El verano pasado, el director interino de una importante agencia estadounidense de ciberseguridad subió documentos confidenciales de contratación gubernamental a la versión pública de ChatGPT. Estos archivos estaban marcados como "Solo para uso oficial", lo que significa que eran confidenciales (pero no secretos ni de alto secreto). Al ser incluidos en la versión pública de ChatGPT, esta podría usarlos para responder preguntas de otros usuarios, lo que pone los datos en riesgo de divulgación y descubrimiento.
El incidente es destacable porque este individuo era un líder de ciberseguridad responsable de defender la infraestructura nacional de EE. UU. Afortunadamente, los controles de seguridad automatizados detectaron las cargas, activando alertas que dieron lugar a una revisión interna antes de que se produjeran daños significativos.
En ese sentido, el sistema funcionó. Pero la pregunta más importante podría no ser tan obvia. Desde la perspectiva de CyberHoot, parece que la adopción y el atractivo del uso de herramientas de IA pueden beneficiar a personas con formación, buenas intenciones y altos cargos. Es tan novedosa y potente que los empleados, sus empleados, no pueden resistirse a usarla para perfeccionar sus comunicaciones, analizar documentos y poner en riesgo la información confidencial de su empresa. Siga leyendo para descubrir qué deberíamos hacer todos para implementar nuestras propias medidas de seguridad.
Este error no fue motivado por malicia ni mala voluntad. Para este profesional de la ciberseguridad, estaban tratando de trabajar más rápido, de forma más inteligente y eficiente. Esa misma motivación existe en todas las organizaciones hoy en día. Los empleados usan herramientas de IA para redactar correos electrónicos, resumir documentos y analizar datos. El problema no es la productividad. El problema es la concienciación. Las personas no entienden la diferencia entre herramientas de IA públicas y privadas. Asumen que una herramienta es segura porque es popular, ampliamente utilizada o no está bloqueada explícitamente por TI (en este caso, el individuo había forzado una excepción para usar ChatGPT, que estaba bloqueado para todos los demás en la agencia). Esa suposición conduce a errores cotidianos, como pegar datos de clientes, finanzas de la empresa o una queja de recursos humanos, en una solicitud pública de IA de LLM. Hacer esto pone los datos en riesgo de ser descubiertos.
Cuando se introduce información en un servicio público de IA, esta se comparte con la empresa que opera dicha plataforma. La mayoría de las herramientas de IA gratuitas utilizan las aportaciones de los usuarios para mejorar sus modelos, lo que significa que los datos pueden almacenarse o reutilizarse de formas que el usuario no pretendía. Subir una lista de clientes, un contrato o informes internos no constituye una infracción ni un ataque informático. Es consecuencia directa de los términos de servicio que los usuarios aceptan al empezar a usar la herramienta. Una vez compartidos los datos, se pierde prácticamente el control sobre ellos.
Por eso, la capacitación en concientización es más importante que las políticas escritas. Las prohibiciones de IA, ocultas en la página 53 del manual del empleado de 100 páginas, no se leerán ni comprenderán, y ciertamente no impedirán su uso en el mundo real. En esta poderosa tecnología emergente, las personas necesitan lecciones sencillas sobre por qué existen las reglas y cómo aplicarlas en su trabajo diario. Una capacitación eficaz explica qué son las herramientas públicas de IA, en qué se diferencian de las privadas. La capacitación debe explicar qué datos nunca deben cargarse y qué herramientas aprobadas pueden usarse. El objetivo no es disuadir a los equipos de usar IA. El objetivo es ayudarlos a usarla con seguridad y confianza.
Además de capacitar a sus empleados sobre cómo proteger datos confidenciales, los equipos de TI también deben capacitar a sus usuarios para que trabajen como deseen (dentro de LLM privados o seguros). Proporcione herramientas privadas de IA que haya evaluado y protegido adecuadamente para su uso por parte de su equipo. Exija a los empleados que utilicen las herramientas aprobadas por la empresa y capacítelos sobre su importancia. Recompense a quienes cumplen las normas en lugar de usarlas como ejemplo para quienes no las cumplen. Haga que sus herramientas aprobadas sean la forma más sencilla de trabajar y el cumplimiento normativo se integrará en su conjunto tecnológico. Luego, asegúrese de supervisar los descuidos y errores que a veces pueden surgir para abordarlos, como hizo esta agencia gubernamental, y así evitar filtraciones de datos más graves.
La lección es clara. Si un líder sénior en ciberseguridad comete este error, cualquier organización también. Los empleados son como el agua de un río. Seguirán el camino más fácil para completar su trabajo. Es necesario capacitar a los empleados sobre los riesgos que implica compartir datos confidenciales con profesionales de la salud públicos. Con una guía clara, conversaciones breves e implementando soluciones de IA aprobadas y de bajo impacto, puede reducir el riesgo sin bloquear la innovación, ralentizar el trabajo ni frustrar a los usuarios finales. Empiece poco a poco, capacite a su equipo y desarrolle a partir de ahí. Cuando las personas comprendan las reglas y dispongan de herramientas seguras, protegerán sus datos en todo momento.
Descubra y comparta las últimas tendencias, consejos y mejores prácticas en ciberseguridad, junto con nuevas amenazas a las que debe prestar atención.
Tu bandeja de entrada recibe docenas de correos electrónicos a diario que parecen completamente rutinarios. Una notificación de DocuSign encaja a la perfección.
Read more
Y sí, la IA Gemini de Google no tenía ni idea de que trabajaba para los delincuentes. El malware siempre ha seguido un guion...
Read more
Los grupos de ransomware no están entrando en las organizaciones como lo hacían hace cinco años. Los métodos de entrada han...
Read moreObtenga una visión más clara de los riesgos humanos, con un enfoque positivo que supera las pruebas de phishing tradicionales.
