Avenues for exploiting user trust and accessing more private information
El riesgo anticipado se centra en la "sobrerrevelación" de datos sensibles. Al interactuar con sistemas de conversación, los usuarios tienden a exponer información privada —como opiniones, emociones o estados internos— que de otro modo sería inaccesible. La recopilación de este perfil detallado habilita el desarrollo de aplicaciones que podrían infringir los derechos de privacidad o generar daños directos; un ejemplo claro es la optimización de sistemas de recomendación que promueven el uso adictivo de ciertas plataformas. Este fenómeno está respaldado empíricamente: un estudio (referencia [87]) concluyó que los individuos que interactuaron con un *chatbot* percibido como "humanoide" revelaron una cantidad significativamente mayor de información privada que aquellos que lo hicieron con uno catalogado como "mecánico"
ENTIDAD
3 - Otro
INTENCIÓN
2 - Involuntario
TIEMPO
2 - Post-despliegue
ID del riesgo
mit224
Linea de dominio
5. Interacción Humano-Computadora
5.1 > Dependencia excesiva y uso inseguro
Estrategia de mitigacion
1. Implementar la estrategia de Privacidad desde el Diseño (Privacy by Design) como principio fundamental. Se debe aplicar rigurosamente la minimización de datos, asegurando que el sistema solo recoja, procese y retenga la información personal estrictamente necesaria para la finalidad prevista, mitigando así el riesgo de sobrerrevelación y el valor del perfil de datos resultante. 2. Garantizar la visibilidad y el respeto por el control del usuario mediante políticas de transparencia inequívocas. Esto implica informar de manera clara al usuario sobre la naturaleza no humana del agente, obtener consentimiento específico y granular para la recopilación de datos, y proporcionar herramientas intuitivas para que el usuario pueda acceder, modificar o eliminar periódicamente sus conversaciones e información personal. 3. Aplicar mecanismos avanzados de protección de datos, incluyendo la anonimización y el cifrado de extremo a extremo. Se deben utilizar técnicas de anonimización y pseudonimización sobre la información sensible antes de su uso para entrenamiento o análisis, complementado con un cifrado robusto (en tránsito y en reposo) y la implementación de controles de acceso basados en el principio de mínimo privilegio.
EVIDENCIA ADICIONAL
En el contexto de los *chatbots* de servicio al cliente, se ha observado que los usuarios tienden a ser más tolerantes con la "intrusividad" de los agentes conversacionales (AC) que demuestran una mayor utilidad y eficacia [183]. Esto apunta a una correlación crítica: una percepción elevada de la competencia del AC podría fomentar una mayor anuencia a sacrificar privacidad. Es fundamental destacar que estos riesgos emergen incluso cuando los usuarios son plenamente conscientes de la naturaleza no humana del agente. La clave reside en una intersección paradójica: la cualidad de parecer humano, al mismo tiempo que se reconoce como una entidad artificial, incentiva a las personas a divulgar información íntima con mayor facilidad, debido a una reducción en el temor al juicio o la evaluación social [139].