La inteligencia artificial y los límites de la privacidad 

La Inteligencia Artificial generativa juega un papel cada vez más
importante en la vida pública y privada de las personas, gobiernos y empresas. A la vez, las grandes
plataformas tecnológicas modifican y actualizan sus políticas de privacidad, con la incorporación de
nuevas funcionalidades con esta tecnología. Sin embargo, ESET, compañía líder en detección proactiva
de amenazas, advierte que hay casos en los que no está claro el tratamiento que la inteligencia artificial
dará a los datos recopilados, aunque algunas empresas directamente advierten que los mismos serán
usados para mejorar el modelo de entrenamiento de Inteligencia Artificial, con el fin de mejorar sus
productos o servicios.
“El manejo de los datos que requieren estas tecnologías y la administración de la información para
nutrirla, hace necesarios contratos que sean claros y concisos, que no presten a confusión o
descontento. La violación de la privacidad y los derechos de autor son uno de los principales riesgos que
puede acarrear el uso de esta tecnología”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de
Investigación de ESET Latinoamérica.
ESET analiza los ejemplos de Windows Recall y las nuevas políticas de uso de Adobe, sobre cómo están
gestionando la privacidad de los datos, los riesgos que estos cambios implican y la importancia de una
comunicación clara y transparente para mantener la confianza de los usuarios y asegurar el
cumplimiento legal:
Windows Recall: Los equipos con PC Copilot+ tendrán una función llamada Recall que permitiría
encontrar y recordar todo lo visto y hecho en la PC como si se tratara de una línea del tiempo del
contenido a la que puede accederse cuando se necesite. Recall, entonces, registra todo lo que se hace
en las aplicaciones, las comunicaciones y reuniones, recuerda todas las páginas web que se hayan
visitado, todos los libros o artículos leídos. También toma capturas de pantallas para poder identificar
más fácil el contenido del que se quiere disponer.
Es por lo que muchos usuarios han mostrado preocupación de hasta dónde puede utilizarse la IA para
invadir la privacidad y si dicha información es enviada a la nube. Aunque Microsoft asegura que todo se
queda en la misma PC, almacenada localmente y que los datos para esta función están debidamente
cifrados. En base a las críticas que había recibido antes de su lanzamiento -ya que en principio no iba a
poder ser desactivada- Microsoft lanzó Recall con la posibilidad desactivarlo, o personalizarlo y controlar
qué sitios web o aplicaciones pueden excluir, borrar contenidos o incluso desactivar totalmente la
captura de pantallas para inhabilitar la recolección de información.
En la documentación oficial de Microsoft se indica que el “Almacenamiento de instantáneas: el
contenido permanece local”.

ESET -Nota de Prensa

Sin embargo, ESET identificó que al habilitar nuevas características a un sistema operativo que
involucren la privacidad del usuario y faciliten su acceso, esto trae consigo nuevas puertas que pueden
ser aprovechados por los ciberdelincuentes.
Por ejemplo, previo al lanzamiento oficial de PC Copilot+, un entusiasta de la ciberseguridad demostró
que esta función almacena las capturas de pantalla en una base de datos sin cifrar, todo se encuentra en
texto plano y puede ser extraído de una manera muy sencilla con una herramienta llamada TotalRecall.
La misma encuentra la base de datos de Recall, copia las capturas de pantalla tomadas y la base de
datos en una carpeta de extracción, además analiza las bases en busca de datos especificados por el
usuario (por ejemplo, contraseñas, términos de búsqueda, información de tarjetas de crédito, etc.) y
luego entrega un resumen que incluye esos datos en cuestión de segundos.
“Un ciberdelincuente podría obtener una enorme cantidad de información valiosa sobre su víctima,
incluyendo sus correos electrónicos, conversaciones personales y cualquier información capturada por
Recall. Es importante mencionar que la base de datos principal de Recall es almacenada en el directorio
del sistema de la PC y para acceder a ella se necesitan permisos de administrador, no obstante, un
atacante puede emplear distintas técnicas para elevar privilegios lo que hace teóricamente posible una
exfiltración de datos”, agrega el investigador de ESET Latinoamérica.
Adobe y su nueva política de uso: Adobe ha tenido una evolución y gran adopción por parte de los
sectores públicos y privados. Por eso es relevante tener un lenguaje claro para todo tipo de ámbito,
dado que al momento de emitir nuevas políticas, se puede llegar a malinterpretar y generar un
descontento por parte de los usuarios.
Adobe introdujo en febrero 2024 una nueva política de uso que planteaba que, para poder seguir
utilizando sus productos, los usuarios estaban obligados a darle aceptación, algo que causó
inconformidad y preocupación por la comunidad.
Antes esta situación, el director del producto Substance 3D salió a explicar que no se accedería o leería
ningún proyecto de sus usuarios, añadiendo que no tendría sentido hacerlo ya que todas las empresas
de la industria los abandonarían inmediatamente si fuera el caso y Adobe indicó que está sujeto al
Reglamento General de Protección de Datos (RGPD) del Parlamento Europeo.
Otra circunstancia que generó descontento a los usuarios previamente a su actualización el 18 de junio
de este año, era en el apartado “C”, donde Adobe Creative Cloud requería de un acceso al contenido del
usuario para poder analizarlo y entrenar sus algoritmos de machine learning (Firefly Gen AI), con el fin
de mejorar sus servicios. Al darse cuenta de estos hechos, Adobe tuvo que actualizar e incorporar
resúmenes con información que fuera más detallada y el motivo para cuál se accederían a los datos.
Para la sección de “Privacidad” en la sección 2.2 “Nuestro acceso a su contenido” por parte de Adobe se
deja más claro que el usuario es el propietario de su contenido, pero que se necesita acceder a este
según sea necesario para el correcto funcionamiento de sus aplicaciones y los servicios.

ESET -Nota de Prensa

Para ESET, las funciones siempre les darán un valor agregado a los fabricantes o desarrolladores pero
deben de venir con términos de uso y políticas que utilicen un lenguaje claro, en lugar de ambiguo o
demasiado legalista. De esta forma pueden asegurar:
 Accesibilidad y comprensión: Un lenguaje claro y directo permite que una mayor audiencia
comprenda fácilmente las condiciones y las nuevas funciones, lo que aumenta la transparencia y la
accesibilidad de la información.
 Confianza del usuario: La claridad en la comunicación reduce la percepción de qué fabricantes o
desarrolladores están tratando de ocultar algo o de complicar innecesariamente los términos.
 Reducción de conflictos: Términos y condiciones claros ayudan a prevenir malentendidos. Si los
usuarios comprenden completamente lo que están aceptando, es menos probable que surjan
conflictos legales y se reduce la necesidad de intervenciones legales.
“Cuando las nuevas funciones o características se explican de manera sencilla, los usuarios pueden
adoptar y utilizarlas de manera más efectiva. Un entendimiento claro de cómo funcionan las nuevas
características puede mejorar la experiencia del usuario y aumentar la satisfacción. La transparencia y la
claridad en la comunicación contribuyen positivamente a la imagen de los fabricantes o desarrolladores.
Para ambos casos, aquellas que se esfuerzan por ser claras y directas en su comunicación son vistas
como más honestas y responsables en el tratado de los datos de sus usuarios”, concluye Gutiérrez Amaya
de ESET.
Para conocer más sobre seguridad informática visite el portal de noticias de ESET:
https://www.welivesecurity.com/es/privacidad/inteligencia-artificial-limites-privacidad/
Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el
mundo de la seguridad informática. Para escucharlo ingrese a:
https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *