{"id":22908,"date":"2023-10-30T14:57:31","date_gmt":"2023-10-30T12:57:31","guid":{"rendered":"https:\/\/ticsalutsocial.atoom.space\/noticia\/ciberseguretat-i-intelligencia-artificial-reptes-principals-i-possibles-solucions-en-lambit-de-la-salut\/"},"modified":"2023-10-30T15:49:10","modified_gmt":"2023-10-30T13:49:10","slug":"ciberseguridad-y-inteligencia-artificial-retos-i-soluciones-en-salud","status":"publish","type":"noticia","link":"https:\/\/ticsalutsocial.atoom.space\/es\/noticia\/ciberseguridad-y-inteligencia-artificial-retos-i-soluciones-en-salud\/","title":{"rendered":"Ciberseguridad e inteligencia artificial: principales retos y posibles soluciones en el \u00e1mbito de la salud"},"content":{"rendered":"\n

La Agencia de Ciberseguridad de la Uni\u00f3n Europea (ENISA) celebra cada mes de octubre el #CyberSecMonth,<\/a> una campa\u00f1a anual para promover la ciberseguridad entre la ciudadan\u00eda y organizaciones de la UE, y proporcionar informaci\u00f3n actualizada sobre seguridad en l\u00ednea mediante actividades de sensibilizaci\u00f3n e intercambio de buenas pr\u00e1cticas. Con motivo de esta campa\u00f1a, Didier Dom\u00ednguez<\/strong>, experto en inteligencia artificial de la Fundaci\u00f3n TIC Salut Social, y Oriol Casta\u00f1o,<\/strong> experto en ciberseguridad de la Oficina de Protecci\u00f3n de Datos en Salud<\/a>, han escrito el siguiente art\u00edculo sobre ciberseguridad e inteligencia artificial en el \u00e1mbito de la salud.<\/strong><\/p>\n\n\n\n

<\/p>\n\n\n\n

La integraci\u00f3n de la inteligencia artificial (IA) en el \u00e1mbito de la salud es una realidad con un gran potencial para mejorar el diagn\u00f3stico, tratamiento y gesti\u00f3n de pacientes. Sin embargo, junto con estas nuevas oportunidades<\/strong>, surgen desaf\u00edos importantes<\/strong>, especialmente en el campo de la ciberseguridad<\/strong>, lo que representa un reto adicional en la implementaci\u00f3n de IA en hospitales y sistemas de salud en general.<\/p>\n\n\n\n

La ciberseguridad es fundamental en la atenci\u00f3n sanitaria impulsada por IA. Los sistemas de IA procesan enormes cantidades de datos cl\u00ednicos, como historias m\u00e9dicas, im\u00e1genes y resultados de an\u00e1lisis. Estos datos son muy sensibles y deben protegerse para evitar su uso indebido o el acceso no autorizado. De hecho, esta informaci\u00f3n es considerada como una categor\u00eda especial de datos personales por la normativa de protecci\u00f3n de datos, debido a que afectan al \u00e1mbito m\u00e1s \u00edntimo de las personas y son susceptibles de ser utilizados para discriminar, perjudicar a las personas o para cometer delitos. Por este motivo, hay que proteger adecuadamente los datos de salud utilizando las m\u00e1ximas medidas de seguridad adecuadas a cada caso<\/strong>.<\/p>\n\n\n\n

Ataques cibern\u00e9ticos en salud<\/strong><\/h2>\n\n\n\n

El sector de la salud no es inmune a los ataques cibern\u00e9ticos, pese a las fuertes implicaciones \u00e9ticas que conlleva un ataque a cualquier centro m\u00e9dico. En 2017, la campa\u00f1a de secuestro de datos (ransomware<\/em>) WannaCry<\/em> paraliz\u00f3 partes del Servicio Nacional de Salud del Reino Unido durante d\u00edas, y en 2019, un individuo malicioso filtr\u00f3 los datos personales de miles de pacientes con VIH en Singapur [1]. Tambi\u00e9n se han registrado incidentes recientes, como el ciberataque al Hospital Cl\u00ednic de Barcelona en marzo de 2023, que dej\u00f3 el sistema inform\u00e1tico inoperable y afect\u00f3 servicios cr\u00edticos, incluyendo las urgencias, consultas externas y el laboratorio de an\u00e1lisis cl\u00ednicos, adem\u00e1s de posponer tratamientos oncol\u00f3gicos e intervenciones m\u00e9dicas importantes [2]. Estos eventos resaltan la vulnerabilidad del sector de la salud ante las amenazas cibern\u00e9ticas.<\/p>\n\n\n\n

Los ataques contra el sector de la salud est\u00e1n en aumento, con ataques dirigidos a sistemas m\u00e9dicos y demandas de rescate que van desde los miles a los millones de euros. Las consecuencias de un ataque exitoso repercuten en todos los niveles de la atenci\u00f3n m\u00e9dica, traduci\u00e9ndose en reprogramaci\u00f3n de visitas, retrasos en los tratamientos y posibles fallos diagn\u00f3sticos.<\/p>\n\n\n\n

