Informe: jefe de ciberseguridad de EE. UU. subió documentos gubernamentales sensibles a ChatGPT

 (dexerto.com)
2 puntos por GN⁺ 2026-01-30 | 1 comentarios | Compartir por WhatsApp
  • Se informó que el director interino de la Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA) de EE. UU. subió a ChatGPT documentos de contratos gubernamentales de nivel sensible
  • Los documentos estaban marcados como “For Official Use Only” y desencadenaron alertas de seguridad internas y una investigación federal
  • Según se reporta, solicitó una excepción especial de acceso para usar ChatGPT, cuyo acceso estaba bloqueado para otros empleados del Departamento de Seguridad Nacional
  • Una portavoz de CISA indicó que el uso fue “breve y limitado”, y tras el incidente se llevó a cabo un proceso de evaluación de daños
  • El incidente ocurrió en medio de la expansión de las políticas de uso de IA en el gobierno federal, lo que resalta la importancia de la gestión de seguridad de la IA en las instituciones públicas

Resumen del incidente de carga en ChatGPT

  • Politico informó que Madhu Gottumukkala, director interino de CISA, la principal agencia de ciberseguridad del gobierno de EE. UU., subió documentos gubernamentales sensibles a la versión pública de ChatGPT
    • Los documentos cargados eran documentos relacionados con contratos gubernamentales marcados como “For Official Use Only
    • El incidente ocurrió en el verano de 2025, y un sistema interno de monitoreo de ciberseguridad lo detectó a inicios de agosto
  • Tras la detección, el Departamento de Seguridad Nacional (DHS) inició de inmediato una evaluación de daños (damage assessment) para investigar si hubo exposición de información
  • Debido a que la versión pública de ChatGPT comparte las entradas de los usuarios con OpenAI, surgió la posibilidad de que datos sensibles salieran de la red interna

Respuesta de CISA y postura oficial

  • La portavoz de CISA, Marci McCarthy, explicó que Gottumukkala “recibió autorización para usar ChatGPT bajo controles del DHS
    • También subrayó que el uso fue “breve y limitado
  • Gottumukkala se desempeña como director interino desde mayo de 2025, y el Senado aún no ha confirmado a Sean Plankey como director formal
  • Politico también mencionó otros casos problemáticos durante su gestión
    • En una ocasión, no aprobó una prueba de contrainteligencia (polygraph) requerida para acceder a información de alto nivel
    • Sin embargo, en una reciente audiencia del Congreso, negó y refutó esa evaluación

Política federal de IA y momento del incidente

  • El incidente ocurrió mientras la administración de Donald Trump impulsaba la adopción de IA en las agencias federales
    • En diciembre de 2025, el presidente Trump firmó una orden ejecutiva que limita la regulación estatal de la IA
    • El Departamento de Defensa de EE. UU. (Pentagon) anunció una estrategia “AI-first” para ampliar el uso de inteligencia artificial en el ámbito militar
  • En este contexto de políticas públicas, el caso llama la atención como un ejemplo de los riesgos de seguridad del uso de IA en el sector público

Alertas internas de seguridad y proceso de investigación

  • Poco después de que el sistema de monitoreo de ciberseguridad detectó la carga en ChatGPT, se emitió una alerta interna
    • Posteriormente, el DHS inició una investigación formal para evaluar si hubo exposición de información y cuál fue el alcance del daño
  • Según el informe, el acceso a ChatGPT estaba bloqueado para los empleados comunes del DHS, pero Gottumukkala obtuvo acceso mediante una solicitud de excepción especial
  • Dentro del gobierno federal surgieron preocupaciones de que la forma en que OpenAI procesa los datos podría entrar en conflicto con las políticas de seguridad de la red interna gubernamental

Impacto e implicaciones del caso

  • El incidente muestra que incluso altos responsables de seguridad del gobierno federal pueden quedar expuestos a riesgos al usar herramientas de IA
  • Se destaca la necesidad de reforzar las guías de uso de IA en organismos públicos y de revisar los sistemas de protección de datos
  • A medida que se acelera la adopción de tecnologías de IA, se subraya la importancia de contar con controles de seguridad y procedimientos de uso transparentes

Lecturas relacionadas

1 comentarios

 
GN⁺ 2026-01-30
Opiniones en Hacker News

  • Viendo una situación así, dan ganas de pensar que hace falta un LLM exclusivo para GovCloud
    Frustra que el gobierno parezca estar dirigido como por “los sobrinos de los sobrinos” de los nombrados
    No dejo de acordarme de la miniserie Chernobyl de HBO — como la escena en la que el ministro de ciencia venía de una fábrica de zapatos; se siente como si ya viviéramos en una época en la que nadie necesita ser competente en su trabajo

