Bloquear el acceso a ChatGPT es una solución a corto plazo para mitigar el riesgo

Por cada 10 000 usuarios empresariales, una organización empresarial experimenta aproximadamente 183 incidentes de datos confidenciales que se publican en ChatGPT por mes, según Netskope.

El código fuente representa la mayor parte de los datos confidenciales expuestos.

Según los datos de millones de usuarios empresariales en todo el mundo, los investigadores descubrieron que el uso de aplicaciones de IA generativa está creciendo rápidamente, un 22,5 % más en los últimos dos meses, lo que aumenta las posibilidades de que los usuarios expongan datos confidenciales.

ChatGPT domina el mercado de IA generativa

Los investigadores descubrieron que las organizaciones con 10 000 usuarios o más usan un promedio de 5 aplicaciones de IA al día. ChatGPT ve más de 8 veces más usuarios activos diarios que cualquier otra aplicación de IA generativa. Con la tasa de crecimiento actual, se espera que la cantidad de usuarios que acceden a las aplicaciones de IA se duplique en los próximos siete meses.

En los últimos dos meses, la aplicación de inteligencia artificial de más rápido crecimiento fue Google Bard, que actualmente agrega usuarios a un 7,1 % por semana, en comparación con el 1,6 % de ChatGPT. Al ritmo actual, Google Bard no está preparado para alcanzar a ChatGPT durante más de un año, aunque se espera que el espacio de aplicaciones de IA generativa evolucione significativamente antes de esa fecha, con muchas más aplicaciones en desarrollo.

ChatGPT más propenso a la exposición del código fuente

Netskope descubrió que el código fuente se publica en ChatGPT más que cualquier otro tipo de datos confidenciales, a una tasa de 158 incidentes por cada 10 000 usuarios por mes. Otros datos confidenciales que se comparten en ChatGPT incluyen datos regulados, incluidos datos financieros y de atención médica, información de identificación personal, junto con propiedad intelectual que excluye el código fuente y, lo que es más preocupante, contraseñas y claves, generalmente integradas en el código fuente.

“Es inevitable que algunos usuarios carguen código fuente patentado o texto que contenga datos confidenciales en herramientas de inteligencia artificial que prometen ayudar con la programación o la escritura”, dijo Ray Canzanese , director de investigación de amenazas de Netskope Threat Labs. “Por lo tanto, es imperativo que las organizaciones coloquen controles en torno a la IA para evitar fugas de datos confidenciales. El objetivo final es contar con controles que permitan a los usuarios aprovechar los beneficios de la IA, agilizar las operaciones y mejorar la eficiencia, mientras se mitigan los riesgos. Los controles más efectivos que vemos son una combinación de DLP y entrenamiento de usuario interactivo”.

Adopción segura de aplicaciones de IA

Netskope Threat Labs actualmente está rastreando proxies ChatGPT y más de 1,000 URL y dominios maliciosos de atacantes oportunistas que buscan capitalizar el bombo de la IA, incluidas múltiples campañas de phishing , campañas de distribución de malware y sitios web de spam y fraude.

Bloquear el acceso a contenido relacionado con IA y aplicaciones de IA es una solución a corto plazo para mitigar el riesgo, pero se produce a expensas de los beneficios potenciales que ofrecen las aplicaciones de IA para complementar la innovación corporativa y la productividad de los empleados. Los datos muestran que en los servicios financieros y el cuidado de la salud, ambas industrias altamente reguladas, casi 1 de cada 5 organizaciones ha implementado una prohibición general sobre el uso de ChatGPT por parte de los empleados, mientras que en el sector de la tecnología, solo 1 de cada 20 organizaciones ha hecho lo mismo.

“Como líderes en seguridad, no podemos simplemente decidir prohibir aplicaciones sin afectar la experiencia del usuario y la productividad”, dijo James Robinson , CISO adjunto de Netskope. “Las organizaciones deben centrarse en la evolución de la conciencia de la fuerza laboral y las políticas de datos para satisfacer las necesidades de los empleados que utilizan productos de IA de manera productiva. Existe un buen camino hacia la habilitación segura de la IA generativa con las herramientas adecuadas y la mentalidad adecuada”.

Para que las organizaciones permitan la adopción segura de aplicaciones de IA, deben centrar su enfoque en la identificación de aplicaciones permitidas e implementar controles que permitan a los usuarios utilizarlas al máximo de su potencial, al tiempo que protegen a la organización de los riesgos. Dicho enfoque debe incluir el filtrado de dominios, el filtrado de URL y la inspección de contenido para protegerse contra los ataques. Otros pasos para salvaguardar los datos y usar las herramientas de IA de manera segura incluyen:

• Bloquee el acceso a aplicaciones que no tengan ningún propósito comercial legítimo o que representen un riesgo desproporcionado para la organización.
• Emplear entrenamiento de usuarios para recordarles la política de la empresa en torno al uso de aplicaciones de IA.
• Utilice tecnologías modernas de prevención de pérdida de datos (DLP) para detectar publicaciones que contengan información potencialmente confidencial.