En resumen
Samsung y Tesla aprendieron de la manera difícil que subir información confidencial a una IA pública tiene consecuencias. Tu empresa probablemente está cometiendo el mismo error ahora mismo.
Por qué importa
La ciberhigiene no es un tema de TI. Es un tema de cultura organizacional. Y la cultura la construyen los líderes con sus hábitos, no los manuales con sus políticas.
En 2023, ingenieros de Samsung subieron código fuente confidencial a ChatGPT para que les ayudara a depurarlo. El código quedó disponible para entrenar el modelo. Semanas después, el incidente se hizo público. Samsung prohibió el uso de IA generativa en sus instalaciones. El daño ya estaba hecho.
No fue un ataque. No fue un hackeo. Fue un empleado bien intencionado usando una herramienta nueva sin entender cómo funciona. Eso es exactamente lo que está ocurriendo en miles de empresas latinoamericanas ahora mismo, con menos visibilidad y las mismas consecuencias potenciales.
Cómo funciona el riesgo
Las herramientas de IA generativa pública aprenden de las interacciones de sus usuarios, a menos que el usuario configure explícitamente lo contrario o use una versión empresarial con garantías contractuales de privacidad. Cuando un empleado sube un análisis de riesgo, un organigrama, un reporte de incidente o una lista de proveedores a una de estas herramientas, esa información puede usarse para mejorar el modelo y, en algunos escenarios, aparecer en las respuestas que el sistema da a otros usuarios.
No es un escenario hipotético. Es la política de uso de la mayoría de las versiones gratuitas de estas herramientas. Está en los términos y condiciones que nadie lee.
Herramientas profesionales
Explora las herramientas creadas para fortalecer la seguridad y la prevención en las organizaciones.
Qué información nunca debe subirse a una IA pública
- ▸Datos de empleados: nombres, salarios, evaluaciones de desempeño, expedientes disciplinarios.
- ▸Información de clientes o proveedores: contratos, condiciones comerciales, datos de contacto.
- ▸Reportes de incidentes o investigaciones internas: especialmente si incluyen nombres o detalles operativos.
- ▸Planos, diagramas o mapas de instalaciones.
- ▸Estrategias de seguridad, vulnerabilidades identificadas o planes de respuesta.
- ▸Información financiera no pública.
Cómo usar IA sin comprometer información sensible
La regla práctica es simple: usa la IA con datos ficticios o anonimizados. Si necesitas analizar un patrón de fraude, describe el patrón sin incluir nombres, fechas específicas ni detalles que permitan identificar a la empresa o las personas involucradas. El modelo puede ayudarte igual. La información sensible se queda donde debe estar.
Para usos más intensivos, las versiones empresariales de estas herramientas ofrecen garantías contractuales de que los datos no se usan para entrenamiento. Eso tiene un costo. Pero es significativamente menor que el costo de una brecha de información.
Formación profesional
Diplomado en Criminología Corporativa
Lleva lo que lees a la práctica. Formación ejecutiva en protección de activos, investigaciones y gestión de riesgos.
José Luis Prieto Montes
LinkedInCPP · PCI · PSP
Básicamente hago lo mismo que Batman: protejo a la gente y los activos, investigo incidentes y me adelanto a las amenazas… solo que en seguridad corporativa.
Profundiza · Más lectura
¿Qué opinas tú?
Este tema tiene más de una perspectiva válida. Comparte tu experiencia, un caso que hayas visto, o un punto de vista que cuestione lo que está escrito aquí. Las mejores ideas en seguridad corporativa vienen del campo — y ahí es donde estás tú.