Cada vez más usuarios y empresas recurren a la inteligencia artificial para redactar documentos, analizar información o resolver dudas del día a día.
Sin embargo, lo que muchos desconocen es que ciertas configuraciones pueden dejar expuestas sus conversaciones, haciéndolas accesibles públicamente a través de buscadores sin que se den cuenta.
Así lo advierte Rafael López, ingeniero de seguridad especializado en protección de correo electrónico en Check Point Software, que alerta de que estas prácticas pueden poner en riesgo tanto a particulares como a compañías.
© Getty Images“Esto ocurre cuando se usan versiones públicas o gratuitas”
Según López, las fugas no son fruto de la casualidad, sino de un uso inadecuado de las plataformas: “Esto ocurre cuando se usan versiones públicas o gratuitas de herramientas de IA que no cuentan con controles de privacidad empresariales. En muchos casos, las interacciones se almacenan en servidores externos y pueden quedar accesibles públicamente si la plataforma no las protege de forma adecuada”, explica.
El experto insiste en que la falta de configuración de privacidad, como no desactivar el uso de datos para entrenar modelos públicos, aumenta todavía más el riesgo de exposición.
La filtración de información estratégica o de propiedad intelectual puede comprometer la ventaja competitiva de una compañía y facilitar que terceros reutilicen datos de forma no autorizada
Riesgo legal, reputacional y hasta penal
En palabras de López, el impacto de una filtración puede ser devastador: “La filtración de información estratégica o de propiedad intelectual puede comprometer la ventaja competitiva de una compañía y facilitar que terceros reutilicen datos de forma no autorizada. Además, supone un riesgo legal, con sanciones millonarias”, advierte.
Para entender el alcance de estas sanciones, el ingeniero de Check Point Software aclara que entran en juego varias normativas europeas:
- RGPD: Reglamento General de Protección de Datos, que protege la privacidad de los ciudadanos europeos.
- DORA: norma que regula la resiliencia digital en el sector financiero.
- NIS2: directiva de ciberseguridad que obliga a empresas e instituciones a reforzar sus sistemas contra ataques.
“La pérdida de confianza puede ser devastadora y difícil de revertir. En los casos más graves, si se demuestra negligencia en los controles internos, incluso podrían derivarse consecuencias penales”, remarca López.
Los fallos más comunes al usar la inteligencia artificial
El experto enumera los errores que observa con más frecuencia en el uso de estas herramientas:
- Uso de cuentas personales o versiones gratuitas sin garantías de seguridad.
- Introducir información sensible en prompts (los prompts son las instrucciones o preguntas que escribimos en la herramienta de IA).
- Automatización de procesos sin supervisión.
- Shadow IT: empleados que utilizan aplicaciones tecnológicas sin conocimiento ni aprobación del departamento de seguridad, lo que dificulta el control.
Entrenar modelos con datos confidenciales sin medidas de aislamiento adecuadas, lo que puede llevar a fugas de información. Según López, esto se conoce como prompt injection: un tipo de ataque en el que se manipulan las instrucciones dadas a la IA para que revele datos que deberían estar protegidos.
© Getty ImagesCómo protegerte: medidas básicas para empresas y usuarios
Rafael López también ofrece una serie de pautas básicas para reducir riesgos:
- Evitar introducir datos sensibles (clientes, claves, documentos internos o estrategias).
- Usar siempre versiones empresariales de las plataformas.
- Revisar las configuraciones de privacidad y desactivar el guardado de historiales.
- Formar a los empleados en buenas prácticas y supervisar el uso que hacen de la IA.
- Implementar soluciones de ciberseguridad que monitoricen y detecten usos indebidos.
“Es un riesgo permanente”
En opinión del ingeniero de Check Point Software, no se trata de un problema pasajero: “Es un riesgo permanente. Aunque la tecnología madurará y habrá más controles regulatorios, la misma evolución de la IA genera nuevos vectores de ataque. Los ciberdelincuentes ya usan modelos avanzados que crean contenido dañino sin límites”, subraya.
Por eso, López concluye que la clave estará en la gestión proactiva de la ciberseguridad, la supervisión continua y un marco regulatorio sólido que permita aprovechar el potencial de la IA sin poner en juego la privacidad ni la confianza.