Desde 2020 la INTERPOL ha advertido sobre el crecimiento de ataques de ransomware<\/em> dirigidos a hospitales y otras instituciones involucradas en la respuesta global al COVID-19. Estos ataques buscan bloquear los sistemas cr\u00edticos y extorsionar mediante pagos, y por ello el organismo internacional ha emitido una alerta a las fuerzas de polic\u00eda de sus pa\u00edses miembros sobre esta amenaza [3].<\/p>\n\n\n\n

Adem\u00e1s, la proliferaci\u00f3n de dispositivos IoT en el sector m\u00e9dico<\/strong>, como marcapasos y bombas de insulina conectadas a Internet, aumenta la vulnerabilidad<\/strong>, ya que las protecciones de ciberseguridad pueden presentar fallos en la carrera por lanzar nuevos equipos m\u00e9dicos al mercado.<\/p>\n\n\n\n

Cambios en la regulaci\u00f3n<\/strong><\/h2>\n\n\n\n

Las instituciones gubernamentales est\u00e1n tomando cartas en el asunto. La DIRECTIVA (UE) 2022\/2555 [4], relativa a las medidas destinadas a garantizar un elevado nivel com\u00fan de ciberseguridad en toda la Uni\u00f3n Europea, establece los requisitos m\u00ednimos de ciberseguridad que deben cumplir las organizaciones europeas que gestionan redes y sistemas de informaci\u00f3n de los sectores considerados como cr\u00edticos: energ\u00eda, transporte, agua, sector sanitario<\/strong>, infraestructura digital, administraci\u00f3n p\u00fablica, banca y finanzas, entre otras. Tambi\u00e9n establece que los Estados miembros deben adoptar estrategias nacionales de ciberseguridad y designar autoridades nacionales competentes, puntos de contacto \u00fanicos de seguridad y equipos de respuesta a incidentes de ciberseguridad. Por lo tanto, esta directiva combina m\u00faltiples estrategias para mejorar la ciberseguridad de las organizaciones del sector sanitario, entre ellas: an\u00e1lisis de riesgos, gesti\u00f3n de incidentes, continuidad de la actividad, seguridad de la cadena de suministro y el uso de sistemas de comunicaci\u00f3n de emergencia seguros dentro de la organizaci\u00f3n. Esta Directiva entrar\u00e1 en vigor el 18 de octubre de 2024 <\/strong>y derogar\u00e1 la Directiva NIS 2.<\/p>\n\n\n\n

Por otro lado, la Administraci\u00f3n de Alimentos y Medicamentos de los Estados Unidos (FDA) emiti\u00f3 una serie de recordatorios y advertencias despu\u00e9s de descubrir los fallos citados anteriormente en los dispositivos IoT en el sector m\u00e9dico para tratar de mejorar sus est\u00e1ndares de seguridad predeterminados. La reciente aprobaci\u00f3n por el Congreso de los Estados Unidos<\/strong> de la Ley de Asignaciones Consolidadas de 2023, en particular la Secci\u00f3n 3305 titulada ‘Garantizar la Ciberseguridad de los Dispositivos M\u00e9dicos’ [5], enmend\u00f3 la Ley Federal de Alimentos, Medicamentos y Cosm\u00e9ticos para fortalecer las regulaciones de ciberseguridad para los dispositivos m\u00e9dicos. Estas enmiendas, que deb\u00edan entrar en vigor el 29 de marzo de 2023, subrayan el creciente reconocimiento de la necesidad de priorizar la ciberseguridad en el desarrollo de tecnolog\u00edas m\u00e9dicas.<\/p>\n\n\n\n

En resumen, si bien ning\u00fan dispositivo o red es completamente inmune a las vulnerabilidades, medidas regulatorias como estas son fundamentales para mitigar riesgos y fomentar tecnolog\u00edas de atenci\u00f3n m\u00e9dica m\u00e1s seguras.<\/p>\n\n\n\n

\u00bfCu\u00e1l es el impacto de la IA en la ciberseguridad?<\/strong><\/h2>\n\n\n\n

La IA est\u00e1 teniendo un impacto significativo en la ciberseguridad, ya que los atacantes est\u00e1n utilizando la IA tanto para dise\u00f1ar como para llevar a cabo intrusiones cibern\u00e9ticas<\/strong>. Esto incluye el desarrollo de correos electr\u00f3nicos de phishing<\/em> m\u00e1s sofisticados, ataques de suplantaci\u00f3n de identidad, la explotaci\u00f3n r\u00e1pida de vulnerabilidades, la creaci\u00f3n de c\u00f3digos de malware<\/em> complejos, una mayor recopilaci\u00f3n de informaci\u00f3n sobre objetivos, la automatizaci\u00f3n de ataques y la sobrecarga de las defensas humanas. Adem\u00e1s, la IA se est\u00e1 utilizando para expandir y hacer que el ransomware<\/em> sea m\u00e1s evasivo, lo que representa un desaf\u00edo adicional para la ciberseguridad [6].<\/p>\n\n\n\n

