ESET analiza las capas de protección, certificaciones y el flujo de datos de Claude, el chatbot de Anthropic, para revelar si es seguro su uso diario.
El crecimiento vertiginoso de las herramientas basadas en inteligencia artificial ha transformado por completo la forma en que trabajamos, estudiamos y nos comunicamos. Entre estas tecnologías destaca Claude, el asistente virtual desarrollado por Anthropic, una empresa de investigación y seguridad en IA fundada en el 2021 por antiguos empleados de OpenAI. Con un éxito comercial rotundo, la compañía reportó un nivel de ingresos proyectados anualizados superior a los 14.000 millones de dólares. Sin embargo, el éxito masivo plantea una interrogante fundamental para los usuarios: ¿es realmente seguro interactuar con esta plataforma?
La compañía líder en detección proactiva de amenazas, ESET, sostiene con firmeza que el rápido crecimiento comercial no es sinónimo de seguridad garantizada. Por ello, advierte que entender detalladamente cómo funciona el flujo de la información es el primer paso crítico para utilizar la herramienta sin renunciar de ninguna manera a la protección de los datos personales o corporativos. Cada interacción con el chatbot inicia un viaje informático que pasa por servidores específicos, políticas de retención y estrictas normas de privacidad.
El corazón de la plataforma: IA Constitucional y cifrado
Una de las principales diferencias que destaca Anthropic en el mercado es su enfoque denominado “IA Constitucional”. Este método de entrenamiento utiliza un conjunto de principios éticos completamente definidos para guiar el comportamiento del modelo, evitando depender de forma única de la retroalimentación humana directa. En la práctica, esto se traduce en que la seguridad se trata de un elemento nativo, integrado como parte del desarrollo mismo del modelo en lugar de ser una capa añadida posteriormente.
Cuando un usuario envía un mensaje, la información no viaja desprotegida por internet. La organización implementa avanzadas capas de protección que inician en el transporte de los datos y se extienden hasta el almacenamiento definitivo en sus servidores. De este modo, la comunicación entre el navegador o la aplicación móvil y la infraestructura central está completamente cifrada según los estándares de la industria, dificultando que un tercero intercepte las conversaciones. Además, internamente existen controles de acceso basados en roles; es decir, el acceso está restringido exclusivamente a equipos específicos encargados de la infraestructura.
Certificaciones que respaldan la infraestructura
Para demostrar de forma objetiva sus buenas prácticas, Anthropic cuenta con tres certificaciones de seguridad principales:
- SOC 2 Tipo II: Confirma que auditores independientes externos examinaron los controles internos durante meses, verificando su funcionamiento consistente en la práctica.
- ISO 27001: Norma internacional globalmente reconocida para la gestión de la seguridad de la información, vital al evaluar proveedores tecnológicos. Esta pauta cubre desde políticas de contraseñas hasta planes de respuesta ante incidentes.
- ISO 42001: Una certificación reciente y específica para sistemas de inteligencia artificial. Evalúa la gestión de riesgos en el desarrollo, supervisión y uso responsable de los modelos de IA.
“Vale la pena aclarar que estas certificaciones aseguran de que la infraestructura, los controles de acceso y los procesos de seguridad de Anthropic estén en orden. No significan que Claude nunca cometa errores, ni que sus respuestas siempre sean precisas o seguras. Significan que la empresa sigue buenas prácticas para proteger los datos que envías, y que esta protección es auditada regularmente por terceros”, comenta Mario Micucci, Investigador de Seguridad Informática de ESET.
Políticas de retención: ¿A dónde van tus chats?
El almacenamiento de los chats tiene la finalidad de permitir el acceso al historial desde distintos dispositivos y mantener el contexto de la interacción. Para usuarios de los planes gratuitos y de pago individuales (Gratis, Pro, Max), la empresa otorga la opción de permitir que las conversaciones entrenen futuros modelos. Si se acepta, los datos se guardan hasta por cinco años; de lo contrario, se eliminan automáticamente tras 30 días.
La situación cambia radicalmente para el entorno corporativo. Si una compañía paga por la API de Claude o emplea el modo Enterprise, los datos jamás se usan por defecto para el entrenamiento. Esta diferencia sustancial explica por qué los negocios migran masivamente a cuentas de pago corporativas.
En América Latina, el panorama incluye capas regulatorias locales. Los marcos legales regionales regulan de forma estricta la recopilación de información personal.
“En la práctica, el uso de inteligencia artificial se considera una forma de tratamiento de datos personales en muchos de estos marcos normativos. Esto implica que, cuando se utiliza Claude para procesar datos de clientes, pacientes o cualquier información que permita identificar a una persona, pueden activarse obligaciones legales como contar con una base válida para el procesamiento, informar a los titulares y aplicar medidas adecuadas de protección de datos”, agrega Micucci.
Frente a riesgos latentes como la Dark Web, donde se han detectado más de 225.000 credenciales de acceso a herramientas de IA robadas por software malicioso, los expertos recomiendan activar la autenticación de dos pasos (2FA), usar claves robustas, actualizar los antivirus y configurar manualmente la privacidad para desactivar el historial de chat.
“Claude es una herramienta poderosa y relativamente segura, pero ninguna IA es una caja fuerte. Usar bien significa saber cuándo usar, cuándo no. Antes compartir algo con una IA, es importante preguntarse si es información que nos gustaría que se haga pública. Por ejemplo, los secretos comerciales, los datos de los clientes, las credenciales de acceso y la información sensible nunca deberían ir a ninguna herramienta de IA. Si realmente se lo necesita, se debería utilizar una cuenta empresarial con contratos o herramientas específicas que funcionen localmente”, concluye Micucci de ESET.
*En la creación de este texto se usaron herramientas de inteligencia artificial.
