ChatGPT: estrategias y buenas prácticas
El uso de inteligencia artificial en entornos corporativos y personales ha crecido exponencialmente, pero con ello surgen preocupaciones sobre la seguridad de la información. ChatGPT, en sus diferentes versiones y modalidades de acceso, tiene distintas implicaciones en cuanto a privacidad y control de datos. En este artículo técnico vamos a detallar cómo garantizar la seguridad al utilizar ChatGPT, estableciendo buenas prácticas y algunos ejemplos aplicables.
Pero antes de empezar, es importante saber que la seguridad en ChatGPT depende en gran medida del tipo de cuenta utilizada. A continuación, describimos las diferentes modalidades de uso:
1. Free/Plus
- Free: Es el plan gratuito de ChatGPT. Las personas usuarias tienen acceso a una versión limitada del modelo con restricciones en velocidad de respuesta y disponibilidad en momentos de alta demanda.
- Plus: Es una suscripción de pago de $20 USD/mensual que permite acceso prioritario, respuestas más rápidas y el uso de modelos más avanzados, como GPT-4 en su versión limitada.
- Seguridad: De manera predeterminada, las conversaciones pueden ser utilizadas para mejorar el modelo, pero las personas usuarias pueden desactivar esta opción en «Controles de datos».
2. ChatGPT Teams
- Un plan diseñado para equipos de trabajo y empresas pequeñas/medianas que buscan mayor seguridad y colaboración.
- Incluye acceso a GPT-4 sin restricciones de uso y mayor control sobre la privacidad.
- Coste: Varía según el tamaño del equipo y las necesidades específicas. Aunque OpenAI no ha publicado tarifas específicas, está diseñado para pequeñas y medianas empresas que requieren más seguridad y colaboración. Dado que ChatGPT Plus cuesta $20 USD/mes por persona, ChatGPT Teams tiene un costo ligeramente superior en conjunto. Es decir, por ejemplo si una empresa con 10 empleados paga unos $30 USD por persona, el gasto mensual sería de $300 USD.
- Seguridad: Las conversaciones no se utilizan para entrenar modelos y la privacidad de los archivos es garantizada.
3. ChatGPT Enterprise
- Plan enfocado en grandes empresas con necesidades avanzadas de seguridad y personalización.
- Ofrece acceso a GPT-4 con mayor velocidad y sin restricciones de uso.
- Seguridad: Retención de datos personalizable, cifrado avanzado y cumplimiento con normativas como SOC 2 y GDPR.
- Coste: Este plan está dirigido a grandes empresas con altas exigencias de seguridad, personalización y cumplimiento normativo. Aunque los precios varían según el número de personas y necesidades específicas, podrían oscilar entre unos $50 y $100 USD por persona al mes. Por ejemplo una empresa con 500 personas empleadas podría gastar entre $25.000 y $50.000 USD mensuales.
- Permite integración con sistemas empresariales y administración de personas a gran escala.
4. API y agentes
- La API de OpenAI permite a desarrolladores y empresas integrar ChatGPT en sus propias aplicaciones, sitios web o flujos de trabajo automatizados.
- Seguridad: OpenAI no usa los datos enviados a la API para entrenar modelos, lo que brinda mayor protección a la información.
- Coste: Basado en el uso, medido en tokens. Por ejemplo, GPT-4o tiene un costo de $5 USD por millón de tokens de entrada y $15 USD por millón de tokens de salida.
- Los agentes (como asistentes virtuales) pueden utilizar la API para interactuar con personas y automatizar tareas.
5. Custom GPTs privados
- Son versiones personalizadas de ChatGPT que pueden configurarse para responder de manera específica a necesidades particulares.
- Solo el creador tiene acceso, lo que los hace ideales para uso interno en empresas o aplicaciones privadas.
- Coste: La creación de Custom GPTs no tiene un costo adicional, pero se requiere una suscripción activa (Plus, Teams o Enterprise) para acceder a esta funcionalidad.
- Seguridad: No están accesibles para otras personas y pueden configurarse con reglas estrictas de privacidad.
¿Cómo funciona la gestión de Custom GPTs privados?
- Cada Custom GPT es independiente: Se pueden configurar diferentes GPTs con instrucciones y archivos distintos según nuestras necesidades.
- Acceso privado: Si los configuramos como privados, solo nosotros podremos usarlos, sin que aparezcan en la galería pública.
- Edición y administración: Desde la sección «Mis GPTs», podemos ver, editar y eliminar los Custom GPTs que hayamos creado.
- Diferentes propósitos: Podemos crear Custom GPTs especializados, como por ejemplo atención al cliente, otro para generación de contenido interno y otro para análisis de datos, todo dentro de la misma cuenta.
