Este tipo de reuniones en línea involucra la presencia de ejecutivos superiores, gerentes y miembros de la dirección general. Es una cita clave en la vida de una empresa, que puede ser objeto de espionaje.
Por lo tanto, es esencial el uso de una solución de videoconferencia con tecnología de cifrado de extremo a extremo. Sin embargo, esta debe ofrecer un cifrado de cliente a cliente, es decir, sin ninguna fase de descifrado de los flujos de comunicación a nivel de los servidores. De esta manera, los intercambios de audio, video y datos permanecen inaccesibles para personas externas.
Opte por una “seguridad aumentada”
Además de esta tecnología de cifrado de extremo a extremo, Tixeo ofrece una funcionalidad de seguridad aumentada: durante una reunión en línea, los participantes pueden ingresar un código secreto, previamente elegido entre ellos, para entrar en un túnel de comunicación altamente seguro e invisible para cualquier otra persona.
Reuniones de auditoría o presupuestarias
Las videoconferencias que abordan información financiera, con participantes autorizados para realizar transacciones, son especialmente objetivo de ataques. Recientemente, el fraude al presidente mediante deep fake de video y audio en una videoconferencia, tuvo como objetivo a una empleada del servicio financiero de una multinacional de Hong Kong. El uso malicioso de la IA en este ataque la hizo perfectamente eficaz. Por lo tanto, todas las reuniones sobre contratos, previsiones presupuestarias, resultados financieros o auditorías deben beneficiarse de la máxima protección. El organizador debe controlar cuidadosamente el acceso de los participantes a su reunión en línea.
Controle el acceso de los participantes
Con Tixeo, después de conectarse al software a través de su cuenta de usuario segura, los participantes envían una solicitud de participación a la reunión y esperan en una sala de espera virtual. Paralelamente, el organizador verifica su solicitud y la aprueba o la rechaza. Puede entonces proceder a una verificación de identidad mediante una llamada telefónica y/o el intercambio de una frase secreta. Así, la verificación de identidad tiene lugar antes de la entrada del participante en la reunión, y no tardíamente durante el intercambio. Las discusiones estratégicas se preservan así de cualquier infiltración externa.
En este tipo de reuniones en línea circulan información sensible sobre tecnologías, innovaciones o incluso patentes técnicas. Dentro de sectores estratégicos como la industria o la energía, esta información constituye el potencial científico y técnico de la nación y debe protegerse eficazmente del espionaje. Único baluarte: una verdadera tecnología de cifrado de extremo a extremo y la elección de una solución de videoconferencia soberana.
Elegir una solución de videoconferencia soberana
Para evitar la fuga de información sensible, las empresas deben elegir una solución de videoconferencia segura pero sobre todo soberana. De hecho, la mayoría de las aplicaciones colaborativas alojan sus datos fuera del territorio europeo y están sujetas a leyes extraterritoriales flexibles en materia de protección de datos. Este es el caso del Cloud Act en los Estados Unidos: esta serie de leyes extraterritoriales permite a las autoridades estadounidenses obligar a los editores ubicados en territorio estadounidense a proporcionar datos relativos a las comunicaciones electrónicas, almacenados en servidores estadounidenses o extranjeros. Las comunicaciones empresariales relacionadas con la I+D deben, por lo tanto, llevarse a cabo absolutamente en un software de videoconferencia conforme con el RGPD, para evitar cualquier fuga de información.
Tixeo es además la única solución de videoconferencia segura que ha sido certificada y calificada por la ANSSI durante 6 años consecutivos.
Reuniones con colaboradores externos
Las reuniones en línea que involucran a proveedores, clientes o socios exponen información sensible (información contractual, datos de clientes, presupuestos…). La vigilancia es crucial en cuanto a la protección de las videoconferencias: la solución desplegada y utilizada por ambas partes debe ser absolutamente segura, para prevenir cualquier compromiso de datos.
