El creciente uso de ChatGPT implica no sólo servirse de los beneficios sino también permitir que la aplicación recopile cierta información de los usuarios. En efecto, la empresa OpenAI almacena datos de las cuentas que administra con la finalidad de mejorar el servicio y personalizar las experiencias.
Al igual que ocurre con la salud física y mental, en el entorno digital es necesario tener las suficientes medidas preventivas. El objetivo siempre es evitar cualquier tipo de problema que puede tener consecuencias de diversas magnitudes.
¿Qué datos de los usuarios almacena ChatGPT?
En este contexto, la compañía de ciberseguridad ESET dio a conocer la información de los usuarios que recopila ChatGPT de forma automática aunque la mayoría de las ocasiones no se trata de datos personales.
- Datos propios de las cuentas: dentro de esta categoría se encuentra la información del correo electrónico que se utiliza para la autenticación, así como el nombre de usuario. Para el caso de los usuarios pagos se recopila información referida al medio de pago. Además, se guardan las preferencias que el usuario haya configurado, como el idioma, tema, gustos y en el caso de estar activado, el historial de conversaciones. De estas, se almacenan tanto los prompt como las respuestas obtenidas para generar contenido más perfilado y conocer las preferencias del usuario.
- Información de tipo técnica: la dirección de IP del usuario que permitirá identificarlo principalmente con fines de seguridad y también para prevención de abusos y suplantaciones. Vale aclarar que con la IP también se puede contar con una aproximación de la ubicación del usuario. Además, se recopilan datos sobre el modelo del dispositivo que se utiliza y del navegador donde se está corriendo la IA.
- Datos de uso: ChatGPT no sólo almacena información sobre la frecuencia y la duración de uso sino también sobre las funciones utilizadas como navegación, generación de código, imágenes, etc.
A partir de lo anterior se obtiene que ChatGPT almacena información cuando le es proporcionada por los mismos usuarios durante sus interacciones aunque la empresa no guarda datos personales fuera de las sesiones activas, a menos que el usuario así lo solicite. En efecto, en cualquier sesión, el usuario podría requerir el borrado de la información si así lo desea.
Muchas veces los usuarios comparten información privada o sensible y también información financiera o credenciales de diferentes cuentas. Si bien, el hecho de compartir datos con el modelo GPT no es un riesgo en sí mismo dado que la información solo queda almacenada para ese usuario y en esa sesión, existe el riesgo de acceso no autorizado a una cuenta que pueda exponer la información.
En caso de que esto suceda, un cibercriminal podría acceder al historial de conversaciones, y consecuentemente conocer cualquier información compartida por el usuario. A modo de ejemplo, en el 2023 Gruop-IB detalló en un informe cómo en la darkweb se comercializaban más de 100K de cuentas de ChatGPT.
La compañía OpenAI guarda los datos generalmente en forma temporal y solo con el fin de mejorar la experiencia de los usuarios; sin embargo, no mantiene guardados los historiales de conversaciones en forma permanente (para el caso de usuarios gratuitos).
Para el caso de usuarios pagos, el tiempo de almacenamiento puede determinarse por cada persona. Toda la información se encuentra sometida a rigurosas políticas de seguridad. Para los datos en reposo, utiliza cifrado AES-256, y para los datos en tránsito, emplea protocolos TLS 1.2 o superiores.
Además, se requiere el consentimiento de los usuarios para el almacenamiento y tratamiento de datos, pudiendo estos revisar las políticas, términos y condiciones, que los usuarios aceptan voluntariamente a la hora del registro. Dentro de las configuraciones se pueden elegir las preferencias de privacidad.
Por otro lado, en cumplimiento de las normativas de protección de datos, los usuarios pueden solicitar la eliminación y la modificación de la información sobre ellos almacenada y también consultarla y controlarla.
¿Cómo configurar ChatGPT para evitar compartir información confidencial?
Para garantizar la seguridad de la cuenta en ChatGPT, desde ESET aconsejan aplicar diferentes medidas de seguridad, muchas de las cuales son configurables dentro de la misma aplicación.
- Configuración de seguridad: en principio es recomendable utilizar contraseñas robustas para las cuentas y también activar el doble factor de autenticación (2FA) cuando estuviera disponible, con el objetivo de impedir accesos no autorizados. Es importante cambiar las contraseñas en forma periódica.
- Gestión de datos y consentimiento: antes de compartir información en ChatGPT, se recomienda tomar conocimiento de las configuraciones de privacidad para comprender qué datos se almacenan y cómo se usa y de tal manera prestar el consentimiento en forma informada.
- Revisar sesiones activas: ChatGPT permite revisar sesiones activas, algo útil para detectar actividades inusuales.
- Medir la información compartida: evitar compartir información sensible mediante los prompts, y así evitar que si se accede en forma indebida a ChatGPT se pudiera acceder a estos datos.
- Revisión de términos y políticas: es recomendable revisar constantemente los términos y políticas de la aplicación para conocer los cambios y nuevas opciones de seguridad.
- Uso de dispositivos seguros: conviene acceder a ChatGPT únicamente desde dispositivos protegidos con soluciones de seguridad como antimalware, también con sistemas operativos actualizados a últimas versiones para prevenir en lo posible la explotación de vulnerabilidades que pudieran abrir una posibilidad de acceso a ChatGPT.
- Cierre de sesión en dispositivos compartidos: si se usa ChatGPT en un dispositivo público o compartido, se recomienda cerrar sesión después de su uso.
- Reportar actividades sospechosas: En caso de detectar intentos de acceso no autorizados o actividades inusuales en la cuenta, se debe reportar a OpenAI.
