Cómo las herramientas de IA comprometen la confidencialidad de datos
Access Now analiza las vulnerabilidades de seguridad en modelos de lenguaje que exponen información personal y erosionan la privacidad digital.
Los modelos de lenguaje extensos (LLMs) que impulsan herramientas populares de inteligencia artificial presentan serias vulnerabilidades de seguridad que comprometen la confidencialidad de datos personales, según un nuevo análisis de Access Now que examina los riesgos de privacidad en chatbots, generadores de imágenes y asistentes de IA.
El informe utiliza el modelo CIA (confidencialidad, integridad y disponibilidad) para evaluar cómo estas herramientas, cada vez más utilizadas para terapia, consultas médicas y flujos de trabajo empresariales, exponen información sensible a través de brechas de seguridad básicas. Muchas aplicaciones populares carecen de autenticación multifactor, facilitando el secuestro de cuentas.
Las violaciones de datos son frecuentes y graves. En enero de 2025, investigadores descubrieron una base de datos públicamente accesible de DeepSeek que contenía historiales de chat, claves secretas y información backend. OpenAI también sufrió un ataque que expuso nombres, direcciones de correo y datos de ubicación de usuarios.
Un caso particularmente preocupante involucra extensiones VPN que prometían "protección de IA" pero en realidad recolectaban todos los prompts y respuestas de ocho millones de usuarios, compartiendo esta información con intermediarios de datos.
El cifrado de extremo a extremo (E2EE) no es estándar en herramientas como ChatGPT o Gemini, dejando los historiales de chat vulnerables. Meta AI en WhatsApp ejemplifica esta erosión: puede acceder y resumir conversaciones sin consentimiento del usuario, rompiendo las garantías de privacidad que caracterizaban a la plataforma.
Los "agentes de IA" a nivel de sistema operativo crean nuevos riesgos al obtener permisos totales sobre sistemas y datos. Estos agentes son susceptibles a ataques de inyección de prompts, donde atacantes pueden engañar al sistema para exponer información confidencial como detalles de tarjetas de crédito.
Para América Latina, donde la adopción de IA crece sin marcos regulatorios robustos, estos hallazgos subrayan la urgencia de implementar salvaguardias de derechos humanos y estándares de seguridad antes de la integración masiva de estas tecnologías en servicios críticos.
Fuente original: Access Now
Este resumen fue generado con asistencia de IA y revisado editorialmente por Algoré.