En los últimos meses, ChatGPT ha conquistado el mundo profesional. Su capacidad para responder casi cualquier pregunta y generar contenido ha llevado a las personas a usar el chatbot impulsado por inteligencia artificial para completar tareas administrativas, escribir contenido extenso como cartas y ensayos, crear currículos y mucho más.
Según una investigación de Korn Ferry, el 46 % de los profesionales utilizan ChatGPT para finalizar tareas en el lugar de trabajo. Otra encuesta encontró que el 45% de los empleados ven a ChatGPT como un medio para lograr mejores resultados en sus funciones.
Pero parece haber un lado más oscuro del software de inteligencia artificial (IA) que los empleados están pasando por alto. Muchos empleadores temen que su personal comparta información corporativa confidencial con chatbots de IA como ChatGPT, que podría terminar en manos de ciberdelincuentes. Y también hay una pregunta sobre los derechos de autor cuando los empleados usan ChatGPT para generar contenido automáticamente.
Las herramientas de IA pueden incluso ser sesgadas y discriminatorias, lo que puede causar grandes problemas a las empresas que confían en ellas para evaluar a los empleados potenciales o responder a las preguntas de los clientes. Estos problemas han llevado a muchos expertos a cuestionar las implicaciones legales y de seguridad del uso de ChatGPT en el lugar de trabajo.
Mayores riesgos de seguridad de datos
Según Neil Thacker, director de seguridad de la información (CISO) para EMEA y América Latina en Netskope, el mayor uso de herramientas de IA generativa en el lugar de trabajo hace que las empresas sean muy vulnerables a filtraciones de datos graves.
Señala que OpenAI, el creador de ChatGPT, utiliza datos y consultas almacenados en sus servidores para entrenar sus modelos. Y si los ciberdelincuentes violan los sistemas de OpenAI, podrían obtener acceso a “datos confidenciales y sensibles” que serían “perjudiciales” para las empresas.
Desde entonces, OpenAI ha implementado opciones de “exclusión voluntaria” y “deshabilitar historial” en un intento por mejorar la privacidad de los datos, pero Thacker dice que los usuarios aún deberán seleccionarlas manualmente.
Si bien leyes como la Ley de Protección de Datos e Información Digital del Reino Unido y la Ley de IA propuesta por la Unión Europea son un paso en la dirección correcta con respecto a la regulación de software como ChatGPT, Thacker dice que “actualmente hay pocas garantías sobre la forma en que las empresas cuyos productos utilizan IA generativa”. tratará y almacenará los datos”.
Prohibir la IA no es la solución
Los empleadores preocupados por los riesgos de seguridad y cumplimiento de los servicios de IA pueden decidir prohibir su uso en el lugar de trabajo. Pero Thacker advierte que esto podría resultar contraproducente.
“Prohibir los servicios de IA en el lugar de trabajo no aliviará el problema, ya que probablemente causaría una ‘IA en la sombra’: el uso no aprobado de servicios de IA de terceros fuera del control de la empresa”, dice.
Ingrid Verschuren, Dow Jones
En última instancia, es responsabilidad de los líderes de seguridad garantizar que los empleados usen las herramientas de IA de manera segura y responsable. Para hacer esto, necesitan “saber dónde se almacena la información confidencial una vez que se alimenta a los sistemas de terceros, quién puede acceder a esos datos, cómo los usarán y cuánto tiempo se retendrán”.
Thacker agrega: “Las empresas deben darse cuenta de que los empleados adoptarán los servicios de integración de IA generativa de plataformas empresariales confiables como Teams, Slack, Zoom, etc. Del mismo modo, los empleados deben ser conscientes de que la configuración predeterminada al acceder a estos servicios podría dar lugar a que se compartan datos confidenciales con un tercero”.
Uso seguro de herramientas de IA en el lugar de trabajo
Las personas que usan ChatGPT y otras herramientas de inteligencia artificial en el trabajo podrían infringir los derechos de autor sin saberlo, lo que significa que su empleador puede estar sujeto a costosas demandas y multas.
Barry Stanton, socio y director del equipo de empleo e inmigración del bufete de abogados Boyes Turner, explica: “Debido a que ChatGPT genera documentos producidos a partir de información ya almacenada y mantenida en Internet, parte del material que utiliza puede estar inevitablemente sujeto a derechos de autor.
