ChatGPT no discrimina: es como un cachorrito ansioso, tratando de cumplir con todas las demandas de su dueño, todo por ese pequeño obsequio (o en el caso de ChatGPT, un pequeño clic de "pulgar hacia arriba"). ChatGPT, el modelo de lenguaje de IA que sabe todas las respuestas, ha causado sensación en todas las formas correctas e incorrectas. Sí, este robot puede enriquecer nuestra vida profesional, por lo que, a pesar de las preocupaciones sobre la posibilidad de perder trabajos y apoderarse del mundo, todos están entusiasmados con él. Usted, nosotros y, lamentablemente, también los ciberdelincuentes.
El modelo de lenguaje tiene buenas intenciones: ¡ayudar al ser humano! – lo que suena maravilloso... no solo para los buenos, sino también para los ciberdelincuentes. Puede usarse de forma indebida, accidental o maliciosamente, convirtiéndose en una amenaza potencial para su empresa y sus datos.
En este artículo, exploraremos algunas de las formas en que ChatGPT se usa para ayudar a las empresas, cómo puede ser una amenaza para la seguridad de los datos y brindaremos consejos sobre cómo las empresas pueden protegerse.
¿Cómo se puede utilizar ChatGPT para los negocios?
ChatGPT es una gran herramienta para muchas cosas en las operaciones comerciales diarias, desde responder correos electrónicos hasta el análisis y procesamiento de datos, e incluso tareas mucho más complicadas. Incluso podría usarlo para crear un chatbot para su negocio, o hacer que organice toneladas de datos para usted sin sudar.
¿Suena tentador? Algunas de estas tareas le tomarían horas a un ser humano para completarlas, y un bot puede hacerlo en menos de un minuto... ¿Estás gritando "¡Inscríbeme!" mientras lees esto?
Pero si bien usar un bot para analizar la información financiera más reciente de su empresa parece una excelente idea para ahorrar tiempo, podría resultar contraproducente con bastante rapidez.
¿Por qué ChatGPT puede ser una amenaza para la seguridad de los datos?
ChatGPT intenta simular cómo funciona el cerebro humano. Absorbe información en su "cerebro" de robot y puede recuperar esa información cuando la necesita y usarla en análisis e interacciones posteriores. Pero como dicen, un gran poder conlleva una gran responsabilidad: ChatGPT "conoce" una cantidad increíble de información.
¿Por qué deberías estar preocupado?
Es imposible mantener la confidencialidad de su información sensible
Si bien hay miles de indicaciones que puede dar a ChatGPT, "mantener mis datos confidenciales, confidenciales" no es una de ellas.
ChatGPT es un modelo de aprendizaje profundo, que le permite aprender de sus conversaciones con los usuarios. En otras palabras, sus conversaciones no se quedarán entre ustedes dos. No importa cuán agradable pueda sonar ChatGPT, es solo un programa despiadado y sin emociones que no tiene en cuenta a usted ni a su negocio.
Considere estas tareas con las que usted o su departamento de TI podrían pedir ayuda a ChatGPT:
- Ayude a escribir o encontrar un error en el código fuente.
- Cree notas a partir de la transcripción de una reunión de la junta.
- Optimice una secuencia de prueba para identificar vulnerabilidades internas del sistema.
- Ordene la información de pago del cliente en una hoja de cálculo.
¿Puedes identificar las amenazas?
¡Pero espera hay mas! ChatGPT no solo recuerda cualquier entrada que le proporcione para su análisis futuro, sino que los empleados de OpenAI pueden acceder a los datos de sus chats de ChatGPT, lo que agrega una capa adicional de factor humano a toda esta situación de seguridad de datos. Recuerde, el factor humano está involucrado en el 82% de todas las violaciones de seguridad de datos en 2022 (según el Informe de investigaciones de violación de datos de Verizon de 2022 ) . Y esto fue antes de que ChatGPT se convirtiera en parte de nuestra vida cotidiana.
Y eso todavía no es todo: si no tiene cuidado y, por ejemplo, utiliza una red wifi pública o no segura para tener una conversación con ChatGPT, alguien con malas intenciones podría acceder a su chat y ver qué datos está compartiendo.
¿Esos ejemplos al principio de esta sección? Provienen de situaciones de la vida real que fácilmente podrían haber resultado en violaciones de datos causadas por ChatGPT (¡la mayoría de ellas provienen de una investigación en Samsung!).
La confianza excesiva en AI y ChatGPT puede llevar a descuidar aspectos importantes de la seguridad de los datos, como la revisión y verificación manual.
Medidas de mitigación : para resumir, no permita que la promesa de ChatGPT de un análisis de datos rápido y fácil nuble su juicio. Adopte una mentalidad de seguridad primero, eduque a sus empleados , no solo sobre las políticas de seguridad de datos de su empresa, sino también sobre la IA y las amenazas potenciales que puede significar para las empresas. Recuerde, hay consideraciones adicionales cuando se trata de trabajadores remotos .
Los ciberdelincuentes usan ChatGPT para explotar vulnerabilidades en los sistemas de seguridad
Existe toda una red oscura que prospera y gana millones a partir de datos robados que pertenecen a organizaciones e individuos en todo el mundo. De hecho, los grupos de ransomware se ejecutan como negocios regulares, completos con departamentos de marketing y productos RaaS (ransomware como servicio). Es seguro asumir que una vez que ChatGPT estuvo disponible para que todos lo exploraran en noviembre de 2022, los ciberdelincuentes tuvieron un día de campo.
Y explorar lo hicieron. Los malos se subieron rápidamente al carro de los bots de lenguaje y lo usaron para encontrar vulnerabilidades del sistema de seguridad de datos, escribir correos electrónicos de phishing convincentes , ayudar a crear ransomware e incluso malware personalizado para evadir los sistemas de seguridad.