Los ciberataques a subcontratistas o proveedores que trabajan con organizaciones estratégicas son frecuentes. De hecho, generalmente, estos intermediarios poseen información sensible, sin contar necesariamente con un nivel de ciberseguridad suficiente. Se convierten así en blancos ideales. Esta vigilancia concierne aún más a sectores como la Defensa y la Industria, que colaboran con numerosos socios.
En su panorama de la ciberamenaza 2023, la ANSSI indica haber tratado “la compromisión de equipos de red de un operador, llevada a cabo mediante un MOA [maestro de obra] vinculado a un actor estatal, con el probable objetivo de espionaje de telecomunicaciones“. La Agencia recuerda así que es necesario que “los operadores sean particularmente atentos a cesar la utilización de protocolos de administración débiles, mientras que sus clientes no pueden hacer la hipótesis de una seguridad por defecto y deben asegurarse del cifrado de extremo a extremo de sus comunicaciones transitando, incluso parcialmente, a través de protocolos no seguros“.
Reuniones de gestión de crisis
En caso de ciberataque, los equipos de IT y de gestión de crisis necesitan mantenerse en contacto, al igual que los colaboradores, para garantizar la continuidad de la actividad. Dentro de las administraciones públicas, la herramienta de comunicación de emergencia permite asegurar la continuidad del servicio público. Para ello, es necesaria una solución de videoconferencia segura que pueda funcionar fuera de las redes tradicionales.
La videoconferencia segura Tixeo en versión on-premise se despliega en un servidor dedicado de la empresa, sin impacto en la política de seguridad de la red general. En caso de crisis, Tixeo puede así funcionar sin conexión a internet, de forma aislada sobre la infraestructura de la empresa. Esto permite un uso interno únicamente: los equipos pueden así continuar sus intercambios en todas condiciones.
Además, elegir un software de videoconferencia seguro on-premise limita la dependencia tecnológica de la organización a proveedores externos. Esto mejora el control de su política de seguridad y refuerza su soberanía.
Otra precaución a tomar para asegurar las reuniones en línea
Conéctese a una red segura
Además de la seguridad del software de videoconferencia, la conexión a Internet utilizada para las reuniones en línea debe ser perfectamente segura para limitar los riesgos de robo de datos. El uso de una VPN robusta refuerza la protección de la conexión pero nunca constituye una barrera infranqueable para los ciberatacantes.
El espionaje industrial apunta a empresas sensibles en sectores como el energético o tecnológico, sobre un trasfondo de tensiones geopolíticas e inestabilidad económica. Algunas informaciones secretas de estas organizaciones son particularmente objetivadas.
Espionaje industrial: la mayor ciberamenaza
Definición del espionaje industrial
El espionaje industrial, o espionaje económico, se refiere a un conjunto de actividades de espionaje llevadas a cabo con fines económicos o comerciales. Implica una intrusión en las organizaciones por parte de individuos aislados, empresas o gobiernos. El objetivo: recopilar datos confidenciales para obtener diferentes ventajas, como las competitivas. Estos pueden emplear diferentes métodos de ciberespionaje, como el phishing o la ingeniería social, según el objetivo elegido. Además, las consecuencias financieras del espionaje industrial para las empresas son significativas y pueden incluso poner en peligro su actividad. También perturban la estabilidad económica de una nación.
Una alerta lanzada por la alianza de los Five Eyes
Sectores de tecnologías avanzadas fuertemente afectados
Los sectores más avanzados son predominantemente víctimas de espionaje industrial. Es el caso de las empresas de inteligencia artificial, de computación cuántica o de biotecnología. Los ataques de espionaje industrial afectan a las organizaciones de defensa y energía, pero también fuertemente a su cadena de suministro. Pero, ¿cuáles son las informaciones objetivo?
