El creciente uso de ChatGPT implica no solo servirse de los beneficios sino también permitir que la aplicación recopile cierta información de los usuarios. La empresa OpenAI almacena información variada de las cuentas de ChatGPT con la finalidad de mejorar el servicio y personalizar las experiencias.
El tipo de información que recopila ChatGPT incluye datos propios de las cuentas: dentro de esta categoría se encuentra la información del correo electrónico que se utiliza para la autenticación, así como el nombre de usuario. Para el caso de los usuarios pagos, se recopila información referida al medio de pago. Además, se guardan las preferencias que el usuario haya configurado, como el idioma, tema, gustos y en el caso de estar activado, el historial de conversaciones.
Información de tipo técnica: la dirección de IP del usuario, que permitirá identificarlo principalmente con fines de seguridad y también para prevención de abusos y suplantaciones. Vale aclarar que con la IP también se puede contar con una aproximación de la ubicación del usuario.
Datos de uso: ChatGPT no solo almacena información sobre la frecuencia y la duración de uso sino también sobre las funciones utilizadas como navegación, generación de código, imágenes, etc.
ChatGPT almacena información cuando le es proporcionada por los mismos usuarios durante sus interacciones, pero la empresa no guarda datos personales fuera de las sesiones activas, a menos que el usuario así lo solicite. En efecto, en cualquier sesión, el usuario podría requerir el borrado de la información si así lo desea.
En este contexto, la empresa de ciberseguridad ESET Latinoamérica explica como configurar las cuentas de manera correcta y a qué prestar atención para proteger los datos. “ChatGPT no tiene acceso directo a información personal y/o privada, pero recuerda aquella que le usuario proporciona durante las sesiones activas o incluso en forma posterior si el usuario así lo configura. Es por eso por lo que la cantidad de información almacenada dependerá del usuario y la configuración de sus sesiones, aunque por defecto la información se guarda sesión a sesión en forma independiente”, comenta Fabiana Ramirez Cuenca, Investigadora de Seguridad Informática de ESET Latinoamérica.
Muchas veces los usuarios comparten información privada o sensible y también información financiera o credenciales de diferentes cuentas. Si bien, el hecho de compartir datos con el modelo GPT no es un riesgo en sí mismo dado que la información solo queda almacenada para ese usuario y en esa sesión, existe el riesgo de acceso no autorizado a una cuneta de ChatGPT que pueda exponer la información.
En caso de que esto suceda, un cibercriminal podría acceder al historial de conversaciones, y consecuentemente conocer cualquier información compartida por el usuario. A modo de ejemplo, en el 2023 Gruop-IB detalló en un informe cómo en la darkweb se comercializaban más de 100K de cuentas de ChatGPT.
“La gravedad del compromiso de una cuenta puede variar, en tanto son muchos los riesgos asociados. Por ejemplo, los datos obtenidos pueden ser utilizados para ataques de ingeniería social o suplantación de identidad.”, agrega Ramirez Cuenca de ESET Latinoamérica.
Para garantizar la seguridad de la cuenta en ChatGPT, desde ESET aconsejan aplicar diferentes medidas de seguridad, muchas de las cuales son configurables dentro de la misma aplicación:
Configuración de seguridad; Gestión de datos y consentimiento; Revisar sesiones activas; Medir la información compartida; Revisión de términos y políticas; Uso de dispositivos seguros; Cierre de sesión en dispositivos compartidos; y Reportar actividades sospechosas.