Nuevas investigaciones destacan la creciente exposición de datos sensibles en aplicaciones de IA generativa dentro de empresas líderes. Según el informe Cloud & Threat Report: AI Apps in the Enterprise publicado por Netskope, los hallazgos apuntan que se incrementaron los incidentes de datos sensibles empresariales, en el uso de aplicaciones de IA en los últimos dos meses.
Netskope ha dado a conocer los resultados de una investigación que arroja luz sobre la situación actual de las empresas en cuanto a la seguridad de datos. Según este estudio, por cada 10.000 usuarios empresariales, una organización experimenta alrededor de 183 incidentes mensuales de datos sensibles que se publican en aplicaciones. Sorprendentemente, el código fuente se destaca como la categoría que representa la mayor parte de los datos sensibles expuestos, lo que subraya la importancia crítica de proteger esta información en el entorno empresarial.
Los reveladores resultados provienen del informe "Cloud & Threat Report: AI Apps in the Enterprise", un minucioso análisis realizado por Netskope Threat Labs sobre el uso de inteligencia artificial en el entorno empresarial y los riesgos de seguridad asociados. Mediante el análisis de datos procedentes de millones de usuarios empresariales de todo el mundo, Netskope ha constatado que el empleo de aplicaciones de IA generativa ha experimentado un impresionante aumento del 22,5% en los últimos dos meses. Este incremento vertiginoso amplía las posibilidades de que los usuarios expongan datos confidenciales, convirtiendo al código fuente en uno de los datos más vulnerables compartidos a través de estas aplicaciones, lo que plantea serias preocupaciones en el ámbito empresarial.
Creciente uso de aplicaciones de IA
En su investigación, Netskope observó que las organizaciones con 10.000 usuarios o más utilizan una media diaria de 5 aplicaciones de IA, y ChatGPT tiene más de 8 veces más usuarios activos al día que cualquier otra aplicación de IA generativa. Al ritmo de avance actual, se espera que el número de usuarios que acceden a aplicaciones de IA se duplique en los próximos siete meses.
En los últimos dos meses, la aplicación de IA que más rápido ha crecido ha sido Google Bard, que actualmente suma usuarios a razón de un 7,1% semanal, frente al 1,6% de ChatGPT. Al ritmo actual, Google Bard no alcanzará a ChatGPT hasta dentro de un año, aunque se espera que el espacio de aplicaciones de IA generativa evolucione significativamente antes de esa fecha, con muchas más aplicaciones en desarrollo.
Usuarios que introducen datos confidenciales en ChatGPT
Otro hallazgo relevante tiene que ver con el código fuente, el cual se publica en ChatGPT más que cualquier otro tipo de dato confidencial, según el informe de Netskope, con un ritmo de 158 incidentes por cada 10.000 usuarios al mes. Otros datos sensibles que se comparten en ChatGPT son: datos regulados -incluidos datos financieros y sanitarios, información de identificación personal- junto con propiedad intelectual excluyendo el código fuente y, lo que es más preocupante, contraseñas y claves, normalmente incrustadas en el código fuente.
"Es inevitable que algunos usuarios suban código fuente propietario o texto que contenga datos sensibles a herramientas de IA que prometen ayudar a programar o escribir", afirma Ray Canzanese, Director de Investigación de Amenazas de Netskope Threat Labs. "Por tanto, es imperativo que las organizaciones establezcan controles en torno a la IA para evitar fugas de datos confidenciales. Los controles que permiten a los usuarios aprovechar los beneficios de la IA, agilizando las operaciones y mejorando la eficiencia, al tiempo que mitigan los riesgos son el objetivo final. Los controles más eficaces que vemos son una combinación de DLP y coaching interactivo del usuario".
Bloqueo o concesión de acceso a ChatGPT
Netskope Threat Labs está actualmente rastreando proxies ChatGPT y más de 1.000 URLs y dominios maliciosos de atacantes oportunistas que buscan capitalizar el bombo de la IA, incluyendo múltiples campañas de phishing, campañas de distribución de malware y sitios web de spam y fraude.
Bloquear el acceso a contenidos relacionados con la IA y a aplicaciones de IA es una solución a corto plazo para mitigar el riesgo, pero va en detrimento de los beneficios potenciales que estas aplicaciones ofrecen para complementar la innovación corporativa y la productividad de los empleados. Los datos de Netskope muestran que en los servicios financieros y la atención sanitaria -ambos sectores altamente regulados- casi 1 de cada 5 organizaciones ha implementado una prohibición general del uso de ChatGPT por parte de los empleados, mientras que, en el sector tecnológico, solo 1 de cada 20 organizaciones ha hecho lo mismo.
"Como líderes de seguridad, no podemos simplemente decidir prohibir aplicaciones sin que ello repercuta en la experiencia y productividad de los usuarios", afirma James Robinson, Director Adjunto de Seguridad de la Información de Netskope. "Las organizaciones deben centrarse en la evolución de la conciencia de su fuerza de trabajo y las políticas de datos para satisfacer las necesidades de los empleados que utilizan productos de IA de forma productiva. Hay un buen camino hacia la habilitación segura de la IA generativa con las herramientas adecuadas y la mentalidad correcta".
Para que las organizaciones permitan la adopción segura de aplicaciones de IA, deben centrar su enfoque en la identificación de aplicaciones permitidas y la implementación de controles que faciliten a los usuarios utilizarlas en todo su potencial, al tiempo que protegen a la organización de los riesgos.
Este planteamiento debe incluir el filtrado de dominios, el filtrado de URL y la inspección de contenidos para proteger contra los ataques. Otros pasos para salvaguardar los datos y utilizar de forma segura las herramientas de IA incluyen:
Bloquear el acceso a apps que no sirvan a ningún propósito empresarial legítimo o que supongan un riesgo desproporcionado para la organización.
Emplear la formación de usuarios para recordarles la política de la empresa en torno al uso de apps de IA.
Utilizar tecnologías modernas de prevención de pérdida de datos (DLP) para detectar mensajes que contengan información potencialmente sensible.