Los tipos de información objetivo del espionaje industrial
Las informaciones técnicas y tecnológicas
Las informaciones relacionadas con el diseño técnico de productos o el desarrollo de tecnología representan una ventaja competitiva. Así, en el sector informático, los algoritmos de aprendizaje automático o los esquemas de diseño de chips electrónicos son codiciados. En el sector energético, los procesos de producción de energía renovable o las técnicas de producción de baterías avanzadas son un tesoro para los espías. En el sector de defensa y aeronáutica, el espionaje industrial puede apuntar a los planos de sistemas de armamento avanzado o sistemas de navegación y comunicación para vehículos espaciales. En estos casos, más que una simple pérdida financiera, el espionaje industrial perturba la seguridad de la defensa nacional.
Las estrategias empresariales detallan el conjunto de ejes de innovación, desarrollo y financiación de las organizaciones. Así, en el sector financiero, los detalles sobre los planes de fusión y adquisición o los modelos propietarios de análisis de inversiones son altamente sensibles. Su pérdida puede perjudicar la competitividad de las empresas. En el sector farmacéutico, los datos sobre ensayos clínicos o procesos de fabricación también enfrentan riesgos de espionaje.
Ejemplo de espionaje de información estratégica
En 2023, dentro de la empresa NVIDIA, un desarrollador de software está sospechoso de haber revelado información secreta relacionada con el código fuente de un software de asistencia al estacionamiento, recuperada de su antiguo empleador, Valeo. Este último asegura que esos datos habrían beneficiado al desarrollo de NVIDIA.
La información sobre el personal y los talentos
De hecho, el espionaje industrial también pasa por la detección de personas clave, capaces de aportar información sensible. Algunos fichajes en organizaciones son estratégicos y tienen como objetivo dañar el buen funcionamiento de la empresa, intentando recuperar sus conocimientos. En un momento en que la competencia económica es cada vez más fuerte, la fuga de habilidades afecta a la permanencia de una empresa.
¿Cómo proteger su información del espionaje industrial?
La información altamente sensible, que no debe ser ampliamente comunicada, generalmente lleva una mención de protección “difusión restringida“. Incluso a veces están clasificadas como secreto de la defensa nacional.
Sin embargo, además de medidas jurídicas y técnicas, los colaboradores tienen la responsabilidad de adoptar buenas prácticas de ciberseguridad para limitar los riesgos de fuga de información.
Velar por la confidencialidad de los intercambios
Los intercambios entre colaboradores, incluso anodinos, pueden constituir datos clave para los espías. Para intercambiar información sensible en reunión, los colaboradores se aseguran de cerrar bien la puerta de la sala. Sin embargo, a distancia, los colaboradores utilizan la videoconferencia, incluso para reuniones sensibles. Entonces se vuelve más difícil asegurarse de que todas las puertas estén bien cerradas y que ninguna persona ajena a la empresa pueda escuchar los intercambios. Solo una videoconferencia cifrada de extremo a extremo, de cliente a cliente, conforme al RGPD, garantiza la total confidencialidad de los intercambios.
Las organizaciones deben prever una serie de medidas de defensa en caso de infiltración. Estas pueden formar parte de un plan de gestión de crisis o de continuidad de actividad. En este contexto, se recomienda el uso de una solución de visiocolaboración altamente segura. Ella toma el relevo de la herramienta de comunicación principal comprometida y asegura así la reanudación de la actividad lo más rápido posible, al mismo tiempo que facilita el trabajo de los equipos de gestión de crisis.
La captura de información relacionada con la actividad científica y tecnológica de una nación compromete su estabilidad y competitividad. Mencionado durante la última cumbre de los Cinco Ojos, la protección del potencial científico y técnico de las naciones requiere medidas de ciberseguridad máximas.
