La Agencia de Ciberseguridad de la Unión Europea (ENISA) celebra cada mes de octubre el #CyberSecMonth, una campaña anual para promover la ciberseguridad entre la ciudadanía y organizaciones de la UE, y proporcionar información actualizada sobre seguridad en línea mediante actividades de sensibilización e intercambio de buenas prácticas. Con motivo de esta campaña, Didier Domínguez, experto en inteligencia artificial de la Fundación TIC Salut Social, y Oriol Castaño, experto en ciberseguridad de la Oficina de Protección de Datos en Salud, han escrito el siguiente artículo sobre ciberseguridad e inteligencia artificial en el ámbito de la salud.
La integración de la inteligencia artificial (IA) en el ámbito de la salud es una realidad con un gran potencial para mejorar el diagnóstico, tratamiento y gestión de pacientes. Sin embargo, junto con estas nuevas oportunidades, surgen desafíos importantes, especialmente en el campo de la ciberseguridad, lo que representa un reto adicional en la implementación de IA en hospitales y sistemas de salud en general.
La ciberseguridad es fundamental en la atención sanitaria impulsada por IA. Los sistemas de IA procesan enormes cantidades de datos clínicos, como historias médicas, imágenes y resultados de análisis. Estos datos son muy sensibles y deben protegerse para evitar su uso indebido o el acceso no autorizado. De hecho, esta información es considerada como una categoría especial de datos personales por la normativa de protección de datos, debido a que afectan al ámbito más íntimo de las personas y son susceptibles de ser utilizados para discriminar, perjudicar a las personas o para cometer delitos. Por este motivo, hay que proteger adecuadamente los datos de salud utilizando las máximas medidas de seguridad adecuadas a cada caso.
El sector de la salud no es inmune a los ataques cibernéticos, pese a las fuertes implicaciones éticas que conlleva un ataque a cualquier centro médico. En 2017, la campaña de secuestro de datos (ransomware) WannaCry paralizó partes del Servicio Nacional de Salud del Reino Unido durante días, y en 2019, un individuo malicioso filtró los datos personales de miles de pacientes con VIH en Singapur [1]. También se han registrado incidentes recientes, como el ciberataque al Hospital Clínic de Barcelona en marzo de 2023, que dejó el sistema informático inoperable y afectó servicios críticos, incluyendo las urgencias, consultas externas y el laboratorio de análisis clínicos, además de posponer tratamientos oncológicos e intervenciones médicas importantes [2]. Estos eventos resaltan la vulnerabilidad del sector de la salud ante las amenazas cibernéticas.
Los ataques contra el sector de la salud están en aumento, con ataques dirigidos a sistemas médicos y demandas de rescate que van desde los miles a los millones de euros. Las consecuencias de un ataque exitoso repercuten en todos los niveles de la atención médica, traduciéndose en reprogramación de visitas, retrasos en los tratamientos y posibles fallos diagnósticos.
Desde 2020 la INTERPOL ha advertido sobre el crecimiento de ataques de ransomware dirigidos a hospitales y otras instituciones involucradas en la respuesta global al COVID-19. Estos ataques buscan bloquear los sistemas críticos y extorsionar mediante pagos, y por ello el organismo internacional ha emitido una alerta a las fuerzas de policía de sus países miembros sobre esta amenaza [3].
Además, la proliferación de dispositivos IoT en el sector médico, como marcapasos y bombas de insulina conectadas a Internet, aumenta la vulnerabilidad, ya que las protecciones de ciberseguridad pueden presentar fallos en la carrera por lanzar nuevos equipos médicos al mercado.
