¿Qué se entiende por IA o Inteligencia Artificial?
La Inteligencia Artificial es una funcionalidad que están adquiriendo las nuevas tecnologías, que permite que un dispositivo o medio (ordenador, máquina, móvil, coche, aplicación, altavoz inteligente, web, etc.) pueda entablar una comunicación fluida con una persona. Hasta el punto de contestar a preguntas, llevar una conversación o resolver problemas, con un nivel de entendimiento equivalente o incluso superior al que pudiese tener un cerebro humano.
¿Hay ciberataques asociados al uso de IA?
Lamentablemente sí. Por ejemplo, la tecnología de IA más utilizada a día de hoy es ChatGPT, con 180.5 millones de Usuarios activos mensuales a nivel mundial (a fecha de abril de 2024). Por lo que para los ciberdelincuentes es «un nuevo mar lleno de peces a los que pescar». Y esto se debe a que no todos los programas y aplicaciones dotados de estas funcionalidades son igual de seguros. Por ejemplo, ya se han detectado vulnerabilidades en los asistentes de ordenador de coches, altavoces inteligencias del tipo Alexa e incluso el propio ChatGPT o buscadores similares.
¿Qué precauciones debemos tener?
Especialmente si utilizamos estas tecnologías no solo a nivel personal, sino también profesional, debemos tener en cuenta lo siguiente:
- Regla de oro: desconfiar de todo y preguntar a expertos. Lo que implica que, a nivel personal pongamos cuidado en lo que utilizamos y descargamos, y en caso de duda, es preferible preguntar a una persona de perfil técnico, para que nos aconseje. Pero además a nivel profesional, si queremos utilizar una tecnología de IA en el ámbito laboral, porque nos ayuda a ser más eficaces o mejorar la calidad de nuestro trabajo, debemos primero solicitar autorización al responsable directo y al Dpto. de IT. Si la utilizamos sin haberlo comunicado internamente, en caso de ciberataque, tendríamos como Usuario responsabilidad directa sobre ese incidente y la posible fuga de información.
- Estas tecnologías registran y almacenan las transcripciones de tus conversaciones. Es muy habitual que en las Políticas de Privacidad o Condiciones de Uso de la tecnología se establezca que la misma puede recopilar información de nuestros mensajes, archivos y cualquier comentario que compartamos. Además, las conversaciones pueden ser revisadas por los entrenadores de IA para desarrollar el chat y mejorar el sistema. Por lo tanto, los datos personales o corporativos que introduzcamos no sólo se ven comprometidos, sino que se utilizan en beneficio de la empresa que se encuentre detrás. Creando un riesgo sancionable de Ciberseguridad y Privacidad, tanto para el Usuario que los introduce, como para la empresa a la que pertenecen.
- Falsas webs y aplicaciones de IA. Aprovechando la popularidad de ChatGPT, se han creado páginas y aplicaciones no oficiales para distribuir software malicioso (malware) o llevar a cabo ciberataques en base a la información recopilada. Ya se han detectado más de 90 aplicaciones maliciosas el último año, dotadas de una falsa IA. Por lo que ciertas respuestas que nos dé la IA, tanto si es legal como si no, pueden contener enlaces que nos redirijan a estas webs o apps falsas (Phishing/Pharming), porque la IA de origen no comprueba si lo son, simplemente las encuentra en internet y nos la reenvía como respuesta a nuestra solicitud.
- Pide siempre fuentes para verificar la información. La información que proporciona la IA no indica la fuente de donde la obtiene, por lo que la veracidad y precisión de esta puede ser falsa o incompleta. Para evitarlo podemos realizar preguntas que necesiten fuentes o formularlas de manera que nos tenga que proporcionar respuestas más largas, así tendrá más información de base, y evitamos que acabe inventando texto.
- Atento al copyright de la información que te proporciona el chatbot. Las respuestas generadas por IA, no están protegidas por la ley de derechos de autor, por lo que se pueden usar libremente sin solicitar permiso u obtener una licencia. En estos casos, es importante obtener un permiso o una licencia para usar el contenido de una manera específica, a fin de evitar infringir los derechos de propiedad intelectual de otros.
NOTA IMPORTANTE:
Si aún cumpliendo todas estas medidas, te encuentras con situaciones que no se ajustan al nivel de seguridad requerido o establecido en políticas internas, no dudes en comunicárselo a tu responsable directo, al Responsable de Seguridad CISO y al departamento de IT, para que puedan aconsejarte adecuadamente. Y a nivel personal denuncia el ciberataque ante la autoridad policial.