Desde 2011, Francia ha implementado la Protección del Potencial Científico y Técnico (PPST). Este dispositivo regulatorio de seguridad, de nivel interministerial, dirigido por el Secretariado General de la Defensa y de la Seguridad Nacional (SGDSN), está distribuido en 6 ministerios diferentes:
Ministerio de Agricultura
Ministerio de Defensa
Ministerio de Desarrollo Sostenible
Ministerio de Economía y Finanzas
Ministerio de Salud
y Ministerio de Educación Superior, Investigación e Innovación
Su objetivo es prevenir cualquier fuga o intento de captura de esta información sensible, gracias especialmente a la creación de zonas de régimen restrictivo (ZRR). En estas, lugares de investigación o de producción, por ejemplo, de gran interés para la nación, se opera un control estricto de los accesos físicos o virtuales a la información sensible. El PPST complementa otros sistemas de seguridad como el de la protección de los Organismos de Importancia Vital (OIV) o del secreto de la defensa nacional.
¿Cuáles son los riesgos en caso de exposición de esta información sensible?
En caso de captura, esta información relativa al potencial técnico y científico de la nación puede ser desviada para fines de desestabilización o criminales. Los riesgos se clasifican en 4 categorías:
Daño a los intereses económicos de la nación
Desarrollo de arsenales militares
Proliferación de armas de destrucción masiva
Terrorismo
Sectores concernidos
Diferentes sectores científicos y técnicos están, por lo tanto, concernidos por el PPST:
la biología,
la medicina,
la salud,
la química,
las matemáticas,
la física,
las ciencias agronómicas y ecológicas,
las ciencias de la tierra, del universo y del espacio,
las ciencias y tecnologías de la información y la comunicación
las ciencias de la ingeniería…
Así, laboratorios de investigación, empresas y universidades deben ser protegidos de los riesgos de interceptación de datos.
Proteger el potencial científico y técnico del ciberespionaje
El acceso a las ZRR puede ser físico pero también virtual. Por lo tanto, la seguridad de los sistemas de información constituye un desafío mayor para proteger el potencial científico y técnico del ciberespionaje.
Asegurar los sistemas de información de régimen restrictivo (SIRR)
Un sistema de información de régimen restrictivo (SIRR) hace transitar información de régimen restrictivo (IRR), es decir, sensible y cuya divulgación presentaría uno o varios de los riesgos mencionados anteriormente. Su acceso constituye, por lo tanto, un acceso virtual a una zona RR. Cabe destacar que los SIRR están sujetos a la instrucción interministerial n.º 901 sobre la protección del secreto y de la defensa nacional.
En la guía de protección digital del potencial científico y técnico de la nación publicada por la ANSSI figura una lista de medidas de seguridad a implementar por las organizaciones que disponen de un SIRR. Entre ellas, el despliegue de una política de seguridad de los sistemas de información (PSSI), enumerando el conjunto de buenas prácticas y procedimientos en materia de seguridad informática a respetar por los colaboradores y otras partes interesadas.
En efecto, el SIRR engloba todo tipo de soportes y equipos electrónicos como ordenadores portátiles, USB o servidores y supone, por lo tanto, paralelamente una sensibilización a la ciberseguridad de los usuarios.
Ejemplos de medidas de seguridad a implementar:
cifrado de comunicaciones
cifrado de discos duros de los puestos de trabajo
control de acceso
Velar por la seguridad de los puestos de trabajo
Los puestos de trabajo contienen cierta cantidad de información sensible que debe ser protegida. La ANSSI, a través de su guía, recuerda la importancia de eliminar la totalidad de los datos presentes en un puesto de trabajo antes de una reasignación de material. De la misma manera, es esencial eliminar los derechos de acceso a los sistemas de información tan pronto como termine el período de empleo de un usuario.
Utilizar una tecnología de cifrado de extremo a extremo de las comunicaciones
Las herramientas de comunicación desplegadas en las empresas, especialmente en establecimientos en zona RR, deben responder a un nivel de seguridad máxima. Primero, la solución utilizada debe ser Secure by design y respetar así un cierto número de criterios de seguridad, desde su concepción hasta su despliegue en la organización. Así, su impacto en la seguridad de la red de la empresa será notablemente disminuido o nulo. Por otro lado, las comunicaciones intercambiadas en mensajerías en línea o en videoconferencia son objetivo de espionaje informático e industrial. Solo una tecnología de cifrado de extremo a extremo de los flujos de comunicaciones audio, video y data puede evitar la recuperación de sus datos.