Las instituciones gubernamentales están tomando cartas en el asunto. La DIRECTIVA (UE) 2022/2555 [4], relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión Europea, establece los requisitos mínimos de ciberseguridad que deben cumplir las organizaciones europeas que gestionan redes y sistemas de información de los sectores considerados como críticos: energía, transporte, agua, sector sanitario, infraestructura digital, administración pública, banca y finanzas, entre otras. También establece que los Estados miembros deben adoptar estrategias nacionales de ciberseguridad y designar autoridades nacionales competentes, puntos de contacto únicos de seguridad y equipos de respuesta a incidentes de ciberseguridad. Por lo tanto, esta directiva combina múltiples estrategias para mejorar la ciberseguridad de las organizaciones del sector sanitario, entre ellas: análisis de riesgos, gestión de incidentes, continuidad de la actividad, seguridad de la cadena de suministro y el uso de sistemas de comunicación de emergencia seguros dentro de la organización. Esta Directiva entrará en vigor el 18 de octubre de 2024 y derogará la Directiva NIS 2.
Por otro lado, la Administración de Alimentos y Medicamentos de los Estados Unidos (FDA) emitió una serie de recordatorios y advertencias después de descubrir los fallos citados anteriormente en los dispositivos IoT en el sector médico para tratar de mejorar sus estándares de seguridad predeterminados. La reciente aprobación por el Congreso de los Estados Unidos de la Ley de Asignaciones Consolidadas de 2023, en particular la Sección 3305 titulada ‘Garantizar la Ciberseguridad de los Dispositivos Médicos’ [5], enmendó la Ley Federal de Alimentos, Medicamentos y Cosméticos para fortalecer las regulaciones de ciberseguridad para los dispositivos médicos. Estas enmiendas, que debían entrar en vigor el 29 de marzo de 2023, subrayan el creciente reconocimiento de la necesidad de priorizar la ciberseguridad en el desarrollo de tecnologías médicas.
En resumen, si bien ningún dispositivo o red es completamente inmune a las vulnerabilidades, medidas regulatorias como estas son fundamentales para mitigar riesgos y fomentar tecnologías de atención médica más seguras.
La IA está teniendo un impacto significativo en la ciberseguridad, ya que los atacantes están utilizando la IA tanto para diseñar como para llevar a cabo intrusiones cibernéticas. Esto incluye el desarrollo de correos electrónicos de phishing más sofisticados, ataques de suplantación de identidad, la explotación rápida de vulnerabilidades, la creación de códigos de malware complejos, una mayor recopilación de información sobre objetivos, la automatización de ataques y la sobrecarga de las defensas humanas. Además, la IA se está utilizando para expandir y hacer que el ransomware sea más evasivo, lo que representa un desafío adicional para la ciberseguridad [6].
Todos estos factores llevan el concepto de ciberseguridad a otro nivel, ya que implica anticipar vulnerabilidades en lugar de simplemente repararlas después del hecho. Las amenazas cibernéticas evolucionan constantemente y superan las medidas de seguridad tradicionales. Para abordar esta brecha, las organizaciones están recurriendo cada vez más a la IA en ciberseguridad. La ‘ciber IA’ es capaz de identificar y responder a actividades maliciosas de manera autónoma, deteniendo ataques como el ransomware antes de que causen daño, ya que comprenden lo que es normal y anormal en la red. Este enfoque, similar al sistema inmunológico humano, ha tenido éxito en la detección de ciberataques sofisticados en los últimos años, atrapando a los atacantes en etapas tempranas [1].
Envenenamiento de datos de entrada
Existen muchas preocupaciones de ciberseguridad asociadas específicamente a la implementación de IA en centros de salud como el envenenamiento de datos de entrada (data poisoning). Se trata de la introducción de datos maliciosos en el conjunto de entrenamiento de una aplicación de aprendizaje automático, lo que afecta a la salida del modelo. Esto puede ocurrir si individuos maliciosos tienen acceso a los datos de entrada utilizados para entrenar el modelo.
