El aumento en el uso de ChatGPT no solo trae consigo beneficios, sino que también implica que la aplicación recolecte cierta información de sus usuarios. En este sentido, OpenAI recopila una variedad de datos de las cuentas de ChatGPT con el propósito de optimizar el servicio y personalizar las experiencias de los usuarios. En este contexto, ESET, líder en detección proactiva de amenazas, proporciona directrices sobre cómo configurar correctamente las cuentas y qué aspectos considerar para salvaguardar la información.
La información que ChatGPT recopila incluye:
- Datos de cuentas: en esta categoría se encuentran datos como el correo electrónico utilizado para la autenticación y el nombre de usuario. Para los usuarios de pago, también se guarda información relacionada con el medio de pago. Además, se registran las preferencias del usuario, como idioma, tema, intereses, y, si está habilitado, el historial de chat, que incluye tanto las preguntas como las respuestas, para ofrecer un contenido más adaptado a las preferencias del usuario.
- Datos técnicos: esto abarca la dirección IP del usuario, que se usa principalmente para identificarlo con fines de seguridad y prevenir abusos y suplantaciones. La IP también permite aproximar la ubicación del usuario. Se recopilan dados sobre el modelo del dispositivo y el navegador desde el cual se accede a ChatGPT.
- Datos de uso: ChatGPT guarda información sobre la frecuencia y duración de uso, así como sobre las funciones empleadas, como navegación, generación de código e imágenes.
ChatGPT solo almacena información proporcionada por los usuarios durante sus interacciones, y la empresa no retiene datos personales fuera de las sesiones activas, a menos que el usuario lo solicite. Durante cualquier sesión, los usuarios pueden pedir que se elimine la información cuando lo deseen.
“ChatGPT no tiene acceso directo a información personal y/o privada, pero recuerda lo que el usuario proporciona durante las sesiones activas o posteriormente si así lo configura. Por lo tanto, la cantidad de información almacenada dependerá del usuario y de la configuración de sus sesiones. Aunque, por defecto, la información se guarda de forma independiente en cada sesión. En última instancia, el usuario puede decidir qué tipo de información compartir”, señala Fabiana Ramírez Cuenca, Investigadora de Seguridad Informática de ESET Latinoamérica.
A menudo, los usuarios comparten información personal o sensible, así como datos financieros o credenciales de diversas cuentas. Aunque compartir datos con el modelo GPT no representa un riesgo en sí mismo, dado que dicha información solo se almacena en la sesión actual, existe el riesgo de acceso no autorizado a una cuenta de ChatGPT que podría exponer información privada. En caso de ser así, un cibercriminal podría acceder al historial de conversaciones y, por ende, a cualquier información compartida por el usuario. Por ejemplo, en 2023, Gruop-IB informó sobre la venta de más de 100,000 cuentas de ChatGPT en la dark web.
“La gravedad de la violación de una cuenta puede variar, ya que hay muchos riesgos asociados. Por ejemplo, los datos obtenidos pueden emplearse para ataques de ingeniería social o suplantación de identidad”, añade Ramírez Cuenca de ESET Latinoamérica.
OpenAI guarda los datos generalmente de forma temporal con el único fin de mejorar la experiencia de los usuarios; sin embargo, no mantiene los historiales de conversaciones de manera permanente (en el caso de usuarios gratuitos). Para los usuarios que pagan, el tiempo de almacenamiento puede ser determinado por el propio usuario. Toda la información está sujeta a estrictas políticas de seguridad, utilizando cifrado AES-256 para los datos en reposo y protocolos TLS 1.2 o superiores para los datos en tránsito.
Además, se requiere el consentimiento de los usuarios para el almacenamiento y tratamiento de datos. Estos pueden revisar las políticas, términos y condiciones que aceptan voluntariamente al registrarse. Dentro de las configuraciones, pueden elegir preferencias de privacidad. Por otro lado, en conformidad con las normativas de protección de datos, los usuarios pueden solicitar la eliminación, modificación y consulta de la información almacenada sobre ellos.
Para garantizar la seguridad de las cuentas en ChatGPT, ESET recomienda implementar diversas medidas de seguridad, muchas de las cuales son configurables dentro de la misma aplicación:
- Configuración de seguridad: Es aconsejable utilizar contraseñas fuertes para las cuentas y activar la autenticación de dos factores (2FA), cuando esté disponible, para impedir accesos no autorizados. También es importante cambiar las contraseñas de manera periódica.
- Gestión de datos y consentimiento: Antes de compartir información en ChatGPT, se debe tener presente las configuraciones de privacidad para entender qué datos se almacenan y cómo se utilizan, y así prestar el consentimiento de manera informada.
- Revisión de sesiones activas: ChatGPT permite consultar las sesiones activas, lo cual es útil para detectar actividades inusuales.
- Medir la información compartida: Evitar proporcionar información sensible en los prompts para prevenir que, en caso de acceso indebido a ChatGPT, se puedan obtener estos datos.
- Revisión de términos y políticas: Es recomendable revisar constantemente los términos y políticas de la aplicación para conocer cambios y nuevas opciones de seguridad.
- Uso de dispositivos seguros: Se aconseja acceder a ChatGPT únicamente desde dispositivos protegidos con soluciones de seguridad como antimalware, y asegurarse de que los sistemas operativos estén actualizados a las últimas versiones para prevenir la explotación de vulnerabilidades.
- Cierre de sesión en dispositivos compartidos: Al usar ChatGPT en dispositivos públicos o compartidos, se recomienda cerrar sesión después de cada uso.
- Reportar actividades sospechosas: En caso de detectar intentos de acceso no autorizados o actividades inusuales en la cuenta, se debe reportar a OpenAI.
El artículo Qué datos almacena una cuenta de ChatGPT y cuáles son los peligros fue publicado primero en Osorno en la Red.
Con Información de osornoenlared.cl