Mostrar la mayor reactividad en caso de ataque
En caso de crisis ciber, una solución de comunicación segura y de emergencia es igualmente indispensable para asegurar la continuidad de actividad del establecimiento. Debe permitir a los colaboradores continuar sus intercambios gracias a un canal de comunicación “out of band”, es decir, diferente al utilizado habitualmente.
El software de videoconferencia seguro Tixeo responde a esta necesidad. Gracias a su tecnología de cifrado de extremo a extremo soberana y su despliegue altamente seguro en versión on-premise, permite acompañar a los establecimientos en su gestión de crisis y su ciberresiliencia.
Primer cumbre de los Cinco Ojos sobre el tema en 2023
El 16 y 17 de octubre de 2023 tuvo lugar por primera vez una cumbre de los Cinco Ojos sobre la temática de la protección del potencial científico y técnico de la nación. Durante esta cumbre, los 5 países de la coalición (Estados Unidos, Reino Unido, Canadá, Australia, Nueva Zelanda) alertaron sobre las amenazas que pesan sobre la innovación y la investigación. Más específicamente, es el gobierno chino el que fue señalado como el principal peligro para la innovación y los intereses de las naciones. “El gobierno chino está comprometido en el robo de propiedad intelectual y la adquisición de experiencia más sostenida y sofisticada, que no tiene precedente en la historia de la humanidad”, declaró Mike Burgess, director general de los servicios de inteligencia australianos.
Las operaciones de espionaje industrial, de origen chino, de hecho, conocen un aumento sin precedentes. “Los sectores de la inteligencia artificial, la informática cuántica y la biología sintética están particularmente en el punto de mira en este momento, según los altos funcionarios.” Un recrudecimiento del ciberespionaje de origen estatal que no ahorra tampoco a los países europeos. El documento Cinco principios para asegurar la investigación y la innovación fue publicado al término de la cumbre y presenta varias recomendaciones para maximizar la protección del potencial científico y técnico. Entre ellas: el conocimiento y gestión de los riesgos ciber, la protección del entorno de trabajo, la sensibilización de los colaboradores o la seguridad de las asociaciones, proveedores y prestadores de servicios.
Seguir la actividad de un empleado a distancia es lo que permite el “bossware”. El uso de estos softwares espía es más común de lo que se piensa, especialmente desde el advenimiento del teletrabajo y la IA. ¿Cómo detectarlos y cuáles son sus riesgos?
¿Qué es el bossware?
El “bossware” es el término utilizado para designar un software destinado a supervisar a los empleados. Instalado en el puesto de trabajo, recopila la mayor cantidad de datos posible sobre la actividad del trabajador, con el fin de obtener una visión general de su productividad. Este software espía puede registrar todas las actividades en línea, las pulsaciones en el teclado, los movimientos del ratón e incluso, en algunos casos, realizar capturas de pantalla aleatorias y grabar audio o video.
Ampliamente utilizado desde la generalización del teletrabajo en 2020, permite a los líderes mantener un ojo en sus colaboradores a distancia. Hoy en día, con el desarrollo de la inteligencia artificial, la vigilancia puede ir más allá. Así, algunos softwares “bossware” como Veriato tienen la capacidad de analizar los datos del trabajador para asignarle un “puntaje de riesgo” para la seguridad de la empresa. Otros pueden enviar alertas si el trabajador no parece tener un comportamiento apropiado para su puesto.
Un software espía no siempre detectable
El “bossware” puede desplegarse de manera visible o silenciosa. En vigilancia visible, el trabajador es consciente de que su actividad está siendo monitoreada. En algunas configuraciones, incluso puede actuar sobre el software, pausándolo por ejemplo. En cambio, en vigilancia silenciosa, el empleado no es consciente de ser “espiado”. El software podría haber sido instalado en su puesto sin su consentimiento y a distancia.
Autorizado en Estados Unidos: ¿y en Europa?
