Granola, la aplicación para tomar notas impulsada por IA, permite que cualquier persona con un enlace vea las notas del usuario de forma predeterminada, lo que genera importantes preocupaciones sobre la privacidad. La plataforma, comercializada como una herramienta para capturar audio de reuniones y generar notas resumidas por IA, expone información potencialmente confidencial a menos que los usuarios ajusten manualmente su configuración de privacidad.
Acceso público predeterminado
La configuración de Granola establece claramente que las notas son “visibles para cualquiera que tenga el enlace”. Esto significa que incluso sin una cuenta, las personas pueden acceder a las notas si un enlace se comparte o se filtra, lo que presenta un riesgo de seguridad importante para las reuniones confidenciales. Las pruebas confirman que se puede acceder a las notas desde una ventana privada del navegador sin iniciar sesión, lo que revela tanto el contenido de las notas como los detalles de su creación.
Acceso limitado a la transcripción
Si bien las transcripciones completas solo son accesibles para los colaboradores dentro de la aplicación Granola, los extractos de las transcripciones parciales son visibles a través de las notas con viñetas. Al seleccionar un punto de nota, se muestran las citas correspondientes y los resúmenes generados por IA, lo que ofrece contexto adicional de la conversación. El alcance del acceso para los usuarios con una cuenta de Granola no está claro, ya que la empresa no ha aclarado si todos los titulares de cuentas pueden ver las transcripciones.
Uso de datos para la formación en IA
Granola se reserva el derecho de utilizar datos de usuario anonimizados para mejorar sus modelos de IA a menos que se deshabilite explícitamente en la configuración. Los clientes empresariales están excluidos de la capacitación en IA de forma predeterminada, pero todos los demás usuarios siguen participando. Para deshabilitar esta función es necesario realizar un ajuste manual en la configuración de la aplicación. La compañía afirma que los proveedores de inteligencia artificial externos como OpenAI o Anthropic no acceden a los datos del usuario si esta configuración está desactivada.
Medidas de seguridad y almacenamiento
Granola almacena notas en una nube privada de Amazon Web Services, con cifrado en reposo y en tránsito. La compañía afirma que no conserva grabaciones de audio, solo guarda notas y transcripciones para su procesamiento en la nube. A pesar de estas medidas, la configuración de enlace público predeterminada sigue siendo una vulnerabilidad crítica.
Para proteger sus notas de Granola, los usuarios deben navegar al menú de configuración (perfil > Configuración > Enlace compartido predeterminado) y cambiar la configuración de “Cualquier persona con el enlace” a “Solo mi empresa” o “Privado”. Al eliminar notas también se elimina el acceso de quienes tienen enlaces.
El incidente pone de relieve una tendencia más amplia de las herramientas de inteligencia artificial que priorizan la facilidad de uso sobre la privacidad predeterminada. Los usuarios deben gestionar activamente la configuración para evitar la exposición no deseada de los datos, y las empresas deben priorizar la transparencia y la seguridad de forma predeterminada.
