidencial de la empresa o pueden carecer de las protecciones de ciberseguridad que tienen los grandes jugadores, dice Vecci. 

"Hay alguna versión de una herramienta LLM que es similar a ChatGPT y es gratuita y rápida y está controlada por quién sabe quién", dice. "Sus empleados lo están usando, y están volcando el código fuente y los estados financieros, y eso podría ser un riesgo mucho mayor". 

 

Comportamiento arriesgado 

Compartir datos de la empresa o del cliente con cualquier IA no autorizada crea riesgos, independientemente de si el modelo de IA se entrena en esos datos o los comparte con otros usuarios, porque esa información ahora existe fuera de las paredes de la empresa, agrega Pranava Adduri, CEO de Bedrock Security. 

Adduri recomienda a las organizaciones firmar acuerdos de licencia, que contengan restricciones de uso de datos, con los proveedores de IA para que los empleados puedan experimentar con ella. 

"El problema se reduce a la incapacidad de control", afirma. "Si los datos se están enviando a un sistema en el que no tienes ese control directo, normalmente el riesgo se gestiona a través de contratos legales y acuerdos legales". 

AvePoint, una empresa de gestión de datos en la nube, ha firmado un contrato de IA para evitar el uso de la IA en la sombra, dice Dana Simberkoff, directora de Riesgos, Privacidad y Seguridad de la información de la empresa. AvePoint revisó a fondo los términos de la licencia, incluidas las restricciones de uso de datos, antes de firmar. 

Uno de los principales problemas de la IA en la sombra es que los usuarios no leen la política de privacidad o las condiciones de uso antes de introducir los datos de la empresa en herramientas no autorizadas, afirma. 

"A dónde van esos datos, cómo se almacenan y para qué se pueden utilizar en el futuro sigue siendo poco transparente", afirma. "Lo que la mayoría de los usuarios empresariales cotidianos no entienden necesariamente es que estas tecnologías abiertas de IA, las de toda una serie de empresas diferentes que puedes utilizar en tu navegador, en realidad se alimentan de los datos que están ingiriendo". 

 

Formación y seguridad 

AvePoint ha tratado de disuadir a los empleados de utilizar herramientas de IA no autorizadas a través de un programa de educación integral, de estrictos controles de acceso a datos confidenciales y de otras protecciones de ciberseguridad que impiden el intercambio de datos. AvePoint también ha creado una política de uso aceptable de la IA, afirma Simberkoff. 

La educación de los empleados se centra en prácticas comunes de los empleados como conceder un amplio acceso a un documento sensible. Incluso si un empleado sólo notifica a tres compañeros de trabajo que pueden revisar el documento, permitir el acceso general puede permitir que una IA ingiera los datos. 

"Las soluciones de IA son como bestias voraces y hambrientas que se tragan todo lo que pueden", afirma. 

Simberkoff añade que el uso de IA, incluso con licencia oficial, implica que las organizaciones deben contar con buenas prácticas de gestión de datos. Los controles de acceso de una organización deben impedir que los empleados vean información confidencial que no necesitan para hacer su trabajo, afirma, y las mejores prácticas de seguridad y privacidad siguen siendo aplicables en la era de la IA. 

El despliegue de una IA, con su ingesta constante de datos, es una prueba de estrés para los planes de seguridad y privacidad de una empresa, afirma. 

"Este se ha convertido en mi mantra: la IA es el mejor amigo o el peor enemigo de un responsable de seguridad o privacidad", añade. "Realmente lleva a casa todo lo que ha sido una mejor práctica durante 20 años". 

Simberkoff ha trabajado con varios clientes de AvePoint que se echaron atrás en proyectos de IA porque no contaban con controles básicos, como una política de uso aceptable. 

"No entendieron las consecuencias de lo que estaban haciendo hasta que realmente les pasó algo malo", dice. "Si tuviera que dar un consejo realmente importante es que no pasa nada por hacer una pausa. Hay mucha presión sobre las empresas para que desplieguen la IA rápidamente". 



TE PUEDE INTERESAR...

Contenido Patrocinado

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper