El creciente uso de ChatGPT implica no solo servirse de los beneficios, sino también permitir que la aplicación recopile cierta información de los usuarios. En efecto, la empresa OpenAI almacena información variada de las cuentas de ChatGPT con el fin de mejorar el servicio y personalizar las experiencias. En este contexto, ESET, compañía líder en detección proactiva de amenazas, explica como configurar las cuentas de manera correcta y a qué prestar atención para proteger los datos.
El tipo de información que recopila ChatGPT incluye:
•Datos propios de las cuentas: dentro de esta categoría se encuentra la información del correo electrónico que se utiliza para la autenticación, así como el nombre de usuario. En el caso de los usuarios de pagos, se almacenan información referida al medio de pago. Además, se guardan las preferencias que el usuario haya configurado, como el idioma, tema, gustos y si está activado, el historial de conversaciones. De estas, se almacenan tanto los prompts como las respuestas obtenidas para generar contenido más perfilado y conocer las preferencias del usuario.
•Información técnica: la dirección de IP del usuario, que permite identificarlo principalmente con fines de seguridad y prevención de abusos y suplantaciones. Cabe destacar qupe, a través de la IP, también se puede estimar la ubicación del usuario. Además, se recopilan datos sobre el modelo del dispositivo que se utiliza y del navegador donde se está corriendo ChatGPT.
•Datos de uso: ChatGPT no solo almacena información sobre la frecuencia y la duración de uso, sino también sobre las funciones utilizadas, como navegación, generación de código, imágenes, etc.
ChatGPT almacena información cuando esta es proporcionada por los usuarios durante sus interacciones, pero la empresa no guarda datos personales fuera de las sesiones activas, a menos que el usuario así lo solicite. En efecto, en cualquier sesión, el usuario puede requerir la eliminación de la información si así lo desea.
“ChatGPT no tiene acceso directo a información personal y/o privada, pero recuerda aquella que le usuario proporciona durante las sesiones activas o incluso en forma posterior si el usuario así lo configura. Es por eso por lo que la cantidad de información almacenada dependerá del usuario y la configuración de sus sesiones, aunque por defecto la información se guarda sesión a sesión en forma independiente. Está claro que en primeras instancias es el usuario quien puede filtrar que tipo de información comparte”, comenta Fabiana Ramírez Cuenca, Investigadora de Seguridad Informática de ESET Latinoamérica.
Muchas veces los usuarios comparten información privada o sensible, así como datos financieros o credenciales de diferentes cuentas. Si bien, el hecho de compartir datos con el modelo GPT no es un riesgo en sí mismo, dado que la información solo queda almacenada para ese usuario y en esa sesión, existe el riesgo de acceso no autorizado a una cuenta de ChatGPT que pueda exponer la información. En caso de que esto suceda, un cibercriminal podría acceder al historial de conversaciones y, en consecuencia, conocer cualquier información compartida por el usuario. A modo de ejemplo, en el 2023, Gruop-IB detalló en un informe cómo en la dark web se comercializaban más de 100K de cuentas de ChatGPT.
“La gravedad del compromiso de una cuenta puede variar, en tanto son muchos los riesgos asociados. Por ejemplo, los datos obtenidos pueden ser utilizados para ataques de ingeniería social o suplantación de identidad.”, agrega Ramírez Cuenca de ESET Latinoamérica.
OpenAI guarda los datos generalmente en forma temporal y con el solo fin de mejorar la experiencia de los usuarios. Sin embargo, no mantiene guardados los historiales de conversaciones en forma permanente (para el caso de usuarios gratuitos). Para el caso de usuarios pagos, el tiempo de almacenamiento puede determinarse por el propio usuario. Toda la información se encuentra sometida a rigurosas políticas de seguridad. Para los datos en reposo, utiliza cifrado AES-256, y para los datos en tránsito, emplea protocolos TLS 1.2 o superiores
Además, se requiere el consentimiento de los usuarios para el almacenamiento y tratamiento de datos. Estos pueden revisar las políticas, términos y condiciones, que los usuarios aceptan voluntariamente a la hora del registro. Dentro de las configuraciones se pueden elegir las preferencias de privacidad. Por otro lado, en cumplimiento de las normativas de protección de datos, los usuarios pueden solicitar la eliminación y la modificación de la información sobre ellos almacenada y también consultarla y controlarla.
Para garantizar la seguridad de la cuenta en ChatGPT, ESET recomienda aplicar diversas medidas de seguridad, muchas de las cuales pueden configurarse dentro de la misma aplicación
•Configuración de seguridad: Se recomienda utilizar contraseñas robustas para las cuentas y activar el doble factor de autenticación (2FA), si está disponible, con el objetivo de impedir accesos no autorizados. Es importante cambiar las contraseñas periódicamente.
•Gestión de datos y consentimiento: Antes de compartir información en ChatGPT, es recomendable revisar las configuraciones de privacidad para comprender qué datos se almacenan y cómo se usan, permitiendo otorgar consentimiento informado.
•Revisar sesiones activas: ChatGPT permite revisar sesiones activas, algo útil para detectar actividades inusuales.
•Control de información compartida: Evitar compartir información sensible a través de los prompts para prevenir que, en caso de acceso indebido a ChatGPT, se pueda acceder a estos datos.
•Revisión de términos y políticas: Es recomendable revisar constantemente los términos y políticas de la aplicación para conocer los cambios y nuevas opciones de seguridad.
•Uso de dispositivos seguros: Conviene acceder a ChatGPT únicamente desde dispositivos protegidos con soluciones de seguridad como antimalware, también con sistemas operativos actualizados a últimas versiones para prevenir en lo posible la explotación de vulnerabilidades que pudieran abrir una posibilidad de acceso a ChatGPT.
•Cierre de sesión en dispositivos compartidos: Si se usa ChatGPT en un dispositivo público o compartido, se recomienda cerrar sesión después de su uso.
•Reportar actividades sospechosas: En caso de detectar intentos de acceso no autorizados o actividades inusuales en la cuenta, se debe reportar a OpenAI.
Fuente. ESET
