AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Protección de datos

OpenAI refuerza la privacidad en ChatGPT: chats temporales ahora permiten personalización sin afectar el historial

admin

Introducción

En el competitivo ámbito de la inteligencia artificial generativa, la privacidad y la personalización se han convertido en factores críticos. OpenAI ha anunciado una mejora significativa en la funcionalidad de ChatGPT, centrada en su modalidad de chat temporal. Este avance permitirá a los usuarios mantener la personalización de sus conversaciones incluso cuando utilicen chats temporales, sin que estas interacciones influyan en el historial ni en el ajuste fino (fine-tuning) asociado a su cuenta principal. La actualización responde a las crecientes demandas de privacidad y control por parte de empresas y profesionales de la ciberseguridad, que requieren asegurar la confidencialidad de la información sensible en entornos de prueba o proyectos confidenciales.

Contexto del Incidente o Vulnerabilidad

Hasta ahora, la función de chat temporal de ChatGPT permitía a los usuarios iniciar sesiones que no se almacenaban en el historial de la cuenta ni se usaban para mejorar el modelo subyacente. Sin embargo, esta funcionalidad presentaba una limitación relevante: al optar por la privacidad, los usuarios perdían toda personalización previa, lo que resultaba en una experiencia genérica, carente de contexto adaptado a las necesidades individuales o corporativas.

La falta de personalización en los chats temporales suponía una barrera para departamentos de seguridad, consultores y administradores que precisan mantener la eficiencia y la adaptabilidad de la IA sin comprometer la privacidad de los datos procesados, tal y como exige el Reglamento General de Protección de Datos (GDPR) en Europa y la futura Directiva NIS2.

Detalles Técnicos

La actualización anunciada por OpenAI introduce una arquitectura que desacopla la personalización de la cuenta del sistema de almacenamiento y entrenamiento de datos. Gracias a esta modificación, los usuarios podrán activar la personalización en chats temporales, permitiendo que el modelo adapte respuestas y recomendaciones basadas en preferencias o configuraciones previas, sin que estas sesiones influyan en el historial ni sean utilizadas para el entrenamiento posterior del modelo (lo que evitaría el ajuste fino no deseado).

A nivel técnico, la arquitectura actualizada emplea un sistema de scopes de sesión aislados, donde los tokens de personalización se aplican únicamente en la instancia temporal, sin persistencia ni en la base de datos de usuario ni en los logs de entrenamiento. Además, OpenAI afirma haber reforzado el aislamiento mediante técnicas de sandboxing y control granular de acceso a recursos internos.

Aunque no se han publicado CVEs asociados a esta actualización, es fundamental entender que los vectores de ataque tradicionales relacionados con el almacenamiento de prompts y respuestas quedan mitigados al no persistir la información en la cuenta del usuario ni en los registros accesibles para el equipo de entrenamiento de OpenAI, reduciendo así la superficie de exposición a fugas, ataques de ingeniería social o explotación mediante frameworks como Metasploit.

Impacto y Riesgos

El impacto de esta actualización es significativo tanto para el sector empresarial como para los entornos de alto riesgo. Según estimaciones internas de OpenAI, más del 30% de las interacciones empresariales con ChatGPT requieren actualmente mecanismos de protección transitoria de datos. La nueva funcionalidad reduce el riesgo de filtrado de información sensible y minimiza la posibilidad de que datos confidenciales sean utilizados para el entrenamiento posterior del modelo, lo que podría haber expuesto a las organizaciones a brechas de cumplimiento normativo y a sanciones económicas, que según el GDPR pueden alcanzar hasta el 4% de la facturación anual global de la empresa infractora.

Sin embargo, persisten riesgos residuales. Si bien la conversación no se almacena ni se utiliza para el entrenamiento, sigue siendo necesario garantizar la seguridad en tránsito (TLS/SSL) y la protección frente a ataques de intermediario (MITM), así como la validación de que la instancia de chat temporal no deja trazas en dispositivos locales o en cachés de navegador.

Medidas de Mitigación y Recomendaciones

Para los responsables de ciberseguridad y administradores de sistemas, se recomienda:

– Validar la configuración de privacidad a nivel de usuario y cuenta, asegurando el uso exclusivo de chats temporales para operaciones sensibles.
– Utilizar controles de red adicionales, como proxies de inspección TLS y segmentación de tráfico, para reducir la exposición en tránsito.
– Instruir a los usuarios sobre la eliminación de datos residuales y la importancia de cerrar sesiones tras el uso de chats temporales.
– Realizar revisiones periódicas de logs y registros de acceso para detectar posibles anomalías asociadas a la función de chat temporal.
– Mantenerse actualizado respecto a la política de retención de datos y los cambios introducidos por OpenAI en sus términos de servicio y compliance.

Opinión de Expertos

Según Marta Rodríguez, CISO en una entidad financiera líder en España, “esta actualización supone un avance relevante para las organizaciones que requieren un equilibrio entre la eficiencia de la IA y el cumplimiento de la normativa de privacidad. No obstante, es fundamental realizar auditorías periódicas sobre el uso de estas funcionalidades y exigir transparencia en el manejo de los datos temporales por parte de los proveedores de IA”.

Por su parte, David Morales, analista de amenazas en un SOC nacional, subraya: “El desacoplamiento entre personalización e historial es una medida robusta, pero la verdadera seguridad depende de la supervisión constante y del entrenamiento de los usuarios para evitar la exposición involuntaria de información sensible”.

Implicaciones para Empresas y Usuarios

Para las empresas, especialmente aquellas sujetas a regulaciones estrictas como GDPR, NIS2 o sectores críticos (banca, salud, infraestructura), la nueva funcionalidad permite aprovechar las ventajas de la IA generativa sin sacrificar la privacidad. Los CISOs y responsables de TI pueden ahora definir políticas más granulares sobre el uso de ChatGPT, permitiendo a los equipos trabajar con información adaptada y relevante sin riesgo de persistencia o fuga de datos.

A nivel de mercado, esta actualización posiciona a OpenAI como un actor más alineado con las exigencias de privacidad y seguridad, diferenciándose de competidores que aún no ofrecen un control tan granular sobre la personalización y la retención de datos.

Conclusiones

La mejora de los chats temporales en ChatGPT representa un paso adelante en la convergencia entre personalización y privacidad en inteligencia artificial. Para los profesionales de la ciberseguridad, la actualización proporciona nuevas herramientas para proteger la información sensible sin sacrificar eficiencia ni adaptabilidad. Sin embargo, la vigilancia continua y la formación de usuarios seguirán siendo claves para evitar brechas derivadas del factor humano o de futuras actualizaciones que modifiquen el alcance de la protección actual.

(Fuente: www.bleepingcomputer.com)