“El desafío, y el riesgo, para las empresas es que es posible que no sepan cuándo los empleados han infringido los derechos de autor de otros, porque no pueden verificar la fuente de información”.
Para las empresas que buscan experimentar con IA de manera segura y ética, es fundamental que los equipos de seguridad y recursos humanos creen e implementen “políticas muy claras que especifiquen cuándo, cómo y en qué circunstancias se puede usar”.
Stanton dice que las empresas podrían decidir utilizar la IA “únicamente para fines internos” o “en circunstancias externas limitadas”. Agrega: “Cuando la empresa ha definido estos permisos, el equipo de seguridad de TI debe asegurarse de que, en la medida de lo técnicamente posible, bloquee cualquier otro uso de ChatGPT”.
El auge de los chatbots imitadores
Con la exageración que rodea a ChatGPT y la IA generativa que continúa creciendo, los ciberdelincuentes se están aprovechando de esto creando chatbots imitadores diseñados para robar datos de usuarios desprevenidos.
Alex Hinchliffe, analista de inteligencia de amenazas en la Unidad 42 de Palo Alto Networks, dice: “Algunas de estas aplicaciones imitadoras de bots de chat usan sus propios modelos de lenguaje extenso, mientras que muchas afirman usar la API pública Chat GPT. Sin embargo, estos chatbots imitadores tienden a ser pálidas imitaciones de ChatGPT o simplemente frentes maliciosos para recopilar datos confidenciales.
“El riesgo de incidentes graves relacionados con estas aplicaciones de imitación aumenta cuando el personal comienza a experimentar con estos programas en los datos de la empresa. También es probable que algunos de estos chatbots imitadores sean manipulados para dar respuestas incorrectas o promover información engañosa”.
Para estar un paso por delante de las aplicaciones de IA falsificadas, Hinchliffe dice que los usuarios deben evitar abrir correos electrónicos o enlaces relacionados con ChatGPT que parezcan sospechosos y siempre acceder a ChatGPT a través del sitio web oficial de OpenAI.
Los CISO también pueden mitigar el riesgo impuesto por los servicios de IA falsos al permitir que los empleados accedan a las aplicaciones solo a través de sitios web legítimos, recomienda Hinchliffe. También deben educar a los empleados sobre las implicaciones de compartir información confidencial con chatbots de IA.
Hinchliffe dice que los CISO particularmente preocupados por las implicaciones de privacidad de datos de ChatGPT deberían considerar implementar un software como un corredor de servicios de acceso a la nube (CASB).
“Las capacidades clave son tener una visibilidad integral del uso de la aplicación para el monitoreo completo de toda la actividad de uso del software como servicio (SaaS), incluido el uso por parte de los empleados de aplicaciones de IA generativas nuevas y emergentes que pueden poner en riesgo los datos”, agrega.
“Los controles granulares de aplicaciones SaaS significan permitir el acceso de los empleados a aplicaciones críticas para el negocio, al tiempo que limitan o bloquean el acceso a aplicaciones de alto riesgo como la IA generativa. Y, por último, considere la seguridad de datos avanzada que utiliza el aprendizaje automático para clasificar los datos y detectar y evitar que los secretos de la empresa se filtren inadvertidamente a las aplicaciones de IA generativa”.
Implicaciones de la confiabilidad de los datos
Además de las implicaciones de seguridad cibernética y derechos de autor, otra falla importante de ChatGPT es la confiabilidad de los datos que alimentan sus algoritmos. Ingrid Verschuren, jefa de estrategia de datos de Dow Jones, advierte que incluso “fallas menores harán que los resultados no sean confiables”.
Ella le dice a Computer Weekly: “A medida que los profesionales buscan aprovechar la inteligencia artificial y los chatbots en el lugar de trabajo, estamos escuchando preocupaciones crecientes sobre la auditabilidad y el cumplimiento. Por lo tanto, la aplicación e implementación de estas tecnologías emergentes requiere una consideración cuidadosa, particularmente cuando se trata de la fuente y la calidad de los datos utilizados para entrenar y alimentar los modelos”.
Las aplicaciones de IA generativa extraen datos de Internet y utilizan esta información para responder a las preguntas de los usuarios. Pero dado que no todo el contenido basado en Internet es preciso, existe el riesgo de que aplicaciones como ChatGPT difundan información errónea.