Todos estos factores llevan el concepto de ciberseguridad a otro nivel, ya que implica anticipar vulnerabilidades<\/strong> en lugar de simplemente repararlas despu\u00e9s del hecho. Las amenazas cibern\u00e9ticas evolucionan constantemente y superan las medidas de seguridad tradicionales. Para abordar esta brecha, las organizaciones est\u00e1n recurriendo cada vez m\u00e1s a la IA en ciberseguridad. La \u2018ciber IA\u2019 es capaz de identificar y responder a actividades maliciosas de manera aut\u00f3noma, deteniendo ataques como el ransomware<\/em> antes de que causen da\u00f1o, ya que comprenden lo que es normal y anormal en la red. Este enfoque, similar al sistema inmunol\u00f3gico humano, ha tenido \u00e9xito en la detecci\u00f3n de ciberataques sofisticados<\/strong> en los \u00faltimos a\u00f1os, atrapando a los atacantes en etapas tempranas [1].<\/p>\n\n\n\n

Ejemplos de ciberataques en el \u00e1mbito de la IA en salud<\/strong><\/h2>\n\n\n\n

Envenenamiento de datos de entrada<\/strong><\/p>\n\n\n\n

Existen muchas preocupaciones de ciberseguridad asociadas espec\u00edficamente a la implementaci\u00f3n de IA en centros de salud como el envenenamiento de datos de entrada (data poisoning<\/em>). Se trata de la introducci\u00f3n de datos maliciosos en el conjunto de entrenamiento de una aplicaci\u00f3n de aprendizaje autom\u00e1tico, lo que afecta a la salida del modelo. Esto puede ocurrir si individuos maliciosos tienen acceso a los datos de entrada utilizados para entrenar el modelo.<\/p>\n\n\n\n

Los posibles objetivos en un entorno de atenci\u00f3n m\u00e9dica incluyen sistemas de an\u00e1lisis de datos, dispositivos IoT, sistemas de monitoreo de redes y seguridad, y sistemas de control de instalaciones. Se pueden emplear diferentes m\u00e9todos para llevar a cabo ataques durante las fases de entrenamiento y prueba, lo que puede resultar en da\u00f1os t\u00e9cnicos, incluyendo la integridad de los datos, la disponibilidad de servicios y la degradaci\u00f3n del rendimiento. Para mitigar esta amenaza, se sugiere limpiar y revisar adecuadamente los datos de entrada durante el proceso de entrenamiento y prueba, identificar valores at\u00edpicos y anomal\u00edas, y mantener la integridad y el rendimiento del modelo con medidas de monitorizaci\u00f3n y seguridad adecuadas.<\/p>\n\n\n\n

Ataque one-Pixel<\/em><\/strong><\/p>\n\n\n\n

Algunos art\u00edculos sostienen que el one-pixel attack <\/em>es un peligro real en el contexto de la visi\u00f3n por computador y el aprendizaje autom\u00e1tico aplicado a la detecci\u00f3n y diagn\u00f3stico de c\u00e1ncer [7]. Cuando se automatizan tareas cr\u00edticas como el diagn\u00f3stico m\u00e9dico, la manipulaci\u00f3n maliciosa de este proceso puede tener consecuencias devastadoras, incluso llevar a diagn\u00f3sticos y tratamientos incorrectos. Por ejemplo, se utilizan ataques de one-pixel<\/em> en un escenario de vida real utilizando un conjunto de datos de patolog\u00eda real (TUPAC16) y se apunta al detector de c\u00e1ncer de mama IBM CODAIT’s MAX utilizando im\u00e1genes adversarias [7]. Los resultados muestran que una modificaci\u00f3n m\u00ednima de un solo p\u00edxel en una imagen completa puede invertir el resultado del diagn\u00f3stico autom\u00e1tico, lo que plantea una amenaza real desde la perspectiva de la ciberseguridad, ya que este m\u00e9todo de one-pixel<\/em> podr\u00eda ser utilizado como un vector de ataque por un atacante motivado. Esto subraya la importancia de proteger los sistemas de IA en aplicaciones m\u00e9dicas contra amenazas cibern\u00e9ticas y ataques adversariales.<\/p>\n\n\n\n

Ataques de inversi\u00f3n, inferencia y extracci\u00f3n de modelos<\/strong><\/p>\n\n\n\n

Los ataques de inversi\u00f3n, inferencia y extracci\u00f3n de modelos se centran en la obtenci\u00f3n de informaci\u00f3n confidencial sobre un modelo de aprendizaje autom\u00e1tico o un conjunto de entrenamiento. Algunos ejemplos de estos ataques son:<\/p>\n\n\n\n