Seguridad extraña: qué saber sobre la IA generativa y la ciberseguridad

Aunque las empresas de tecnología llevan usando inteligencia artificial desde hace mucho tiempo, el lanzamiento de herramientas como ChatGPT de OpenAI y DALL-E significa que ahora cualquier persona con un ordenador o un teléfono inteligente puede acceder a la IA generativa, incluidos los actores de amenazas.  

Los investigadores de IA y los expertos en ciberseguridad han comenzado a hacer agujeros en las plataformas de IA generativas en busca de vulnerabilidades de seguridad. El Reglamento general de protección de datos (RGPD) de la UE también ha establecido disposiciones en torno a la IA generativa, todo en nombre de la protección de los datos de las personas y de adelantarse a las amenazas cibernéticas. 

Al igual que con cualquier tecnología que avanza rápidamente, la IA generativa ha generado muchas preguntas sobre la seguridad de nuestros datos. A medida que estas herramientas continúan cambiando la forma en la que operamos como empresas y personas, también han surgido preocupaciones en torno a la ética y la seguridad laboral. 

Esto es lo que debe tener en cuenta al navegar por este panorama tecnológico nuevo y desconocido. 

¿Qué son la IA generativa y los modelos grandes de lenguaje (LLM)? 

La IA generativa es una forma de tecnología de aprendizaje automático que permite a los usuarios ingresar un mensaje en lenguaje sencillo y generar texto, código, imágenes, audio y vídeo en segundos. OpenAI, un laboratorio de investigación de inteligencia artificial, desarrolló dos de las herramientas de IA generativas más destacadas: DALL-E, que crea imágenes basadas en indicaciones del usuario, y ChatGPT, el chatbot más avanzado del mundo. ChatGPT es capaz de responder a consultas de búsqueda y generar texto como guiones de películas, poesía y código. También se describe como modelo de procesamiento de lenguaje natural o modelo grande de lenguaje (LLM), lo que significa que se entrenó en un conjunto de datos inmenso que incluye sitios web, libros y artículos. Esto permite a ChatGPT identificar patrones para hacer predicciones y adoptar un enfoque inquietantemente humano al resolver problemas y responder preguntas. 

ChatGPT está lejos de ser la única plataforma que ofrece IA generativa accesible. Empresas como Bard y Bing AI de Microsoft insinúan que el mercado sigue evolucionando y sigue siendo competitivo.

¿Cuáles son las preocupaciones éticas en torno a la IA generativa? 

Imagine: un tráiler de El señor de los anillos al estilo de Wes Anderson. Drake rapea la letra de Ice Spice. Los votos matrimoniales sorprendentemente precisos e inteligentes de su cónyuge. 

Hasta hace poco, hacerlos llevaba mucho tiempo, recursos y requería de cierta habilidad. Ahora, gracias a las herramientas de IA generativas, las ideas que alguna vez se dejaron morir en su aplicación de Notas pueden cobrar vida de repente y con poco esfuerzo: todo lo que necesita es solicitarlo por escrito.

La IA generativa se basa en «datos de capacitación», que pueden incluir cualquier contenido disponible públicamente y código abierto: las ilustraciones cargadas, las búsquedas de Google y los foros públicos son un juego limpio. Cuando la IA generativa produce «nuevo» contenido, aprovecha los datos de capacitación; en este caso, contenido original hecho por artistas, escritores y desarrolladores. 

Algunas empresas han sido recientemente criticadas por usar contenido producido por IA generativa con fines de lucro o incluso reemplazar a los creadores de contenido con herramientas de IA generativas. Aunque este cambio en las industrias no está regulado, algunos creadores y desarrolladores se están quedando sin nada.

Evitar que los modelos grandes lingüísticos usen su propiedad intelectual no es sencillo. La corporación musical Universal Music Group (UMG), por ejemplo, solicitó que los servicios de transmisión ya no permitieran que el trabajo de sus artistas, entre ellos Drake, Ariana Grande y Taylor Swift, se usara para los datos de capacitación de IA. Plataformas como Apple Music y Spotify aún tienen que responder, mientras que la Oficina de Derechos de Autor de los Estados Unidos dice que buscará opiniones del público como parte de su iniciativa para estudiar las leyes y políticas actuales de derechos de autor en torno a la IA.  

Algunos artistas usan IA generativa para mejorar su propio trabajo, pero muchos han señalado que esto es equivalente a robar a otros creadores. Hace poco, un fotógrafo documental provocó un debate en la industria cuando usó IA para crear un proyecto de fotoperiodismo sobre refugiados cubanos. A medida que los avances hacen que sea más difícil discernir fotografías reales de imágenes generadas por IA, los críticos cuestionan cómo esto afectará a la validez y la ética de los reportajes fotográficos.

¿Cómo afecta la IA generativa a la seguridad en línea? 

Los usuarios han encontrado soluciones a las restricciones de seguridad para las herramientas de IA generativas, lo que permite a plataformas como ChatGPT generar contenido dañino o códigos maliciosos. 