En Estados Unidos, un empleador puede fácilmente obligar a un empleado a instalar este tipo de software en su puesto. Sin embargo, hoy en día, las leyes tienden a limitar su uso al exigir a las empresas ser transparentes.
El RGPD también protege a los empleados
En Europa, la vigilancia de los empleados no está claramente legislada. No obstante, el Reglamento General de Protección de Datos Personales (RGPD) puede servir de referencia en este tema. De hecho, este reglamento define las condiciones de recopilación, uso y transferencia de datos personales y regula las operaciones de procesamiento de datos, incluidas las relacionadas con el seguimiento de empleados. De esta manera, el consentimiento del empleado respecto al tratamiento de sus datos es absolutamente requerido. Sin embargo, como explica el informe europeo “Employee monitoring and surveillance: The challenges of digitalisation“, “corresponde a cada Estado miembro [de la UE] establecer disposiciones específicas en materia de protección de datos“.
Controvertido pero aún utilizado
En Francia, el “bossware” es muy controvertido pero, a pesar de todo, muy utilizado. Según un estudio realizado por Vanson Bourne para VMware, “el 63 % de las empresas francesas de más de 500 empleados han implementado herramientas de vigilancia“. No obstante, la Comisión Nacional de Informática y Libertades (Cnil) alerta regularmente sobre el uso de este software. Recuerda que esta vigilancia no debe “violar el respeto a los derechos y libertades de los empleados“. Antes de implementar una herramienta de vigilancia, los empleados deben ser informados. La vigilancia en el trabajo es de hecho una de las principales razones de queja ante la Cnil.
Pero el país europeo campeón en vigilancia de empleados sería España. Puesto que, según el mismo informe, “el 40 % de las empresas españolas han instalado softwares espías” contra el 15% en Alemania y el 26% en el Reino Unido.
Las diferentes formas de detectar un “bossware”
Según TechTarget, algunas verificaciones permiten detectar el uso de un “bossware”.
Verificar el administrador de tareas
Si un software no reconocido, cuyo nombre contiene cierta cantidad de números y letras aleatorias, se ejecuta en segundo plano, podría ser un “bossware”. Cabe destacar que muchos softwares espías no son detectables en el administrador de tareas. H3 Descargar un antispyware En caso de sospecha, un software anti-espía puede ser útil. Este escaneará el dispositivo y podrá identificar el “bossware” como software malicioso. H3 Vigilar el tráfico de Internet saliente Algunos softwares de monitoreo de tráfico de Internet pueden detectar un tráfico inusual y así confirmar sospechas.
¿Cuáles son los riesgos asociados con el uso de bossware?
Impactos en la productividad y el bienestar de los empleados
La implementación de herramientas de vigilancia de empleados demuestra una falta de confianza flagrante de la dirección hacia sus colaboradores que trabajan a distancia. Sin embargo, esta confianza mutua es indispensable para fomentar el compromiso de los empleados con la empresa y fidelizarlos. La vigilancia, cuando es visible, hace sentir una presión constante a los empleados, presión que puede llevarlos al agotamiento y al burn-out. Mientras desea controlar y actuar sobre su productividad, la Dirección perjudicaría así el bienestar de sus equipos.
Robos de datos y violación de la privacidad
En Francia, el empleado tiene derechos respecto al tratamiento de sus datos, especialmente con el RGPD. Debe ser consciente de ello y no dudar en alertar a sus representantes en caso de dudas sobre un software espía en su empresa. De hecho, el uso de “bossware” implica un tratamiento masivo de contenidos y datos personales que perjudican el respeto a la privacidad del empleado. Si estos softwares no están perfectamente seguros, pueden ser objeto de ciberataques. De este modo, los datos, que conciernen tanto al empleado como a la empresa, pueden caer en manos de personas malintencionadas. Los empleadores deben proteger los datos del empleado, ya sean recopilados con fines de reclutamiento, seguridad o seguimiento de la actividad.
