AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Protección de datos

Proton lanza Lumo: un asistente de IA centrado en la privacidad que evita el registro de conversaciones

admin

Introducción

Proton, la compañía suiza reconocida por su enfoque en la privacidad digital con servicios como Proton Mail y Proton VPN, ha anunciado el lanzamiento de Lumo, un asistente de inteligencia artificial que promete revolucionar la interacción con herramientas de IA al priorizar la protección de los datos de sus usuarios. En un contexto donde las soluciones basadas en IA generativa son cada vez más populares, pero suscitan serias dudas respecto a la privacidad y el tratamiento de la información sensible, Lumo pretende diferenciarse como una alternativa segura y transparente, especialmente atractiva para profesionales y organizaciones preocupadas por el cumplimiento normativo y la confidencialidad.

Contexto del Incidente o Vulnerabilidad

El auge de los asistentes de IA como ChatGPT, Gemini o Copilot ha traído consigo un incremento en la exposición de datos personales y empresariales. Diversos incidentes recientes han puesto de manifiesto que muchas plataformas de IA almacenan los historiales de conversación y los utilizan para el entrenamiento posterior de sus modelos, lo que puede derivar en fugas de información sensible y conflictos con regulaciones como el RGPD o la NIS2. En este entorno, la necesidad de herramientas que garanticen el control y la protección de los datos se ha convertido en una prioridad para los responsables de seguridad (CISOs), analistas SOC y consultores de cumplimiento normativo.

Detalles Técnicos

Lumo se presenta como un asistente de IA que, a diferencia de la mayoría de competidores, no registra ni almacena las conversaciones de los usuarios y asegura que los prompts no se emplean para reentrenar el modelo de lenguaje subyacente. Según la documentación técnica publicada por Proton, Lumo está basado en modelos de IA de terceros, pero opera bajo estrictos controles de privacidad, actuando como proxy cifrado entre el usuario y el backend de IA. Proton afirma que todas las solicitudes y respuestas se transmiten cifradas extremo a extremo, minimizando el riesgo de interceptación o acceso no autorizado.

Actualmente, Lumo se integra con servicios de Proton y está disponible a través de la web, con planes para su despliegue progresivo en aplicaciones móviles y de escritorio. Aunque la compañía no ha detallado el modelo de IA exacto empleado, se indica que no utiliza frameworks conocidos por almacenar datos, como OpenAI o Google Cloud AI, en modo estándar. No se han reportado CVEs relacionados, pero la arquitectura está diseñada para reducir vectores de ataque típicos asociados a IA conversational, como el prompt injection, data exfiltration y ataques de intermediarios (MITM).

En cuanto a TTPs (Tácticas, Técnicas y Procedimientos) de MITRE ATT&CK, Lumo mitiga riesgos asociados a técnicas como “Input Capture” (T1056) y “Data from Information Repositories” (T1213), gracias a su política de no retención. Además, los indicadores de compromiso (IoC) habituales, como logs de acceso no autorizados o movimientos laterales, se ven mitigados por la ausencia de almacenamiento persistente de datos sensibles.

Impacto y Riesgos

El principal riesgo mitigado por Lumo es la exposición involuntaria de información personal o corporativa en sistemas de terceros. Según Proton, el 0% de las conversaciones se almacena, lo que contrasta con el enfoque de la mayoría de los grandes proveedores de IA, donde al menos el 80% de los datos pueden ser conservados durante periodos variables para análisis o entrenamiento.

El impacto para las empresas es notable: se reduce la superficie de ataque ligada a la explotación de historiales de chat y se minimiza el riesgo de incumplimiento del RGPD, que puede acarrear multas de hasta el 4% de la facturación global anual. Asimismo, organizaciones sujetas a NIS2 encuentran en Lumo una solución alineada con los requisitos de protección de datos y reporte de incidentes.

Medidas de Mitigación y Recomendaciones

Para maximizar la seguridad al implementar asistentes de IA, se recomienda:

– Priorizar soluciones que no almacenen ni utilicen los prompts para entrenamiento de modelos.
– Verificar que las comunicaciones estén cifradas extremo a extremo, sin puntos de retención intermedios.
– Auditar regularmente el tráfico de red para detectar intentos de exfiltración o acceso no autorizado.
– Integrar herramientas de IA en entornos segregados y bajo control estricto, evitando su uso para información especialmente sensible.
– Revisar los acuerdos de procesamiento de datos y las políticas de privacidad de cualquier solución de IA adoptada.

Opinión de Expertos

Especialistas en ciberseguridad, como Marc Rivero (Kaspersky) y Yaiza Rubio (ElevenPaths), han destacado que la adopción de asistentes de IA requiere un análisis detallado de los flujos de datos y de las garantías ofrecidas por los proveedores. En palabras de Rivero, “la tendencia hacia la privacidad por diseño en IA es imprescindible para evitar incidentes críticos de fuga de datos y cumplir con las exigencias regulatorias europeas”. Rubio añade que “herramientas como Lumo pueden suponer un cambio de paradigma si realmente cumplen con la no retención y la transparencia operacional”.

Implicaciones para Empresas y Usuarios

Para los CISOs y responsables de cumplimiento, Lumo representa una opción viable que puede facilitar la incorporación de IA en procesos internos sin comprometer la confidencialidad. Dada la creciente presión regulatoria y la aparición de marcos como la AI Act de la UE, disponer de asistentes de IA que se alineen con los principios de minimización y protección de datos es fundamental. Además, para los usuarios avanzados y equipos SOC, la reducción de logs y artefactos persistentes disminuye el riesgo de explotación en caso de brechas.

Conclusiones

El lanzamiento de Lumo por parte de Proton marca un hito relevante en la evolución de los asistentes de IA, poniendo la privacidad y la seguridad en el centro del diseño. Si la herramienta mantiene su compromiso de no almacenamiento y no entrenamiento con datos de usuario, puede convertirse en el referente para organizaciones que buscan cumplir con la legislación y proteger sus activos críticos frente a las amenazas emergentes en el ámbito de la inteligencia artificial.

(Fuente: www.bleepingcomputer.com)