ESET analiza las políticas de privacidad en empresas que usan IA, con ejemplos de Windows Recall y Adobe, y destaca la importancia de una comunicación clara y concisa en los términos y condiciones.
La Inteligencia Artificial generativa juega un papel cada vez más importante en la vida pública y privada de las personas, gobiernos y empresas. A la vez, las grandes plataformas tecnológicas modifican y actualizan sus políticas de privacidad, con la incorporación de nuevas funcionalidades con esta tecnología. Sin embargo, ESET, compañía líder en detección proactiva de amenazas, advierte que hay casos en los que no está claro el tratamiento que la inteligencia artificial dará a los datos recopilados, aunque algunas empresas directamente advierten que los mismos serán usados para mejorar el modelo de entrenamiento de Inteligencia Artificial, con el fin de mejorar sus productos o servicios.
“El manejo de los datos que requieren estas tecnologías y la administración de la información para nutrirla, hace necesarios contratos que sean claros y concisos, que no presten a confusión o descontento. La violación de la privacidad y los derechos de autor son uno de los principales riesgos que puede acarrear el uso de esta tecnología.”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
ESET analiza los ejemplos de Windows Recall y las nuevas políticas de uso de Adobe, sobre cómo están gestionando la privacidad de los datos, los riesgos que estos cambios implican y la importancia de una comunicación clara y transparente para mantener la confianza de los usuarios y asegurar el cumplimiento legal:
Windows Recall: Los equipos con PC Copilot+ tendrán una función llamada Recall que permitiría encontrar y recordar todo lo visto y hecho en la PC como si se tratara de una línea del tiempo del contenido a la que puede accederse cuando se necesite. Recall, entonces, registra todo lo que se hace en las aplicaciones, las comunicaciones y reuniones, recuerda todas las páginas web que se hayan visitado, todos los libros o artículos leídos. También toma capturas de pantallas para poder identificar más fácil el contenido del que se quiere disponer.
Es por lo que muchos usuarios han mostrado preocupación de hasta dónde puede utilizarse la IA para invadir la privacidad y si dicha información es enviada a la nube. Aunque Microsoft asegura que todo se queda en la misma PC, almacenada localmente y que los datos para esta función están debidamente cifrados. En base a las críticas que había recibido antes de su lanzamiento -ya que en principio no iba a poder ser desactivada- Microsoft lanzó Recall con la posibilidad desactivarlo, o personalizarlo y controlar qué sitios web o aplicaciones pueden excluir, borrar contenidos o incluso desactivar totalmente la captura de pantallas para inhabilitar la recolección de información.
En la documentación oficial de Microsoft se indica que el “Almacenamiento de instantáneas: el contenido permanece local”.
Sin embargo, ESET identificó que al habilitar nuevas características a un sistema operativo que involucren la privacidad del usuario y faciliten su acceso, esto trae consigo nuevas puertas que pueden ser aprovechados por los ciberdelincuentes.
Por ejemplo, previo al lanzamiento oficial de PC Copilot+, un entusiasta de la ciberseguridad demostró que esta función almacena las capturas de pantalla en una base de datos sin cifrar, todo se encuentra en texto plano y puede ser extraído de una manera muy sencilla con una herramienta llamada TotalRecall.
La misma encuentra la base de datos de Recall, copia las capturas de pantalla tomadas y la base de datos en una carpeta de extracción, además analiza las bases en busca de datos especificados por el usuario (por ejemplo, contraseñas, términos de búsqueda, información de tarjetas de crédito, etc.) y luego entrega un resumen que incluye esos datos en cuestión de segundos.
“Un ciberdelincuente podría obtener una enorme cantidad de información valiosa sobre su víctima, incluyendo sus correos electrónicos, conversaciones personales y cualquier información capturada por Recall. Es importante mencionar que la base de datos principal de Recall es almacenada en el directorio del sistema de la PC y para acceder a ella se necesitan permisos de administrador, no obstante, un atacante puede emplear distintas técnicas para elevar privilegios lo que hace teóricamente posible una exfiltración de datos.”, agrega el investigador de ESET Latinoamérica.
Adobe y su nueva política de uso: Adobe ha tenido una evolución y gran adopción por parte de los sectores públicos y privados. Por eso es relevante tener un lenguaje claro para todo tipo de ámbito, dado que al momento de emitir nuevas políticas, se puede llegar a malinterpretar y generar un descontento por parte de los usuarios.
Adobe introdujo en febrero 2024 una nueva política de uso que planteaba que, para poder seguir utilizando sus productos, los usuarios estaban obligados a darle aceptación, algo que causó inconformidad y preocupación por la comunidad.
Antes esta situación, el director del producto Substance 3D salió a explicar que no se accedería o leería ningún proyecto de sus usuarios, añadiendo que no tendría sentido hacerlo ya que todas las empresas de la industria los abandonarían inmediatamente si fuera el caso y Adobe indicó que está sujeto al Reglamento General de Protección de Datos (RGPD) del Parlamento Europeo.
Otra circunstancia que generó descontento a los usuarios previamente a su actualización el 18 de junio de este año, era en el apartado “C”, donde Adobe Creative Cloud requería de un acceso al contenido del usuario para poder analizarlo y entrenar sus algoritmos de machine learning (Firefly Gen AI), con el fin de mejorar sus servicios. Al darse cuenta de estos hechos, Adobe tuvo que actualizar e incorporar resúmenes con información que fuera más detallada y el motivo para cuál se accederían a los datos.
Para la sección de “Privacidad” en la sección 2.2 “Nuestro acceso a su contenido” por parte de Adobe se deja más claro que el usuario es el propietario de su contenido, pero que se necesita acceder a este según sea necesario para el correcto funcionamiento de sus aplicaciones y los servicios.
Para ESET, las funciones siempre les darán un valor agregado a los fabricantes o desarrolladores pero deben de venir con términos de uso y políticas que utilicen un lenguaje claro, en lugar de ambiguo o demasiado legalista. De esta forma pueden asegurar:
- Accesibilidad y comprensión: Un lenguaje claro y directo permite que una mayor audiencia comprenda fácilmente las condiciones y las nuevas funciones, lo que aumenta la transparencia y la accesibilidad de la información.
- Confianza del usuario: La claridad en la comunicación reduce la percepción de qué fabricantes o desarrolladores están tratando de ocultar algo o de complicar innecesariamente los términos.
- Reducción de conflictos: Términos y condiciones claros ayudan a prevenir malentendidos. Si los usuarios comprenden completamente lo que están aceptando, es menos probable que surjan conflictos legales y se reduce la necesidad de intervenciones legales.
“Cuando las nuevas funciones o características se explican de manera sencilla, los usuarios pueden adoptar y utilizarlas de manera más efectiva. Un entendimiento claro de cómo funcionan las nuevas características puede mejorar la experiencia del usuario y aumentar la satisfacción. La transparencia y la claridad en la comunicación contribuyen positivamente a la imagen de los fabricantes o desarrolladores. Para ambos casos, aquellas que se esfuerzan por ser claras y directas en su comunicación son vistas como más honestas y responsables en el tratado de los datos de sus usuarios.”, concluye Gutiérrez Amaya de ESET.