Todo esto más rápido, menos detectable y más gramaticalmente correcto que nunca (se sabe que los correos electrónicos de phishing generan señales de alerta con sus errores gramaticales).
ChatGPT está facilitando que los ciberdelincuentes ejecuten ataques y roben datos confidenciales de las empresas. A medida que las empresas confían cada vez más en AI y ChatGPT para el procesamiento y análisis de datos, la superficie de ataque para posibles filtraciones de datos se expande. Esto significa que hay más puntos de entrada potenciales para que los ciberdelincuentes exploten.
Los ataques cibernéticos también tienen el potencial de volverse más sofisticados. ¿Se puede usar ChatGPT para evadir la detección de las medidas de seguridad tradicionales? Probablemente. ¿Haría un hacker todo lo posible para usar ChatGPT a su favor? Definitivamente.
Medidas de mitigación : las empresas deben implementar medidas de seguridad DLP adecuadas, como cifrado, controles de acceso y auditorías de seguridad periódicas. Si las amenazas de seguridad se están volviendo más sofisticadas, también deberían hacerlo sus medidas de DLP. Un software de prevención de pérdida de datos dedicado (como Safetica NXT ) podría cambiar las reglas del juego para cualquier PYME u organización más grande.
ChatGPT se puede utilizar como una herramienta para amenazas internas
AI y ChatGPT también pueden ser utilizados por personas internas para llevar a cabo violaciones de datos. Por ejemplo, un empleado podría usar IA para identificar datos confidenciales y luego usar ChatGPT para generar correos electrónicos de phishing bien escritos para otros empleados o socios comerciales.
Las amenazas internas pueden ser difíciles de detectar porque el interno ya tiene acceso a datos confidenciales que pueden usar para robar más datos.
Medidas de mitigación: para reducir el riesgo de amenazas internas, las empresas utilizan el enfoque Zero Trust para limitar el acceso a datos confidenciales solo a quienes los necesitan. Safetica ONE es uno de los mejores productos DLP que existen e incluye mecanismos de protección contra amenazas internas.
Está (posiblemente) violando las normas de privacidad
Además del daño potencial a la reputación y las finanzas de una empresa, las violaciones de datos, incluidas las causadas o asistidas por ChatGPT, pueden tener consecuencias legales y fallas en el cumplimiento normativo . Por ejemplo, las empresas pueden estar sujetas a multas y otras sanciones si se determina que violan las leyes de protección de datos como GDPR , CCPA o HIPAA . ¡No hay excepciones que digan que no es tu culpa si el robot lo hizo!
Italia incluso ha prohibido ChatGPT por cuestiones de privacidad. Aún está por verse si esas preocupaciones están justificadas o no, ya que las investigaciones están actualmente en curso.
Medidas de mitigación : las empresas deben mantenerse al día con las regulaciones que deben cumplir y contar con un sistema integral de gestión de seguridad de la información ( ISO 27001 puede ayudar con eso ). Hable con sus empleados sobre las políticas de privacidad y la protección de datos, y hable con ellos sobre las amenazas de usar ChatGPT.
Consejos de Safetica para proteger su negocio
Estos son algunos consejos para las empresas que buscan protegerse de las amenazas potenciales que plantea ChatGPT:
- Comprenda los riesgos : sea consciente de los riesgos potenciales asociados con el uso de IA y ChatGPT y comparta esta información con su gerencia y empleados. No olvide considerar las circunstancias especiales de los entornos de trabajo híbridos .
- Identifique datos confidenciales : identifique los datos confidenciales que maneja su empresa, como información de clientes, secretos comerciales o registros financieros. Una solución DLP inteligente puede ayudar con el descubrimiento y la clasificación de datos.
- Implemente medidas de seguridad sólidas : implemente las medidas de DLP adecuadas, como el cifrado y los controles de acceso, para proteger los datos confidenciales. Asegúrese de contar con sistemas automatizados de detección y generación de informes.
- Realice auditorías de seguridad periódicas : una práctica recomendada en DLP es realizar auditorías de seguridad periódicas para identificar y abordar cualquier vulnerabilidad en sus sistemas de seguridad de datos. De esta manera, puede corregir cualquier problema antes de que los ciberdelincuentes o los actores internos puedan aprovecharse de ellos.
- Capacitar a los empleados sobre seguridad de datos : eduque a sus empleados sobre las mejores prácticas de seguridad de datos, incluido cómo manejar datos confidenciales y reconocer amenazas de seguridad.
- Tenga en cuenta los requisitos legales y reglamentarios : tenga en cuenta los requisitos legales y reglamentarios para la seguridad de los datos, como GDPR, CCPA o HIPAA, y garantice el cumplimiento.
- Manténgase al día con las noticias de seguridad de datos : Manténgase informado sobre los últimos desarrollos y noticias relacionadas con las capacidades de la IA.
- Busque asesoramiento profesional : como propietario de un negocio o profesional de TI, es posible que desee consultar con un experto en protección de datos para asegurarse de que su negocio esté adecuadamente protegido.
Autor
Petra Tatai Chaloupka
Cybersecurity Consultant
Próximos artículos
Seguridad de datos
Seguridad de datos
Blog
Prevención de pérdida de datos en el gobierno
Los gobiernos albergan una gran cantidad de información confidencial, desde datos clasificados hasta registros de ciudadanos. Pero a medida que avanza la tecnología, también lo hacen las amenazas cibernéticas. En los últimos años, las violaciones de datos han aumentado en todo el mundo, afectando no sólo a corporaciones e individuos sino también a los gobiernos. En 2023, estas infracciones no sólo serán más frecuentes sino también más sofisticadas.
Seguridad de datos
Blog