wmtech logo

El Debate sobre la IA: Las Directrices de Google, la Disputa de Meta con el GDPR y la Reacción Negativa al Retiro de Microsoft

Luis Quiles
Luis Quiles
ia
Privacidad, Inteligencia artificial

Google está instando a los desarrolladores de aplicaciones de Android de terceros a incorporar características de inteligencia artificial generativa (GenAI) de manera responsable.

Las nuevas directrices del gigante de búsqueda y publicidad son un esfuerzo por combatir contenido problemático, incluidos el contenido sexual y los discursos de odio, creados a través de tales herramientas.

Para ello, las aplicaciones que generen contenido utilizando IA deben asegurarse de no crear Contenido Restringido, tener un mecanismo para que los usuarios reporten o marquen información ofensiva, y comercializarlas de manera que representen con precisión las capacidades de la aplicación. También se recomienda a los desarrolladores de aplicaciones probar rigurosamente sus modelos de IA para garantizar que respeten la seguridad y la privacidad del usuario.

«Asegúrate de probar tus aplicaciones en varios escenarios de usuario y protéjalas contra indicaciones que puedan manipular tu característica de IA generativa para crear contenido dañino u ofensivo», dijo Prabhat Sharma, director de confianza y seguridad de Google Play, Android y Chrome.

El desarrollo se produce tras una reciente investigación de 404 Media que encontró varias aplicaciones en la Apple App Store y Google Play Store que anunciaban la capacidad de crear imágenes desnudas no consensuadas.

El uso de datos públicos por parte de Meta para la IA genera preocupaciones

La rápida adopción de tecnologías de inteligencia artificial en los últimos años también ha generado preocupaciones más amplias sobre la privacidad y la seguridad relacionadas con los datos de entrenamiento y la seguridad del modelo, brindando a actores malintencionados una forma de extraer información sensible y manipular los modelos subyacentes para obtener resultados inesperados.

Entiendo. La decisión de Meta de utilizar información pública disponible en todos sus productos y servicios para ayudar a mejorar sus ofertas de IA y tener la «mejor tecnología de recomendación del mundo» ha llevado al grupo de privacidad austriaco noyb a presentar una queja en 11 países europeos, alegando violación de las leyes de privacidad del GDPR en la región.

«Esta información incluye cosas como publicaciones públicas o fotos públicas y sus subtítulos», anunció la empresa a finales del mes pasado. «En el futuro, también podemos utilizar la información que las personas comparten al interactuar con nuestras características de IA generativa, como Meta AI, o con un negocio, para desarrollar y mejorar nuestros productos de IA».

Específicamente, noyb ha acusado a Meta de trasladar la carga a los usuarios (es decir, hacer que sea una opción de exclusión en lugar de una de inclusión) y de no proporcionar información adecuada sobre cómo la empresa planea utilizar los datos del cliente.

Meta, por su parte, ha señalado que «se basará en la base legal de ‘Intereses Legítimos’ para procesar ciertos datos de primera y tercera parte en la Región Europea y el Reino Unido» para mejorar la IA y construir mejores experiencias. Los usuarios de la UE tienen hasta el 26 de junio para optar por no participar en el procesamiento, lo que pueden hacer mediante una solicitud.

Aunque el gigante de las redes sociales ha destacado que el enfoque está alineado con la forma en que otras empresas de tecnología están desarrollando y mejorando sus experiencias de IA en Europa, la autoridad noruega de protección de datos Datatilsynet dijo que tiene «dudas» sobre la legalidad del proceso.

«En nuestra opinión, lo más natural habría sido pedir el consentimiento de los usuarios antes de que se utilicen sus publicaciones y fotos de esta manera», dijo la agencia en un comunicado.

«El Tribunal de Justicia de la Unión Europea ya dejó claro que Meta no tiene ningún ‘interés legítimo’ para anular el derecho de los usuarios a la protección de datos cuando se trata de publicidad», dijo Max Schrems de noyb. «Sin embargo, la empresa está tratando de utilizar los mismos argumentos para el entrenamiento de una ‘tecnología de IA’ indefinida».

La retirada de Microsoft enfrenta un mayor escrutinio

El último conflicto regulatorio de Meta también llega en un momento en que la propia característica impulsada por IA de Microsoft, llamada Recall, ha recibido una rápida reacción negativa debido a los riesgos de privacidad y seguridad que podrían surgir al capturar capturas de pantalla de las actividades de los usuarios en sus PC con Windows cada cinco segundos y convertirlas en un archivo buscable.

El investigador de seguridad Kevin Beaumont, en un nuevo análisis, descubrió que es posible para un actor malicioso implementar un robainformación y extraer la base de datos que almacena la información analizada a partir de las capturas de pantalla. El único requisito previo para lograr esto es que acceder a los datos requiere privilegios de administrador en la máquina de un usuario.

«Recall permite a los actores de amenazas automatizar el raspado de todo lo que has mirado en cuestión de segundos», dijo Beaumont. «[Microsoft] debería retirar Recall y volver a trabajarlo para que sea la función que merece ser, entregada en una fecha posterior.»

totalrecall

Otros investigadores han demostrado de manera similar herramientas como TotalRecall que hacen que Recall sea susceptible a abusos y extraen información altamente sensible de la base de datos. «Windows Recall almacena todo localmente en una base de datos SQLite sin cifrar, y las capturas de pantalla simplemente se guardan en una carpeta en tu PC», dijo Alexander Hagenah, quien desarrolló TotalRecall.

A partir del 6 de junio de 2024, TotalRecall se ha actualizado para no requerir más derechos de administrador utilizando uno de los dos métodos que el investigador de seguridad James Forshaw describió para evitar el requisito de privilegios de administrador para acceder a los datos de Recall.

«Está protegido solo a través de estar [lista de control de acceso] a SYSTEM y cualquier escalada de privilegios (o no tener una barrera de seguridad *tos*) es suficiente para filtrar la información», dijo Forshaw.

La primera técnica implica hacerse pasar por un programa llamado AIXHost.exe al adquirir su token, o, incluso mejor, aprovechar los privilegios del usuario actual para modificar las listas de control de acceso y obtener acceso a la base de datos completa.

Dicho esto, vale la pena señalar que Recall está actualmente en vista previa y Microsoft todavía puede realizar cambios en la aplicación antes de que esté disponible ampliamente para todos los usuarios a finales de este mes. Se espera que esté habilitado de forma predeterminada para las PC compatibles con Copilot+.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Descubre los últimos artículos del blog sobre seguridad cibernética.