Conclusión:contra el bossware, favorecer la confianza y la comunicación
En conclusión, los softwares “bossware” se han utilizado mucho desde la crisis sanitaria y tienden a desarrollarse con la inteligencia artificial. Sin embargo, sus efectos a veces son nocivos para el bienestar de los empleados y perjudican el rendimiento de los equipos.
Finalmente, los riesgos de seguridad del “bossware” son reales y pueden resultar en una pérdida de datos y repercusiones financieras.
Los empleados deben permanecer conscientes de sus derechos relativos a la protección de su privacidad y de sus datos personales y no dudar en acercarse a sus representantes en caso de dudas sobre el uso de un bossware.
La inteligencia artificial progresa de manera exponencial en todos los campos y llega incluso al gran público. En las empresas, los empleados la utilizan incluso durante sus reuniones en línea. ¿Cuáles son los desafíos de la IA en términos de seguridad en las videoconferencias?
La inteligencia artificial se invita a tus reuniones en línea
Asistentes virtuales que comunican en tu lugar
Algunos proveedores de videoconferencias ofrecen hoy funciones de asistente virtual, basadas en inteligencia artificial generativa. Integrado en la solución, el asistente virtual puede transcribir, traducir, subtitular los intercambios de una reunión en línea o incluso hacer resúmenes textuales sintéticos.
¿El objetivo? Mejorar la productividad de los usuarios facilitándoles ciertas tareas, como las actas de reuniones, por ejemplo. El colaborador puede concentrarse más en el contenido de los intercambios mientras la IA realiza su trabajo de sintetizar las comunicaciones.
¿Cómo funciona?
El “modelo de lenguaje amplio” se utiliza generalmente para mejorar las videoconferencias con un asistente virtual. Este modelo de inteligencia artificial, bien conocido por el gran público con Chat GPT, permite comprender y generar texto de manera contextual y fluida. Así, se utiliza para transcribir textualmente intercambios en videoconferencias o crear respuestas automáticas. Su entrenamiento se basa en una amplia variedad de datos, lo que le permite comprender y producir lenguaje humano de manera muy precisa. Cuanto más datos procese este modelo, más eficiente será y ofrecerá nuevas respuestas.
La promesa de rendimiento plantea preguntas
En el contexto de una empresa, los datos intercambiados durante las videoconferencias pueden estar relacionados con la propiedad intelectual o contener datos personales de empleados. Cuando estos datos pasan por un asistente virtual, surge la cuestión de la confidencialidad.
En agosto pasado, el proveedor de videoconferencias estadounidense Zoom estuvo en el centro de una polémica. La razón fue una mención en sus términos de uso interpretada como una autorización tácita de usar los contenidos intercambiados durante las reuniones en línea para entrenar su herramienta de IA. Este caso fue rápidamente cerrado por el propio proveedor, que afirmó respetar la integridad de los datos. Sin embargo, las reacciones demostraron la aguda vigilancia de los usuarios en cuanto a la protección de su privacidad. La polémica también abrió el debate sobre la seguridad y la confidencialidad de las comunicaciones tratadas por la IA.
Los datos sensibles pueden estar expuestos
Posibilidades de ataques
Un informe publicado por Cyberhaven en febrero de 2023 indica que los datos sensibles representan el 11 % de lo que los empleados ingresan en ChatGPT. Sin embargo, los empleados tienen pocas garantías (si es que tienen alguna) sobre la protección de los datos que proporcionan a la IA. De hecho, ya en 2021, investigadores habían advertido sobre los “ataques de extracción de datos de entrenamiento“. En otras palabras, observaron la posibilidad de recuperar elementos textuales compartidos con Chat GPT-2 interrogando al sistema sobre elementos específicos que había aprendido anteriormente. Estas técnicas también podrían revelar información personal. En el contexto de las videoconferencias que integran IA generativa, se comparten datos como la recurrencia, los participantes o el tema de una reunión. A través de una serie de interrogaciones contextuales, individuos podrían intentar recuperar esta información del sistema de IA.