Los posibles objetivos en un entorno de atención médica incluyen sistemas de análisis de datos, dispositivos IoT, sistemas de monitoreo de redes y seguridad, y sistemas de control de instalaciones. Se pueden emplear diferentes métodos para llevar a cabo ataques durante las fases de entrenamiento y prueba, lo que puede resultar en daños técnicos, incluyendo la integridad de los datos, la disponibilidad de servicios y la degradación del rendimiento. Para mitigar esta amenaza, se sugiere limpiar y revisar adecuadamente los datos de entrada durante el proceso de entrenamiento y prueba, identificar valores atípicos y anomalías, y mantener la integridad y el rendimiento del modelo con medidas de monitorización y seguridad adecuadas.
Ataque one-Pixel
Algunos artículos sostienen que el one-pixel attack es un peligro real en el contexto de la visión por computador y el aprendizaje automático aplicado a la detección y diagnóstico de cáncer [7]. Cuando se automatizan tareas críticas como el diagnóstico médico, la manipulación maliciosa de este proceso puede tener consecuencias devastadoras, incluso llevar a diagnósticos y tratamientos incorrectos. Por ejemplo, se utilizan ataques de one-pixel en un escenario de vida real utilizando un conjunto de datos de patología real (TUPAC16) y se apunta al detector de cáncer de mama IBM CODAIT’s MAX utilizando imágenes adversarias [7]. Los resultados muestran que una modificación mínima de un solo píxel en una imagen completa puede invertir el resultado del diagnóstico automático, lo que plantea una amenaza real desde la perspectiva de la ciberseguridad, ya que este método de one-pixel podría ser utilizado como un vector de ataque por un atacante motivado. Esto subraya la importancia de proteger los sistemas de IA en aplicaciones médicas contra amenazas cibernéticas y ataques adversariales.
Ataques de inversión, inferencia y extracción de modelos
Los ataques de inversión, inferencia y extracción de modelos se centran en la obtención de información confidencial sobre un modelo de aprendizaje automático o un conjunto de entrenamiento. Algunos ejemplos de estos ataques son:
– Ataque de extracción de modelo: Consiste en recopilar información de un modelo para reconstruir un modelo sustituto que se comporte de manera similar al original.
– Ataque de inferencia de membresía: Se utiliza para determinar si una entrada (posiblemente un individuo) formó parte del conjunto de entrenamiento del modelo.
– Ataque de inversión de modelo: Tiene como objetivo invertir el modelo para obtener información adicional sobre características sensibles de un sujeto conocido en el conjunto de datos. El término ‘sensible’ en este contexto se refiere a características que el creador del modelo no desea que se revelen al consumidor de la salida del modelo.
– Ataque de inferencia de propiedad: Consiste en extraer propiedades del conjunto de datos que no están explícitamente codificadas como características en el modelo.
En este caso, las fuentes de amenazas de los ataques de inversión, inferencia y extracción de modelos son probablemente actores externos que tienen acceso a las interfaces del modelo como consumidores regulares o insiders con conocimiento parcial de la arquitectura del modelo, hiperparámetros, configuración de entrenamiento o acceso completo al modelo en sí. El tipo y los métodos de ataque disponibles para un atacante varían según la cantidad de información que el atacante pueda obtener sobre el modelo y el conjunto de entrenamiento, la arquitectura de aprendizaje y el algoritmo de aprendizaje automático utilizado. Estos ataques pueden tener un impacto significativo en la seguridad y la privacidad de los datos personales, y podrían llevar a la divulgación de información personal. También pueden tener implicaciones legales y económicas para la organización que posee o controla el modelo de aprendizaje automático. Para defenderse contra estos ataques, se pueden implementar diversas medidas de seguridad, como la detección de anomalías en las consultas al modelo, la aplicación de ruido aleatorio, el uso de la Privacidad Diferencial (DP) y la regularización para reducir el sobreajuste del modelo.
