Exámenes de salud e información laboral: los peligros de compartir datos privados con la IA

Cada vez son más las personas que en vez de googlear deciden hablarle a un chatbot como ChatGPT, DeepSeek o Gemini. Le cuentan de sus dolores de cabeza, de problemas con la pareja o de decisiones que no saben cómo tomar. Algunos incluso suben exámenes médicos o documentos laborales para que los analice.
Lo que muchos ignoran es que toda esa información puede ser mal usada y, con un descuido en la seguridad o un ataque informático, puede caer en manos de delincuentes o personas mal intencionadas dispuestos a extorsionar, suplantar identidades o cometer fraudes.
"Lo más importante es no subir información confidencial o privada, ya sea propia o de terceros. Que una herramienta sea útil o de uso masivo no significa que sea segura", dice Martina López, investigadora de Seguridad Informática de ESET Latinoamérica.
Cuando se usa alguna herramienta de IA para hacer consultas, el usuario puede ver las preguntas y las interacciones pasadas. Pero así, también puede ser vista por alguien que tenga acceso al dispositivo (por el robo de un celular o notebook ) o si se conoce la contraseña de la cuenta.
De hecho, en marzo de 2023, los usuarios de ChatGPT reportaron un error en la plataforma que les permitía ver los chat y conversaciones de otras personas. Esto llevó a la empresa a bajar la plataforma por horas hasta solucionar el problema.
Camilo Gutiérrez, jefe del Laboratorio de Investigación de ESET Latinoamérica, explica: "Si un ciberdelincuente consigue acceder a una cuenta de ChatGPT, tendrá acceso a toda la información que se comparta con la herramienta, incluidos los datos sensibles que se hayan introducido en las conversaciones", comenta. De ahí que recomiende usar chats temporales.
"Cuando usamos este tipo de herramientas compartimos más información de la que deberíamos. Subimos documentos personales, de trabajo o confidenciales y estamos corriendo el riesgo de que la información quede guardada en servidores que sean vulnerables a ataques o fallas", dice Isabel Manjarrez, investigadora de seguridad del Equipo Global de Investigación y Análisis de Kaspersky.
Y, si bien, agrega Manjarrez, estas empresas tienen altos estándares de seguridad, "ningún sistema es infalible y existe el riesgo de que los modelos de IA pueden ser expuestos a fuga de datos".
Empresas lo prohíben
Otro problema de entregar tanta información, dice Francisco Fernández, gerente general de Avantic Chile, es que las herramientas como Gemini, ChatGPT, DeepSeek y Claude, entre otras, tienen la capacidad de aprender y mejorar de manera permanente en base a los datos que reciben y procesan en el tiempo.
"Por ende, cualquier tipo de información que reciban puede volverse de dominio público con los años o sufrir alguna filtración u otra vulnerabilidad. En este sentido, es clave leer bien los términos y condiciones de uso, y las políticas de privacidad", dice.
Ya hay casos en que las empresas han tomado cartas en el asunto. "Hay antecedentes, como por ejemplo, casos de empleados de distintas corporaciones que compartieron código de programación interno y documentos confidenciales con ChatGPT, lo que llevó a algunas empresas a restringir o prohibir su uso", dice López.
De hecho OpenAI (empresa creadora de ChatGPT) es clara en advertir en su guía de uso que "no hay que ingresar información confidencial".
De ahí que Fernández recomienda borrar cada conversación cuando finalice el chatbot, pero antes que eso "evitar compartir información financiera, datos corporativos, el historial médico y datos personales como el RUT, fecha de nacimiento, dirección, etc. Tampoco compartir información que les genere cierta incomodidad".
En tanto, el subcomisario Axel Palacios, de la Brigada del Cibercrimen Metropolitano de la PDI, dice "que las consultas tienen que ser generales, sin entregar datos que permiten individualizar a alguien".
Consultado sobre si la Brigada del Cibercrimen ha recibido requerimientos de la justicia para hacer pericias sobre el historial de conversaciones de una persona con ChatGPT, por ejemplo, Palacios dice que aún no han recibido ningún requerimiento como sí los han recibido para revisar el historial del navegador.
"En caso de que llegue un requerimiento por vía judicial tendremos que oficiar a la empresa en su sede en EE.UU., tal como lo hacemos con Google, y ver qué respuestas nos dan", señala.