En caso de usar ChatGPT Teams o Enterprise, también podemos compartir Custom GPTs con miembros de nuestro equipo, manteniendo control sobre su acceso y uso.
6. Custom GPTs públicos
- Versiones personalizadas de ChatGPT que cualquier persona puede encontrar y utilizar.
- Se pueden compartir a través de enlaces o aparecer en la galería pública de OpenAI.
- Seguridad: Depende de la configuración del creador. Si no se manejan correctamente, podrían exponer información confidencial a terceros.
Ahora que conocemos las diferentes modalidades, describiremos los niveles de privacidad y protección según cada una de ellas.:
| Plan | Entrenamiento con datos | Retención de datos (30 días) | Privacidad de archivos | Control interno | Certificaciones (SOC 2, GDPR) | Adecuado para datos sensibles |
|---|---|---|---|---|---|---|
| Free/Plus (por defecto) | Sí | Sí | No garantizada | Básico | No | No |
| Free/Plus (desmarcando «mejorar el modelo») | No | Sí | No garantizada, pero no lo hace | Básico | No | No |
| ChatGPT Teams | No | Sí | Garantizada | Moderado | Sí (moderado) | Moderado |
| ChatGPT Enterprise | No | Personalizable | Garantizada con cifrado | Avanzado | Sí (avanzado) | Sí (máximo) |
| API y agentes | No | Sí | Garantizada | Total | Sí | Sí |
| Custom GPTs privados | No | Sí | Garantizada | Total | Sí | Sí |
| Custom GPTs públicos | Depende del creador | Sí | Depende del creador | Parcial | Parcial | Parcial |
Recomendaciones claves según el tipo de cuenta
Free y plus:
- Desactivar la opción «mejorar el modelo» en usuario > controles de datos.
- No compartir información sensible en conversaciones.
Empresas pequeñas y medianas:
- Optar por ChatGPT Teams para mayor seguridad sin altos costos.
- Complementar con medidas internas de control de acceso.
Empresas grandes o con requisitos normativos estrictos:
- Usar ChatGPT Enterprise para un mayor control sobre la retención de datos y cumplimiento normativo.
- Implementar políticas internas de seguridad sobre el uso de inteligencia artificial.
Desarrolladores y equipos de TI:
- Usar la API de OpenAI para garantizar que los datos no sean utilizados para entrenamiento.
- Implementar autenticación y autorización en aplicaciones que integren ChatGPT.
Custom GPTs y sus riesgos de seguridad
Los custom GPTs permiten personalizar interacciones con la inteligencia artificial, pero presentan diferentes niveles de privacidad según su visibilidad:
- Privados: Solo accesibles para el creador. La opción más segura.
- Ocultos: No aparecen en búsquedas, pero pueden ser compartidos mediante enlace.
- Públicos: Cualquier persona puede acceder. Si contienen información confidencial mal configurada, terceros podrían extraer datos sensibles.
Ejemplo de riesgo en custom GPTs públicos:
Si una persona crea un custom GPT con documentos estratégicos pensando que solo él lo usará, pero lo deja en modo público, cualquier persona podría acceder y extraer información sin restricciones.
Medidas de seguridad para custom GPTs:
- Revisar siempre la configuración de visibilidad antes de compartir información.
- No subir archivos sensibles a GPTs públicos.
- Usar APIs en lugar de archivos adjuntos cuando sea posible.
Seguridad mejorada con APIs y agentes
El uso de APIs y agentes permite mayor control sobre los datos y minimiza riesgos:
- Las peticiones a la API no se utilizan para entrenar el modelo.
- Mayor control sobre la retención de datos y privacidad.
- Posibilidad de anonimizar información antes de enviarla.
Ejemplo de implementación segura con API:
Una empresa desarrolla una herramienta que anonimiza los nombres de las tablas en consultas SQL antes de enviarlas a ChatGPT y luego las restaura al recibir la respuesta, protegiendo así la información sensible.
Soluciones prácticas para empresas
- Definir políticas internas sobre el uso de ChatGPT.
- Capacitar a empleados sobre seguridad y privacidad en inteligencia artificial.
- Utilizar cuentas Teams o Enterprise para garantizar cumplimiento normativo.
- Desarrollar interfaces propias con la API para mayor seguridad.
- Monitorear el acceso y uso de la inteligencia artificial dentro de la organización.
Conclusión
La seguridad en ChatGPT es un aspecto crítico que depende tanto del tipo de cuenta utilizada como de las medidas de seguridad implementadas por las personas y empresas. Siguiendo buenas prácticas, el uso de inteligencia artificial puede ser seguro sin comprometer la privacidad ni el cumplimiento normativo. Priorizar la seguridad no solo protege los datos, sino también la reputación y confianza de una organización en su adopción de tecnologías basadas en inteligencia artificial.
