En los últimos años hemos sido testigos de una revolución silenciosa pero profundamente impactante en el ámbito médico: la llegada de la Inteligencia Artificial (IA) aplicada a los sistemas hospitalarios. En muchas otras partes del mundo, esta transformación promete cambiar la manera en la que se practica la medicina tal como la conocemos ahora, enfrentando primero desafíos y discusiones éticas y legales más que tecnológicas. Pero todos estos avances también traen aparejados desafíos en el ámbito de la ciberseguridad.
Los hospitales y clínicas de todo el mundo han comenzado a integrar equipos y soluciones basadas en IA que optimizan y revolucionan muchos tratamientos y procedimientos: desde robots quirúrgicos asistidos por IA que son complementarios a la labor de un médico especialista, hasta sistemas de diagnóstico o prediagnóstico avanzado que están empezando a utilizarse en diferentes tipos de centros de salud, aunque todavía no de forma masiva.
Vulnerabilidades
Desde nuestra visión profesional, no podemos evitar poner la mirada en lo que ocurre con las vulnerabilidades propias de estas nuevas tecnologías, ni en los riesgos que la implementación de las mismas trae a un sector tan delicado para toda la sociedad en general.
Si bien a nivel global se han reportado dispositivos médicos con vulnerabilidades conocidas y con sus correspondientes CVE (Common Vulnerabilities and Exposures), como también podemos encontrar en el portal de CISA un apartado y una categorización especial (ICSMA) para las vulnerabilidades en esta tecnología que van desde bombas de infusión hasta sistemas de monitoreo, aún no hay mucha información disponible sobre ataques o situaciones de riesgo que se asocien a las IA más allá de los típicos ataques tipo Adversarial Attack o Model Poisining.
Sin embargo, estos tipos de ataques son lo suficientemente graves dado el entorno donde se utilizan como para preocuparnos por ellos, ya que estos fallos podrían permitir a un atacante manipular el dispositivo médico. Y esto pondría en peligro las vidas de las personas o bien generaría preocupaciones innecesarias por enfermedades mal diagnosticadas, con sus correspondientes consecuencias legales y de imagen corporativa de la institución.
Inteligencia Artificial: educación integral
En un mundo cada vez más interconectado, no podemos suponer que los hospitales están totalmente aislados y que tienen un entorno seguro donde emplear y entrenar estas IA. Por tanto, los riesgos no suelen tender a nulos, sino lo contrario.
Imaginar un escenario donde un atacante pueda manipular un robot quirúrgico durante una operación o alterar los resultados de un diagnóstico es un recordatorio de los desafíos que enfrentamos como profesionales de ciberseguridad. Lo cual, por otro lado, representa también una oportunidad para que nosotros, como comunidad, abordemos esta problemática a tiempo y busquemos soluciones conjuntas.
En nuestra labor como profesionales o como formadores debemos siempre remarcar la importancia de una educación integral en ciberseguridad, especialmente para aquellos profesionales que trabajarán en ámbitos tan sensibles como el de la salud, no solo dirigida a los profesionales de IT, sino también encaminada al personal médico que la aplicará o que atenderá sus indicaciones para un tratamiento o intervención.
Un médico capacitado en reconocer intentos de ataques y comportamientos anómalos en los sistemas o simplemente seguir buenas prácticas puede ser la diferencia entre la salud o la falta de ésta para un paciente. La concienciación y la formación debería ser el primer eslabón para reducir una brecha de seguridad o evitar un incidente ciberfísico grave.
Sin lugar a dudas, es esencial destacar desde nuestra posición que este no es un problema que solo deba ser abordado por la comunidad de ciberseguridad o los centros de salud, como hospitales o clínicas. Sería poco sensato excluir a los fabricantes de equipos médicos o aplicaciones médicas que se basan en el uso de la IA, ya que desempeñan un papel fundamental en este ecosistema.
Además, son quienes tienen que empezar a trabajar en conceptos de ciberseguridad desde el diseño implementando modelos relacionados con el ciclo de vida de desarrollo seguro de software. Estos fabricantes de hardware que se integra con las IA o los desarrolladores de modelos o aplicaciones de IA deben ofrecer soluciones que incorporen la seguridad desde el diseño y que proporcionen actualizaciones y parches de forma regular, además de someterse a revisiones de seguridad por parte de terceros.
Es evidente que, como profesionales, tenemos que continuar mejorando la infraestructura y fortaleciendo la seguridad de los dispositivos para implementar una correcta segmentación de redes, cifrado, autenticación de doble factor y monitorización constante. Todo esto nos ayudará a evitar riesgos conocidos como la manipulación o interceptación de datos, accesos no autorizados, mitigar ataques de ransomware, etcétera, pero no evitará que la mayoría de los ataques dirigidos a una Inteligencia Artificial permitan diagnosticar mal o ejecutar/asesorar erróneamente en un procedimiento quirúrgico.
Barrera adicional
Aunque cada medida cuenta, cada paso que tomemos para asegurar nuestros sistemas es una barrera adicional que protege a los pacientes y mejora la integridad de nuestro sistema de salud. Tenemos que asegurarnos de que las implementaciones con IA que se desplieguen en los centros de salud no sean susceptibles a los cuatro tipos de ataques más comunes: adversarial attack, model attack, data manipulation y model stealing.
Por lo general, estos ataques suelen aprovecharse de otras vulnerabilidades que se ejecutan en la infraestructura, muchas veces con el propósito de cometer fraudes relacionados con la suplantación de identidad o bien para desinformar a los pacientes o a los médicos/ operadores y obtener algún beneficio a partir del daño ocasionado.
En definitiva, la IA en medicina es una promesa emocionante que tiene el potencial de cambiar nuestras vidas y de mejorar la calidad y velocidad de atención en todo el mundo. Pero como dice el tío del Hombre Araña, «todo gran poder conlleva una gran responsabilidad». Por eso es un tema en el que se necesita que más y más profesionales nos involucremos: especialistas en Inteligencia Artificial, especialistas en ciberseguridad, educadores, fabricantes y autoridades, para generar una regulación que acompañe esta tendencia y le dé un marco con las garantías necesarias.
Entre todos debemos asegurarnos de que la adopción de la Inteligencia Artificial en medicina se realice de manera segura para beneficio de toda la humanidad. Esto llevará tiempo y muchas pruebas, quizás también algunas frustraciones, pero es nuestro deber y un desafío que seguro podremos superar.
