Privacidad y seguridad
La privacidad y la seguridad de los datos representan un desafío dual y prominente para la inteligencia artificial generativa, ejemplificada por modelos como ChatGPT. En esencia, la *privacidad* se refiere a la protección de información personal sensible que sus titulares legítimos desean mantener fuera del dominio público, mientras que la *seguridad de los datos* es el conjunto de prácticas destinadas a resguardar esa información contra el acceso no autorizado, la corrupción o el robo. El riesgo se gesta desde la fase de desarrollo, donde la capacitación de estos modelos exige volúmenes ingentes de datos personales, comprometiendo intrínsecamente la privacidad. A medida que herramientas como ChatGPT se integran en la cotidianidad, capturan una plétora de información de sus usuarios, lo que incrementa la probabilidad de que datos privados sean expuestos de forma intencionada o involuntaria —un riesgo confirmado por incidentes como la visualización de historiales de chat por terceros debido a errores del sistema. Esta amenaza no se limita a los usuarios individuales; se extiende a grandes corporaciones y agencias gubernamentales que, al incorporar estas IAs en sus operaciones esenciales, exponen información importante o confidencial a posibles brechas de seguridad. Para mitigar estos riesgos, es imperativo un enfoque multidimensional: los usuarios deben proceder con la máxima circunspección al interactuar con la IA, evitando revelar información sensible; las empresas de tecnología deben intensificar los programas de concienciación ética sobre la gestión de información confidencial y secretos comerciales; y, fundamentalmente, se requiere el establecimiento de un marco regulatorio sólido y actualizado que proteja la privacidad y la seguridad de la información en la era de la IA generativa.
ENTIDAD
2 - IA
INTENCIÓN
2 - Involuntario
TIEMPO
3 - Otro
ID del riesgo
mit506
Linea de dominio
2. Privacidad y Seguridad
2.1 > Compromiso de la privacidad por filtración o inferencia de información sensible
Estrategia de mitigacion
1. Establecimiento de un Marco Riguroso de Gobernanza de IA y Evaluación de Impacto sobre la Protección de Datos (EIPD). Este marco debe diferenciar explícitamente entre herramientas de IA generativa aprobadas (versiones empresariales con garantías contractuales de no retención y no uso de datos para entrenamiento) y las prohibidas (versiones públicas), definiendo políticas de uso aceptable y responsabilidad. Es imperativo realizar un Análisis de Riesgos y EIPD *ex ante* para el tratamiento de datos mediante IA, asegurando el cumplimiento normativo (e.g., RGPD) desde el diseño. 2. Implementación de Controles Técnicos de Seguridad de Datos y Gestión de Autorizaciones. Se requiere la aplicación de cifrado de datos robusto (AES-256 en reposo y TLS 1.2+ en tránsito) para proteger la información manejada por los modelos de IA y en las comunicaciones con estos. Asimismo, es fundamental establecer un control de acceso estricto basado en el principio de mínimo privilegio, incluyendo la autenticación a nivel empresarial (e.g., SAML SSO) y la revisión periódica de los permisos de usuario. 3. Desarrollo de Programas Obligatorios de Concienciación y "Higiene de Prompts". Se debe capacitar continuamente a todos los empleados y usuarios en la gestión ética de la información confidencial, con un énfasis explícito en la "higiene de prompts". Esta formación debe instruir sobre la prohibición absoluta de ingresar datos sensibles (identidad digital, financieros, propiedad intelectual o secretos comerciales) en los prompts de cualquier herramienta de IA generativa no autorizada, reconociendo que el riesgo de filtración por error humano es un vector crítico.