Skip to main content

Privacidad inferencial en LLM: entidad sensible, horizonte de inferencia y espacio negativo

Este texto resume un marco conceptual para explicar la privacidad en el uso de modelos de lenguaje. La idea central es que, con un LLM, no basta con evitar revelar un dato sensible de forma directa: también hay que evitar entregar suficientes datos periféricos como para que el sistema pueda reconstruir su contorno por inferencia.

1. Punto de partida: la entidad X

Llamaremos entidad X a cualquier información real, privada o sensible que el usuario conoce, pero decide no revelar a un LLM.

La entidad X puede ser una persona, un hecho, una situación, una relación, un dato empresarial, una circunstancia legal, un diagnóstico, una estrategia comercial, una identidad protegida o cualquier otro núcleo informativo que debe quedar fuera del sistema.

Lo importante es que la entidad X no se entrega explícitamente al modelo. Sin embargo, puede seguir influyendo en la conversación a través de sus efectos periféricos.

2. Diferencia entre dato explícito e inferencia contextual

Una visión ingenua de la privacidad diría:

Dato sensible escrito = riesgo
Dato sensible no escrito = seguridad

Pero en un LLM esta visión es insuficiente.

Los modelos de lenguaje trabajan con contexto, asociaciones, patrones y relaciones semánticas. Por tanto, aunque una entidad sensible no aparezca escrita, puede quedar parcialmente expuesta si se entregan suficientes datos relacionados.

Ejemplo abstracto:

No revelo X.
Pero revelo A, B, C y D.
A, B, C y D orbitan alrededor de X.
Resultado: X sigue sin estar dicho, pero su contorno empieza a aparecer.

Esto no es revelación directa. Es exposición inferencial.

3. La metáfora del agujero negro semántico

La entidad X puede entenderse como un agujero negro semántico.

En astrofísica, un agujero negro no se observa directamente porque la luz no puede escapar de su horizonte de sucesos. Sin embargo, se detecta por sus efectos: la curvatura de la luz cercana, el movimiento de objetos a su alrededor o la distorsión del entorno.

Aplicado a privacidad en LLM:

  • La entidad X no se revela directamente.
  • Los datos cercanos a X pueden mostrar su influencia.
  • El modelo puede detectar patrones, límites, omisiones o relaciones.
  • Si se entrega demasiado contexto periférico, el sistema puede reconstruir parte del contorno de X.

La idea clave es:

X no está presente como dato explícito,
pero puede estar causalmente presente como estructura de contexto.

4. Horizonte de inferencia

El horizonte de inferencia es el límite a partir del cual una información, aunque parezca periférica o inocente, ya permite acercarse demasiado a una entidad sensible.

En términos prácticos:

Si una información reduce demasiado la incertidumbre sobre X,
debe tratarse como parte del perímetro protegido de X.

No se evalúa solo si un dato es sensible en sí mismo. Se evalúa también si ese dato, combinado con otros, permite reconstruir una entidad sensible.

5. Asimetría de acceso

Existe una diferencia fundamental entre el usuario y el LLM:

Actor Acceso a entidad X
Usuario Conoce X, puede entrar y salir mentalmente de ella
LLM Solo conoce la abstracción y sus efectos periféricos

El usuario tiene acceso interno a la entidad X. El modelo solo puede operar desde fuera, sobre el borde conceptual que el usuario permite mostrar.

Por tanto:

El usuario sabe qué está ocultando.
El LLM solo puede ver cómo el discurso se curva alrededor de lo oculto.

Esto crea una asimetría epistémica: el usuario controla el núcleo; el modelo solo observa el perímetro.

6. Espacio negativo aplicado a privacidad

En artes gráficas, el espacio negativo es el espacio vacío que rodea una forma y permite reconocerla sin dibujarla directamente.

Aplicado a privacidad:

No dibujo el objeto.
Dibujo el entorno.
El observador reconstruye el objeto.

En un LLM:

No digo X.
Digo A, B, C y D.
El modelo puede reconstruir el contorno probable de X.

La entidad sensible puede revelarse no por presencia, sino por ausencia estructurada.

Frase clave:

No hace falta dibujar el secreto: basta con dibujar demasiado bien el hueco que ocupa.

7. Privacidad inferencial

La privacidad inferencial protege no solo los datos explícitos, sino también las relaciones, combinaciones, patrones y omisiones que permitirían deducir información sensible no declarada.

Definición operativa:

La privacidad inferencial es la protección de cualquier información que, de forma aislada o combinada con otros datos, pueda reducir significativamente la incertidumbre sobre una entidad sensible.

Esto implica que una política de uso de LLM debe controlar tres formas de exposición:

Tipo de exposición Descripción
Revelación directa Se entrega el dato sensible explícitamente
Revelación periférica Se entregan datos cercanos al núcleo sensible
Revelación acumulativa Varias piezas aparentemente inocuas permiten reconstruir el núcleo

La tercera es especialmente peligrosa porque suele pasar desapercibida.

8. Modelo práctico para decidir qué entregar a un LLM

Antes de introducir información en un modelo de lenguaje, se puede aplicar este filtro:

1. ¿El dato contiene información sensible directa?
   Sí -> no enviar o anonimizar.

2. ¿El dato parece inocente pero está conectado a una entidad sensible?
   Sí -> revisar el contexto.

3. ¿Combinado con otros datos ya entregados reduce la incertidumbre sobre X?
   Sí -> tratarlo como sensible.

4. ¿El LLM necesita realmente ese dato para cumplir la tarea?
   No -> excluir.

5. ¿Se puede sustituir por abstracción, categoría o dato sintético?
   Sí -> usar sustituto.

Este enfoque no se basa en miedo irracional, sino en control de contexto.

9. Implicaciones para auditorías y políticas internas

En una auditoría de uso de IA, no basta con preguntar:

¿Se han enviado datos sensibles?

También hay que preguntar:

¿Se han enviado datos que, combinados, permiten inferir información sensible?

Una política madura de privacidad para LLM debe incluir:

  • clasificación de datos explícitos;
  • análisis de datos periféricos;
  • revisión de combinaciones acumulativas;
  • minimización del contexto;
  • anonimización o pseudonimización;
  • uso de ejemplos sintéticos cuando sea posible;
  • separación entre información operativa e información nuclear protegida;
  • control de metadatos, cronologías, relaciones y detalles únicos.

10. Formulación final

En el uso de LLM no debe evaluarse únicamente la sensibilidad individual de cada dato, sino su capacidad de contribuir a una inferencia acumulativa sobre una entidad protegida.

Una entidad sensible puede no estar presente de forma explícita en el prompt, pero quedar parcialmente expuesta mediante datos periféricos que orbitan alrededor de ella.

Por tanto, el límite de privacidad debe definirse como un horizonte de inferencia:

Toda información que permita reconstruir, reducir significativamente la incertidumbre o delimitar una entidad protegida debe tratarse como parte de esa entidad y quedar fuera del sistema.

11. Frase síntesis para clase

En IA generativa, proteger un secreto no es solo no escribirlo. Es no alimentar su sombra.

12. Nombres posibles del marco

Uso Nombre recomendado
Divulgativo Agujero negro semántico
Formal Marco de privacidad inferencial en LLM
Operativo Horizonte de inferencia
Visual / diseño Espacio negativo semántico
Back to top