    • Según el artículo, ChatGPT estaba bloqueado para la mayoría del personal del DHS, y solo Gottumukkala tenía permiso especial para usarlo de forma limitada
      Aun así, que haya sido detectado en una revisión de seguridad significa que el gobierno consideró que usar esto de forma amplia no era seguro
      Al parecer ya están desarrollando junto con OpenAI un modelo exclusivo para el gobierno, ChatGPT Gov
    • Poner a gente incompetente en posiciones de poder es una herramienta política clásica para asegurar lealtad
      Como no consiguieron el puesto por mérito, terminan siendo leales solo a quien los nombró y dejan de preocuparse por la calidad del trabajo
      Cuanto más débil es el líder, más recurre a esto y, tristemente, suele funcionar bastante bien
    • Eso de “los sobrinos de los sobrinos” también debería incluir a los Large Adult Sons
      Para el meme relacionado, ver el artículo de The New Yorker y la página de KnowYourMeme
    • Parece una estrategia deliberada para hacer que el gobierno se vea incompetente y que al final empresas privadas manejadas por amigos o familiares terminen haciendo el trabajo
      Así se pueden desviar recursos de manera mucho más eficiente
    • Como referencia, Chernobyl de HBO es ficción. En la realidad no hubo una escena de un “director de fábrica de zapatos” tomando vodka ni nada parecido

  • El nivel de seguridad operativa (op-sec) de esta administración está casi al nivel de Barney Fife de lo improvisado que es

    • Tal vez el equipo de seguridad de Maduro en Venezuela discreparía un poco con esa opinión
    • Fife al menos era un personaje bien intencionado. Además, su jefe ni siquiera lo dejaba cargar un arma
    • La falta general de capacidad en esta administración parece de nivel “niño pegando con resistol”
    • Puede que esta incompetencia no sea un bug, sino una función
    • Yo también trabajé 10 años en adquisiciones y ventas, y ver esto me da risa
      Que alguien que no entiende los procesos de contratación intente resolverlo buscando en internet no es muy distinto de un ejecutivo en 2007 buscando “¿qué es una RFP?”

  • Es raro que alguien, pudiendo usar ya un ChatGPT Pro seguro basado en Azure, haya optado por el 4o público
    El gobierno ya contaba con un entorno seguro separado
    Al final consiguió autorización para usarlo solo con “documentos no oficiales”, pero un error tan básico es difícil de tolerar en un líder de CISA

    • Pero si era un títere plantado, probablemente ni sabría bien cómo usar este tipo de herramientas

  • Conviene leer el original en el artículo de Politico

  • Quienes rompen las reglas siempre son los de arriba
    Conozco gente que trabajó en comunicaciones militares y decían que muchos oficiales de alto rango simplemente ignoraban los procedimientos de seguridad porque les daba flojera

  • La gente ya era descuidada incluso en redes sociales públicas
    Con la llegada de los LLM, parece que esa tendencia va a empeorar todavía más

    • El verdadero riesgo está aquí. Ahora mismo ni siquiera hay una forma de solicitar la eliminación de datos en un LLM

  • En industrias reguladas por ITAR/EAR (aeroespacial, defensa, etc.), bloquear el acceso a ChatGPT.com es indispensable
    Sorprende que eso no ya estuviera implementado

    • De acuerdo. Aunque las normas ITAR y EAR son especialmente ambiguas en la educación superior
    • Según el reporte, Gottumukkala solicitó una excepción especial para poder acceder a ChatGPT

  • El nivel de capacidad mostrado en esto fue exactamente el esperado

    • Fue una persona nombrada directamente por Kristi Noem
      Según su perfil en Wikipedia, fue nombrado subdirector del DHS en abril de 2025 y desde mayo empezó a desempeñarse como director interino de CISA

  • Fue bastante entretenido ir desactivando la configuración de cookies una por una
    Un tercio de las 1668 empresas asociadas afirmaban tener “interés legítimo”
    Viendo que Privacy Badger solo bloquea 19, quizá algunas estén llenando espacio con cookies falsas
    Al final se me olvidó leer el artículo

    • La misma cookie puede compartirse con varios socios, o también podrían transferirse los datos recopilados
      Esto no es solo una simple “ley de cookies”, sino una ley sobre el intercambio de datos personales
      Por ejemplo, si quisieran vender mi SSN y mi correo a 1668 empresas, tendrían que obtener el consentimiento para cada una

  • Al final parece que el gobierno va a intentar resolver esto integrándolo a la fuerza con Grok

    • Probablemente DOGE ya extrajo todos los datos que necesitaba, pero aun así querrá todavía más