El director de CISA cometió el error que tú podrías estar cometiendo ahora mismo

Una lección sobre por qué NUNCA debes compartir información sensible en plataformas públicas, ni siquiera si eres experto en ciberseguridad.

El incidente que nadie esperaba

En un giro irónico que nos recuerda que nadie está exento de cometer errores de seguridad, Madhu Gottumukkala, director interino de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de Estados Unidos, cargó documentos sensibles marcados como "solo para uso oficial" en la versión pública de ChatGPT durante el verano de 2025.

Sí, has leído bien. El responsable máximo de proteger la infraestructura crítica de Estados Unidos contra ciberataques cometió uno de los errores más básicos de seguridad digital: subir información confidencial a una plataforma pública de inteligencia artificial.

¿Qué pasó exactamente?

Los hechos, según reporta Politico:

• Agosto de 2025

• Madhu Gottumukkala, director interino de CISA desde mayo de 2025

• Sube documentos de contratación marcados como "For Official Use Only" (FOUO) a ChatGPT público de OpenAI

Los sensores de ciberseguridad generaron múltiples alertas automáticas en la primera semana

Aunque los documentos no estaban clasificados, contenían información sensible de contratación que nunca debería haber salido de las redes federales seguras.

Lo más inquietante del caso es que Gottumukkala había obtenido un permiso especial del Director de Información (CIO) de la agencia para usar ChatGPT, en un momento en que la herramienta estaba bloqueada para el resto del personal del Departamento de Seguridad Nacional.

¿Por qué esto es un problema ENORME?

1. Los datos no desaparecen

Cuando subes algo a ChatGPT público, estás compartiendo esa información con OpenAI. ChatGPT público comparte las entradas de los usuarios con OpenAI, que cuenta con más de 700 millones de usuarios activos.

• OpenAI almacena tus datos en sus servidores

• Pueden usar esa información para entrenar futuros modelos

• Los datos quedan expuestos a posibles brechas de seguridad

• Adversarios estatales, incluyendo hackers respaldados por Rusia y China, podrían acceder a esa información

2. El entrenamiento de la IA

Cada vez que introduces texto en ChatGPT público, estás contribuyendo potencialmente al entrenamiento del modelo. Imagina que información sensible sobre contratos gubernamentales estadounidenses termine formando parte del conocimiento de una IA accesible globalmente, incluidos actores hostiles.

3. La cadena de custodia se rompe

Una vez que subes un documento a una plataforma externa, pierdes completamente el control sobre:

• Quién puede acceder a él

• Dónde se almacena

• Cuánto tiempo permanece

• Qué copias existen

El peligro de las plataformas públicas "convenientes"

Este incidente ilustra un problema mucho más amplio que afecta a empresas, gobiernos y usuarios individuales: la tentación de usar herramientas públicas gratuitas para tareas que requieren privacidad.

ChatGPT y otras IAs públicas

NUNCA debes subir a ChatGPT público:

• Información personal (DNI, números de seguridad social, datos médicos)

• Datos financieros (extractos bancarios, información de tarjetas)

• Documentos corporativos confidenciales

• Código fuente propietario

• Estrategias comerciales

• Información de clientes

• Contratos no públicos

Alternativas seguras:

ChatGPT Team o Enterprise (con controles de privacidad)

Soluciones de IA empresariales con almacenamiento local

Herramientas internas desarrolladas para tu organización

iLovePDF de pago y conversores de documentos online

Otra trampa común son las herramientas de conversión de archivos online como iLovePDF, Smallpdf, o convertidores de Word a PDF gratuitos.

El problema: Cuando subes un documento para convertirlo:

• El archivo completo se envía a servidores de terceros

• Normalmente en texto plano, sin cifrado de extremo a extremo

• Podrían almacenarse temporalmente (o no tan temporalmente)

• No sabes qué hacen realmente con tus archivos

Documentos que NUNCA debes procesar online:

• Contratos firmados

• Declaraciones de impuestos

• Documentos legales

• Presupuestos confidenciales

• Documentos con información personal

• Archivos médicos

• Cualquier cosa marcada como "confidencial" o "interno"

Alternativas seguras:

• Software de escritorio (Adobe Acrobat, Microsoft Office)

• Herramientas de código abierto locales (LibreOffice)

• Conversores offline

• Soluciones empresariales con certificación de seguridad

Otras plataformas públicas que debes evitar para trabajo sensible

• WeTransfer, Dropbox gratuito, Google Drive personal

Compartir archivos corporativos en cuentas personales. Usa soluciones empresariales con cifrado, control de acceso y auditoría

• Quillbot, Grammarly, o correctores online

Tu texto se envía a servidores externos para procesamiento. Versiones empresariales con garantías de privacidad o herramientas offline

• Transcripciones automáticas gratuitas (Otter.ai, etc.)

Grabaciones de reuniones sensibles procesadas externamente. Servicios empresariales con cumplimiento normativo

Las consecuencias del caso CISA

Aunque el resultado final de la investigación interna no se ha hecho público, la política del DHS exige investigar tales exposiciones, evaluar las causas y considerar acciones que van desde el reentrenamiento hasta la revocación del permiso de seguridad.

El caso de CISA es particularmente irónico porque el DHS dispone de herramientas aprobadas, como DHSChat interno, que almacena datos en redes federales. Gottumukkala tenía acceso a alternativas seguras, pero optó por la conveniencia de ChatGPT público.

Esto nos recuerda que la seguridad a menudo se sacrifica en el altar de la comodidad, incluso por quienes deberían saber mejor.

¿Estás en riesgo?

Hazte estas preguntas:

✗ ¿Has copiado código de tu empresa en ChatGPT para depuración?

✗ ¿Has usado conversores online gratuitos para documentos de trabajo?

✗ ¿Has compartido información de clientes con herramientas de IA?

✗ ¿Has transcrito reuniones confidenciales en servicios gratuitos?

✗ ¿Has procesado datos financieros en hojas de cálculo online?

Si respondiste "sí" a cualquiera de estas preguntas, es momento de revisar tus prácticas de seguridad.

La próxima vez que estés a punto de pegar algo en ChatGPT o subir un PDF a un conversor online, hazte esta pregunta: "¿Qué pasaría si esta información apareciera mañana en las noticias?"

Si la respuesta te hace sentir incómodo, no lo hagas.

Recuerda: Si el director de la agencia encargada de proteger la ciberseguridad nacional puede cometer este error, cualquiera puede. La diferencia está en aprender de estos incidentes y tomar las precauciones necesarias.