Si los ciberdelincuentes se apoderaron rápidamente de los agentes de conversación de IA como ChatGPT para mejorar sus ataques, también podrían encontrar una ayuda preciosa con los empleados. De hecho, tendrían la tendencia molesta a transmitir datos confidenciales de su sociedad a estos principales modelos de idiomas (LLM). Y los casos están lejos de ser aislados como indica en un informe el editor de seguridad de Cyberhaven. Ha detectado y bloqueado solicitudes que incluyen información confidencial o regulada del código fuente del 4.2% de 1.6 millones de empleados de clientes (poco más de 67,000 empleados).

En términos de estadísticas, el editor observó en una muestra de 100,000 personas (del 19 al 25 de febrero al 25 de 2023) 43 filtraciones de archivos en proyectos confidenciales (documento de planificación para adquirir tierras para construir un parque temático), 130 fugas de datos del cliente (contenido de un documento enviado a un bufete de abogados por su cliente). También hay 119 fugas de código fuente (código utilizado en una aplicación de redes sociales que debe modificarse para cambiar la funcionalidad) o 150 fugas de datos confidenciales (un memorando que discute cómo administrar la acción regulatoria ascendente sobre el gobierno de la parte).

Herramientas y conciencia para configurar

Entre los ejemplos sobresalientes, Cyberhaven cita un marco que copió un documento estratégico de 2023 de la compañía en ChatGPT y le pidió que creara una presentación de PowerPoint. En otro caso, un médico tomó el nombre de un paciente y su archivo médico en Chatgpt para escribir una carta para el mutuo del paciente. En el futuro, un tercero podrá solicitar el chatbot haciendo como pregunta "¿Qué problema de salud (nombre del paciente)?" Y obtener una respuesta precisa. Lo mismo ocurre en el primer caso con una solicitud, "¿Cuáles son las prioridades estratégicas 2023 de la Compañía (nombre)?».

Para remediar este riesgo, algunas compañías han decidido alertar o restringir el acceso al chatbot basado en IA como JPMorgan o Amazon y Walmart. Los editores, incluido Cyberhaven, aprovechan la oportunidad de desarrollar herramientas capaces de detectar y analizar la presencia de información confidencial dentro de las solicitudes. Puede ser necesario hacer que los empleados conozcan este problema de la misma manera que están informados de los riesgos en términos de phishing.