A pesar de su potencial, muchas organizaciones dudan en adoptar plenamente las herramientas GenAI debido a la preocupación de que datos confidenciales se compartan inadvertidamente y posiblemente se utilicen para entrenar estos sistemas, según Harmonic.
La exposición de datos confidenciales en GenAI genera inquietudes
Un nuevo estudio, basado en decenas de miles de solicitudes de usuarios comerciales, revela que casi uno de cada diez revela potencialmente datos confidenciales.
Harmonic Security analizó los mensajes durante el cuarto trimestre de 2024 y monitorea el uso de herramientas GenAl, incluidas Microsoft Copilot , OpenAl ChatGPT , Google Gemini, Claude de Anthropic y Perplexity.
En la gran mayoría de los casos, el comportamiento de los empleados al utilizar las herramientas GenAI es sencillo. Los usuarios suelen pedir que se resuma un fragmento de texto, se edite un blog o se escriba documentación para un código. Sin embargo, el 8,5 % de las solicitudes son motivo de preocupación y ponen en riesgo información confidencial.
De esta cifra, el 45,8 % de los mensajes potencialmente revelaban datos de clientes, como información de facturación y datos de autenticación. Otro 26,8 % contenía información sobre empleados, incluidos datos de nómina, información de identificación personal y registros laborales. Algunos mensajes incluso solicitaban a GenAI que realizara evaluaciones de desempeño de los empleados.
Del resto, los datos legales y financieros representaron el 14,9%. Esto incluía información sobre datos de cartera de ventas, carteras de inversión y actividad de fusiones y adquisiciones. La información relacionada con la seguridad, que comprende el 6,9% de los avisos confidenciales, es especialmente preocupante.
Entre los ejemplos se incluyen los resultados de pruebas de penetración, las configuraciones de red y los informes de incidentes. Estos datos podrían proporcionar a los atacantes un modelo para explotar las vulnerabilidades. Por último, el código confidencial, como las claves de acceso y el código fuente propietario, constituían el 5,6 % restante de los avisos confidenciales potencialmente divulgados.
Los servicios gratuitos de GenAI plantean una amenaza para la seguridad
También es preocupante la cantidad de empleados que utilizan los niveles gratuitos de los servicios de GenAI, que normalmente no cuentan con las funciones de seguridad que se incluyen con las versiones empresariales. Muchas herramientas de nivel gratuito indican explícitamente que se entrenan con datos de clientes, lo que significa que la información confidencial ingresada podría usarse para mejorar los modelos.
Del total de modelos GenAI evaluados, el 63,8% de los usuarios de ChatGPT utilizaron la versión gratuita, en comparación con el 58,6% de los que utilizaron Gemini, el 75% de los que utilizaron Claude y el 50,5% de los que utilizaron Perplexity.
“La mayor parte del uso de GenAI es rutinario, pero el 8,5 % de los mensajes que analizamos ponen en riesgo información confidencial personal y de la empresa. En la mayoría de los casos, las organizaciones pudieron gestionar esta fuga de datos bloqueando la solicitud o advirtiendo al usuario sobre lo que estaba a punto de hacer. Pero no todas las empresas tienen esta capacidad todavía. El elevado número de suscripciones gratuitas también es un motivo de preocupación; el dicho de que «si el producto es gratuito, entonces tú eres el producto» se aplica aquí y, a pesar de los mejores esfuerzos de las empresas detrás de las herramientas GenAI, existe el riesgo de divulgación de datos”, afirmó Alastair Paterson , director ejecutivo de Harmonic Security.
Las organizaciones deben ir más allá de las estrategias de “bloqueo” para gestionar eficazmente los riesgos de GenAl.
Fuente y redacción: helpnetsecurity.com