Recientemente, WIRED informó sobre investigaciones relacionadas con los «ataques de inyección de prompts indirectos», que son posibles con los LLM. Los investigadores de ciberseguridad e IA han probado las vulnerabilidades de las plataformas de IA generativas como ChatGPT y los complementos asociados para demostrar la capacidad de vincular instrucciones ocultas y maliciosas dentro de las indicaciones del usuario para que la plataforma realice acciones no intencionadas por el usuario. En un ejemplo, un investigador incrustó un comando oculto en una transcripción de vídeo de YouTube. Cuando se le pidió a ChatGPT que resumiera el vídeo, el bot también contó una broma que no formaba parte del vídeo. Aunque los ejemplos actuales son benignos, los expertos creen que los actores de amenazas podrían explotar estas vulnerabilidades para llevar a cabo ataques maliciosos de inyección de prompts. 

Los actores de amenazas pueden aprovechar estas herramientas para realizar ciberataques más sofisticados. Los expertos en ciberseguridad advierten sobre los ataques al correo electrónico empresarial (BEC, por sus siglas en inglés) y los ataques de «ransomware» más avanzados por la IA. Como herramientas como ChatGPT son modelos de procesamiento de lenguaje natural, mejoran la capacidad de un pirata informático de sonar más humano al implementar ataques BEC y estafas de «phishing». Como señala Protocol, los ataques de «ransomware» son difíciles de escalar, pero con los avances de la IA, los actores de amenazas pueden automatizar procesos y lograr ataques de «ransomware» más amplios más rápidamente. 

Sin embargo, al igual que los actores de amenazas exploran formas de explotar el aprendizaje automático, los «piratas informáticos éticos» invierten tiempo en aumentar la tecnología de detección de amenazas. Por ejemplo, mientras que los piratas informáticos pueden pedirle a ChatGPT que escriba un correo electrónico de «phishing», los usuarios también pueden pedirle al bot que revise los correos electrónicos en busca del idioma de «phishing».  

¿Cuáles son las preocupaciones éticas en torno a la IA generativa? 

Aunque OpenAI recopila datos de usuarios típicos de la mayoría de las plataformas en línea, los expertos en seguridad destacan sus vagas políticas de privacidad. Además, cuestionan su capacidad para proteger nuestros datos personales frente a las amenazas, especialmente después de que ChatGPT experimentara un «error en el historial» en marzo, que expuso temporalmente información de pago de los usuarios. 

La página de preguntas frecuentes de OpenAI también indica que sus empleados revisan las conversaciones en ChatGPT y usan los datos para entrenar al modelo. Los reguladores europeos afirman que esto podría violar las reglas del RGPD, que requieren el consentimiento explícito de los usuarios y una base legal para almacenar datos de usuarios. 

En 2021, la UE propuso su Ley de Inteligencia Artificial para aplicarse junto con la legislación del RGPD y vigilar de cerca la IA generativa en lo que respecta a la privacidad. Italia incluso prohibió ChatGPT, pero levantaron la prohibición poco después de que OpenAI ajustara su política de privacidad. Sin embargo, los reguladores de muchos países continúan investigando el uso de datos de la plataforma, así como su potencial para difundir información falsa. Como los LLM tienen la capacidad de generar información disparatada, lo que se conoce como «alucinante», algunas de las respuestas pueden ser erróneas o incorrectas en cuanto a los hechos. 

En el sector de la atención médica, ChatGPT se integra en las plataformas de registros médicos electrónicos (EHR). Los profesionales médicos también estudian cómo usar la IA generativa para simplificar tareas, como traducir materiales para pacientes y resumir los historiales médicos de los pacientes. Todo esto plantea preocupaciones en torno al cumplimiento de la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA, por sus siglas en inglés), así como a la confidencialidad, la precisión y la responsabilidad en la atención médica.

¿Cómo puede usar la IA generativa de forma más consciente? 

Con conocimiento de las capacidades de la IA generativa y las deficiencias de privacidad, aquí encontrará formas de mitigar el riesgo mientras usa la plataforma. 

• Las personas pueden solicitar que OpenAI elimine sus datos y optar por que la herramienta no use sus datos para fines de capacitación. 
• Para los desarrolladores, The Stack, un conjunto de datos de código fuente con licencia permisiva, permite a los usuarios de GitHub completar un formulario de Google «para que su código se elimine del conjunto de datos bajo petición».  
• Use un ingreso seguro al crear una cuenta con OpenAI y cualquier otra plataforma de IA generativa. 
• Tenga en cuenta cómo usa el contenido generado a partir de modelos grandes de lenguaje y tenga en cuenta las posibles infracciones de derechos de autor, los factores éticos y la precisión del contenido generado por la IA.
• Nunca comparta información privada o personal con ChatGPT u otras plataformas de IA generativas, incluidos códigos confidenciales. Si no la publicaría abiertamente en línea, no la comparta con las herramientas de IA. 
• Tenga en cuenta cómo comparte sus datos en línea en general: piénselo dos veces antes de compartir determinada información en foros públicos como redes sociales o plataformas no seguras, para así limitar el uso malicioso o no intencionado de sus datos.