Microsoft descubre falla de seguridad en chatbots de IA que expone temas de conversación

Las conversaciones con asistentes de inteligencia artificial como ChatGPT y Google Gemini podrían no ser tan privadas como se pensaba. Microsoft reveló una grave falla en los modelos de lenguaje que impulsan estos servicios, lo que podría exponer los temas de conversación de los usuarios. Los investigadores denominaron a esta vulnerabilidad "Whisper Leak" y encontraron que afecta a casi todos los modelos que probaron.

Cuando los usuarios interactúan con asistentes de IA integrados en motores de búsqueda o aplicaciones, la información está protegida por TLS (Transport Layer Security), el mismo tipo de encriptación utilizado en la banca en línea. Estas conexiones seguras impiden que los posibles espías lean las palabras que se escriben. Sin embargo, Microsoft descubrió que los metadatos, es decir, cómo viajan los mensajes a través de Internet, siguen siendo visibles. Whisper Leak no rompe la encriptación, pero aprovecha lo que esta no puede ocultar.

Pruebas de los modelos de lenguaje

En una investigación publicada en el servidor de preprints arXiv, los investigadores de Microsoft explicaron cómo probaron 28 modelos de lenguaje para buscar esta vulnerabilidad. Primero, crearon dos conjuntos de preguntas. Uno consistía en diversas formas de preguntar sobre un tema sensible, como el lavado de dinero, y el otro contenía miles de consultas cotidianas aleatorias. Luego, grabaron en secreto el ritmo de datos de cada red, que incluye el tamaño de los paquetes y el tiempo de retraso entre el envío y la recepción de los mismos.

A continuación, entrenaron un programa de IA para distinguir los temas sensibles de las consultas cotidianas únicamente basándose en el ritmo de datos. Si la IA podía identificar con éxito los temas sensibles sin leer el texto encriptado, confirmaría un problema de privacidad.

En la mayoría de los modelos, la IA adivinó correctamente el tema de conversación con más del 98% de precisión. El ataque también pudo identificar conversaciones sensibles el 100% de las veces, incluso cuando estas ocurrían en solo 1 de cada 10,000 conversaciones. Los investigadores probaron tres formas diferentes de defenderse contra los ataques, pero ninguna detuvo completamente la filtración.

Deteniendo la filtración

Según el equipo, el problema no radica en la encriptación en sí, sino en cómo se transmiten las respuestas. "Esta no es una vulnerabilidad criptográfica en TLS en sí, sino más bien una explotación de los metadatos que TLS revela inherentemente sobre la estructura y el tiempo del tráfico encriptado".

Dada la gravedad de la filtración y la facilidad con la que se puede ejecutar el ataque, los investigadores afirmaron claramente en su artículo que la industria debe asegurar los sistemas futuros. "Nuestros hallazgos subrayan la necesidad de que los proveedores de modelos de lenguaje aborden la filtración de metadatos a medida que los sistemas de IA manejan información cada vez más sensible".