Otros tipos de ataques y desafíos
Además de los tipos de ataque expuestos anteriormente, existen toda una serie de cuestiones que pueden comprometer la ciberseguridad de un sistema de IA. Se podrían mencionar diversas preocupaciones como la introducción de datos adversarios (adversarial data) en los conjuntos de entrenamiento, la falta de regulación sólida, la opacidad en la transparencia de los modelos, la falta de conocimiento de los líderes empresariales y la necesidad de gestionar las consecuencias no intencionadas de los cambios en los modelos de IA. Estos riesgos pueden conducir a resultados inesperados, sesgos en los datos y falta de responsabilidad [8].
Existen desafíos que directa o indirectamente pueden afectar la ciberseguridad de sistemas de IA en centros médicos, como, por ejemplo, la falta de una clara articulación de los resultados y las expectativas organizativas en cuanto al rendimiento, calidad y precisión. Este es un punto crítico en la implementación de la IA y el aprendizaje automático, porque si no se establecen unos objetivos tecnológicos específicos para los proveedores, definiendo el rendimiento esperado, la precisión, el margen de error y las salidas definidas, y cómo se relacionan con la calidad de la atención médica, los resultados pueden ser poco útiles, afectar negativamente la toma de decisiones y socavar la confianza en la tecnología.
En cuanto a las fuentes de amenazas potenciales, se incluyen la mala calidad de los datos, la falta de transparencia y controles del sistema, y la de-identificación de datos, que pueden conducir a sesgos y diferencias en los planes de tratamiento o flujos de trabajo del paciente. Además, es importante reconocer las limitaciones de la IA y los posibles sesgos en los algoritmos, así como el riesgo de ajuste deficiente o excesivo cuando se aplica algún tipo cambio o transición de los datos (data transition).
Para abordar estos desafíos en la implementación de la IA y el aprendizaje automático se proponen varias soluciones [8]:
– Plan de datos y adquisición: Es esencial establecer objetivos tecnológicos claros para los proveedores y definir el rendimiento esperado, la precisión y otros criterios relacionados con la calidad de la atención médica. También se debe considerar la gestión de la privacidad del paciente y el consentimiento en los ensayos clínicos.
– Educación sobre IA/aprendizaje automático: Se sugiere implementar programas de educación y capacitación en IA para personal médico y profesionales de la salud. Esto debe ser una responsabilidad compartida entre las organizaciones de atención médica y las empresas de IA.
– Requisitos ISO13485 para dispositivos móviles: Se necesita capacitación para todas las personas interesadas en el proyecto que construyan, respalden o presten servicio al dispositivo médico. Esto incluye a proveedores de sistemas y a quienes brindan servicios de mantenimiento.
– Gestión de riesgos cibernéticos: Es crucial adoptar un enfoque basado en el riesgo para la clasificación de software IA/aprendizaje automático. Esto incluye la evaluación de la ciberseguridad y la transparencia en el diseño del producto.
– Gestión de vulnerabilidades: Se recomienda la monitorización de vulnerabilidades, pruebas de penetración independientes y pruebas periódicas de verificación y validación. También se deben considerar las variables que pueden afectar al conjunto de entrenamiento y los resultados inesperados.
– Gestión post-market: Se sugiere realizar estudios de seguimiento post-comercialización (PMCF) para identificar posibles riesgos residuales de dispositivos con marcado CE y para recopilar datos sobre el rendimiento clínico a largo plazo. Además, se debe implementar la vigilancia post-mercado, incluyendo la monitorización proactiva de la ciberseguridad y la gestión de vulnerabilidades.
– Gestión de parches: Se debe prestar atención a la gestión de parches y la actualización de software IA/aprendizaje automático para garantizar una transición sin problemas y minimizar el tiempo de inactividad del usuario.
Además de los riesgos de ciberseguridad inherentes a cualquier sistema informático, existen algunos riesgos específicos de las soluciones de IA. El ámbito de la salud no está exento de estos riesgos y es, de hecho, el blanco específico de muchas intrusiones cibernéticas. El objetivo de estos ataques puede ir desde obtener acceso a datos médicos, hasta envenenar los datos o manipular los modelos para copiarlos, dañar su desempeño o inferir información de pacientes. Además, los constantes avances en IA hacen que ésta sea utilizada para desarrollar ataques más efectivos y complejos. Pero afortunadamente, estos avances también permiten anticipar vulnerabilidades, detener los ataques a tiempo y evitar la sobrecarga de las defensas humanas.