Algunos empleados preocupados por sus datos personales
El estudio Perspectivas del empleo de la OCDE proporciona cada año una evaluación de las principales evoluciones de los mercados laborales en los países miembros de la Unión Europea. En su edición 2023, la OCDE realiza un enfoque en el impacto de la inteligencia artificial para los empleados. Se aprende que el 57% de los empleados europeos en los sectores financiero y manufacturero están preocupados por la protección de su privacidad en la era de la IA.
Y con razón, “el volumen de datos personales procesados por los sistemas de IA es a menudo superior al de los datos recopilados por los humanos o por otras tecnologías”, indica también el análisis. Así, durante videoconferencias sensibles, como reuniones de dirección o comités ejecutivos, se pueden recopilar ciertos datos confidenciales. Esto con el objetivo de generar resúmenes, por ejemplo. Pero, ¿cómo asegurarse de que están bien protegidos y no serán reutilizados? Si la inteligencia artificial generativa aprende de los datos que se le proporcionan, ¿es posible que pueda reutilizarlos cuando ofrezca respuestas a otros usuarios?
Vías para asegurar más las comunicaciones con IA
Como destaca la OCDE, dentro de la UE, el Reglamento General de Protección de Datos (RGPD) garantiza la protección de los datos personales e impone obligaciones a las entidades que los procesan. Con la IA, los derechos para la recopilación y el tratamiento de datos se aplican en dimensiones particulares. El sistema debe garantizar la transparencia y el acceso a la información, la corrección, la supresión y la limitación del procesamiento.
En algunos países, proyectos de ley buscan obligar a informar a las personas que interactúan con la inteligencia artificial o a ser más transparentes sobre cómo esta produce datos.
Dentro de la UE, el AI Act surgió en 2021 como la primera regulación en materia de inteligencia artificial. Así, especifica que “iniciativas como la estrategia de ciberseguridad de la UE, la legislación sobre servicios digitales y la legislación sobre mercados digitales, así como la ley sobre gobernanza de datos, proporcionan la infraestructura adecuada para la implementación de tales sistemas“. También se han establecido niveles de riesgo para ajustar las medidas de seguridad a implementar.
La soberanía digital y europea: otro desafío importante
Para las soluciones de videoconferencia que incorporan IA generativa, la vigilancia es crucial. Primero, un alto nivel de seguridad de estas soluciones es indispensable para preservar la confidencialidad de los datos intercambiados. La videoconferencia y sus mecanismos de IA deben estar sujetos a regulaciones estrictas en materia de protección de datos, como el RGPD. Este desafío de soberanía es objeto de discusiones dentro del reciente comité interministerial francés sobre IA generativa. Este comité planea así desarrollar “una cadena de desarrollo soberana de modelos de IA“.
Finalmente, los proveedores de soluciones de videoconferencias deben ser transparentes y ofrecer garantías claras a los usuarios sobre el uso de sus datos. Cabe señalar que cuando estas soluciones no incluyen un verdadero sistema de cifrado de extremo a extremo, la protección de las comunicaciones que transmiten nunca está asegurada.
Tixeo utiliza cookies para ofrecer la mejor experiencia de usuario posible. Tixeo no utiliza cookies publicitarias. Para más información, Tixeo os invita a leer nuestra política de privacidad.
Idioma hablado (Cookie estrictamente necesaria)
El sitio web Tixeo utiliza una cookie que permite al usuario elegir el idioma del sitio y mantener su elección. Se trata de una cookie estrictamente funcional.
Si desactiva esta cookie, no podremos guardar sus preferencias. Esto significa que cada vez que visite este sitio tendrá que activar o desactivar las cookies de nuevo.
Estadísticas
Esta web utiliza Google Analytics para recopilar información anónima tal como el número de visitantes del sitio, o las páginas más populares.
Dejar esta cookie activa nos permite mejorar nuestra web.
Por favor, active primero las cookies estrictamente necesarias para que podamos guardar sus preferencias.