Verschuren cree que los creadores de software de inteligencia artificial generativa deben asegurarse de que los datos solo se extraigan de “fuentes confiables, con licencia y actualizadas periódicamente” para abordar la información errónea. “Es por eso que la experiencia humana es tan crucial: la IA por sí sola no puede determinar qué fuentes usar y cómo acceder a ellas”, agrega.
“Nuestra filosofía en Dow Jones es que la IA es más valiosa cuando se combina con la inteligencia humana. Llamamos a esta colaboración entre máquinas y humanos ‘inteligencia auténtica’, que combina el potencial de automatización de la tecnología con el contexto decisivo más amplio que solo un experto en la materia puede aportar”.
Usar ChatGPT de manera responsable
Las empresas que permiten que su personal use ChatGPT y la IA generativa en el lugar de trabajo se exponen a “consideraciones legales, de cumplimiento y de seguridad significativas”, según Craig Jones, vicepresidente de operaciones de seguridad de Ontinue.
Sin embargo, dice que hay una variedad de pasos que las empresas pueden tomar para garantizar que sus empleados usen esta tecnología de manera responsable y segura. La primera es teniendo en cuenta la normativa de protección de datos.
“Las organizaciones deben cumplir con regulaciones como GDPR o CCPA. Deben implementar prácticas sólidas de manejo de datos, incluida la obtención del consentimiento del usuario, la minimización de la recopilación de datos y el cifrado de información confidencial”, dice. “Por ejemplo, una organización de atención médica que utiliza ChatGPT debe manejar los datos de los pacientes de conformidad con la Ley de protección de datos para proteger la privacidad de los pacientes”.
En segundo lugar, Jones insta a las empresas a considerar los derechos de propiedad intelectual cuando se trata de usar ChatGPT. Esto se debe al hecho de que ChatGPT es esencialmente una herramienta de generación de contenido. Recomienda que las empresas “establezcan pautas claras con respecto a la propiedad y los derechos de uso” para los datos patentados y protegidos por derechos de autor.
“Al definir la propiedad, las organizaciones pueden evitar disputas y el uso no autorizado de la propiedad intelectual. Por ejemplo, una empresa de medios que usa ChatGPT necesita establecer la propiedad de los artículos o trabajos creativos producidos por la IA; esto está muy abierto a la interpretación tal cual”, dice.
“En el contexto de los procedimientos legales, es posible que se requiera que las organizaciones produzcan contenido generado por ChatGPT para fines de descubrimiento electrónico o retención legal. La implementación de políticas y procedimientos para la conservación de datos y retenciones legales es crucial para cumplir con las obligaciones legales. Las organizaciones deben asegurarse de que el contenido generado sea detectable y retenido adecuadamente. Por ejemplo, una empresa involucrada en una demanda debe contar con procesos para retener y generar conversaciones de ChatGPT como parte del proceso de descubrimiento electrónico”.
Otra cosa a considerar es el hecho de que las herramientas de IA a menudo muestran signos de sesgo y discriminación, lo que puede causar graves daños legales y de reputación a las empresas que utilizan este software para el servicio al cliente y la contratación. Pero Jones dice que hay varias técnicas que las empresas pueden adoptar para abordar el sesgo de la IA, como realizar auditorías regularmente y monitorear las respuestas proporcionadas por los chatbots.
Agrega: “Además, las organizaciones deben desarrollar un enfoque para evaluar el resultado de ChatGPT, asegurándose de que los humanos experimentados estén al tanto para determinar la validez de los resultados. Esto se vuelve cada vez más importante si el resultado de un proceso basado en ChatGPT se alimenta a una etapa automatizada posterior. En las primeras fases de adopción, deberíamos considerar a ChatGPT como un apoyo para la toma de decisiones y no como un tomador de decisiones”.
A pesar de las implicaciones legales y de seguridad de usar ChatGPT en el trabajo, las tecnologías de IA aún están en pañales y llegaron para quedarse. Jake Moore, asesor global de seguridad cibernética de ESET, concluye: “Debe recordarse que todavía estamos en las primeras etapas de los chatbots. Pero a medida que pasa el tiempo, reemplazarán a los motores de búsqueda tradicionales y se convertirán en parte de la vida. Los datos generados a partir de nuestras búsquedas en Google pueden ser esporádicos y genéricos, pero los chatbots ya se están volviendo más personales con las conversaciones dirigidas por humanos para buscar más de nosotros”.