Existen además otros desafíos de ciberseguridad en la IA más asociados a la estructura organizativa, la opacidad en la transparencia de los modelos o la falta de conocimiento de líderes empresariales. Para abordar todos estos desafíos, es necesario implementar medidas como la verificación del modelo, la regulación adecuada, la transparencia en la toma de decisiones, la educación de líderes empresariales, y la implementación de prácticas de gestión de cambios.
En definitiva, y como conclusión, podemos decir que la ciberseguridad en los sistemas de atención médica basados en IA es esencial para garantizar la precisión de los diagnósticos, así como la privacidad y la integridad de los datos; unos factores que son pilares fundamentales a la hora de mantener la confianza en estos sistemas críticos para la salud pública.
[1] AI in Healthcare: Protecting the Systems that Protect Us. (2020). Wired. Recuperado de https://www.wired.com/brandlab/2020/04/ai-healthcare-protecting-systems-protect-us/ (Visitado el 26 de octubre de 2023).
[2] Hospital Clínic. (2023). Ciberatac a l’hospital Clínic Barcelona. Recuperado de https://www.clinicbarcelona.org/ca/premsa/ultima-hora/ciberatac-a-lhospital-clinic-barcelona (Visitado el 26 de octubre de 2023).
[3] INTERPOL. (2020). Cybercriminals targeting critical healthcare institutions with ransomware. INTERPOL. Recuperado de https://www.interpol.int/en/News-and-Events/News/2020/Cybercriminals-targeting-critical-healthcare-institutions-with-ransomware (Visitado el 26 de octubre de 2023).
[4] Eur-Lex, Access to EU law. (2022). Ciberseguridad de las redes y sistemas de información. Recuperado de https://eur-lex.europa.eu/ES/legal-content/summary/cybersecurity-of-network-and-information-systems-2022.html (Visitado el 26 de octubre de 2023).
[5] Federal Register, the Daily Journal of the United States Government. (2023). Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions; Guidance for Industry and Food and Drug Administration Staff; Availability. Recuperado de https://www.federalregister.gov/documents/2023/09/27/2023-20955/cybersecurity-in-medical-devices-quality-system-considerations-and-content-of-premarket-submissions (Visitado el 26 de octubre de 2023)
[6] Departamento de Salud y Servicios Humanos de EE. UU. (2023). Artificial Intelligence, Cybersecurity and the Health Sector. Departamento de Salud y Servicios Humanos de EE. UU. Recuperado de https://www.hhs.gov/sites/default/files/ai-cybersecurity-health-sector-tlpclear.pdf (Visitado el 26 de octubre de 2023).
[7] Korpihalkola, J., Sipola, T., Puuska, S., & Kokkonen, T. (2021). One-Pixel Attack Deceives Computer-Assisted Diagnosis of Cancer. En SPML 2021 (págs. 100–106). ACM. doi: 10.1145/3483207.3483224.
[8] Healthcare & Public Health Sector Coordinating Councils. (2023). Health Industry Cybersecurity-Artificial Intelligence Machine Learning (HIC-AIM). Recuperado de https://www.aha.org/cybersecurity-government-intelligence-reports/2023-02-08-new-hscc-cwg-publication-artificial-intelligence-cybersecurity (Visitado el 26 de octubre de 2023).
El proyecto INCISIVE, dedicado a mejorar el diagnóstico y tratamiento del cáncer de próstata, ...
26 SEPTIEMBRE 2024El Espai Bital, en Hospitalet de Llobregat, acogerá los próximos 8 y 9 de ...
19 SEPTIEMBRE 2024Con la entrada en vigor del Reglamento europeo de inteligencia artificial, también conocido como ...
19 JULIO 2024