Herramientas de GenAI orientadas al consumidor carecen de regulaciones como HIPAA y exponen datos médicos altamente cotizados por ciberdelincuentes
Por: Rodrigo Pujol
El mercado de la salud digital, las herramientas de inteligencia artificial generativa (GenAI) y la seguridad de la información experimentan una transformación sin precedentes que impacta directamente en el bienestar de la población. En el entorno contemporáneo del cuidado de la salud, la saturación y presión sobre los sistemas nacionales de atención médica ha impulsado a los usuarios a recurrir a soluciones automatizadas de consulta antes de acudir a una clínica. Esta tendencia plantea un desafío crítico en la gestión de la privacidad y la precisión clínica, demostrando que depender de plataformas de asistencia virtual sin verificar sus políticas de manejo de datos es el factor más crítico que expone a los pacientes a diagnósticos erróneos y a la filtración de su historial clínico en mercados clandestinos de la red.
Frente al entusiasmo desmedido por la adopción de asistentes tecnológicos en el diagnóstico preliminar de síntomas, se ha formalizado una advertencia sobre las vulnerabilidades informáticas y operativas de estas herramientas.
Alucinaciones diagnósticas y la brecha del sesgo clínico
La compañía de detección proactiva de amenazas ESET oficializó una postura de precaución ante el auge de plataformas como Copilot Health, ChatGPT Health y Amazon’s HealthAI, diseñadas para ayudar a los consumidores a interpretar historiales médicos o análisis de laboratorio. La organización advierte que el principal riesgo de estas tecnologías radica en la presencia de «alucinaciones» o sugerencias erróneas que confunden a los usuarios. Un estudio de la Universidad de Oxford reveló que ligeras variaciones en la formulación de una pregunta generan respuestas contradictorias, y que los pacientes carecen de las herramientas analíticas para distinguir entre una recomendación médica válida y una perjudicial.
La doctora Rebecca Payne, autora principal de la investigación de Oxford, alertó que la inteligencia artificial no se encuentra lista para asumir las funciones de un médico, ya que su uso inadecuado puede derivar en la omisión de síntomas que requieren atención de urgencia hospitalaria.
La desprotección legal de los datos clínicos del consumidor
El núcleo del riesgo de privacidad estriba en que la mayoría de los chatbots de salud para consumidores operan fuera del marco regulatorio de la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA). Al ser catalogados como servicios de consumo y no corporativos, los proveedores no están sujetos a las estrictas normas de confidencialidad médica. Esto facilita que la información personal sensible sea utilizada para el entrenamiento de los propios modelos de lenguaje o termine en manos de intermediarios de datos (agregadores), quienes comercializan perfiles anonimizados con firmas publicitarias.
Mario Micucci, Investigador de Seguridad Informática de ESET Latinoamérica, explicó que la dispersión de datos médicos en múltiples organizaciones incrementa la superficie de ataque para los ciberdelincuentes. El especialista detalló las razones por las cuales estos registros son altamente cotizados en el mercado negro:
- Permanencia del valor de la información: Los datos de salud mantienen su vigencia y utilidad para los criminales durante periodos prolongados a diferencia de las claves bancarias tradicionales.
- Fraude de servicios médicos: Las pólizas y registros de seguros se utilizan ilegalmente para reclamaciones financieras fraudulentas o para la obtención de tratamientos a nombre de terceros.
- Campañas de extorsión dirigida: El conocimiento de padecimientos privados o condiciones sensibles se emplea como herramienta de presión y chantaje contra los usuarios.
Guía de mitigación y mejores prácticas en consultas digitales
Para reducir el impacto de los riesgos asociados a la GenAI en el ámbito sanitario, el equipo técnico de ESET aconseja prescindir de los modelos de uso general y priorizar plataformas con enlaces de citación verificables, sin sustituir nunca la valoración de profesionales o fuentes oficiales como MedlinePlus. Asimismo, emitieron un protocolo de protección de la privacidad:
- Evitar la carga de archivos oficiales: No subir documentos de identidad, recetas, resultados de laboratorio ni historiales clínicos sin conocer las políticas del sistema.
- Omitir datos de identidad: Abstenerse de capturar nombres, domicilios, números de pacientes o datos de contacto en la caja de texto.
- Restringir el almacenamiento de datos: Desactivar explícitamente las funciones de almacenamiento de historial de chat y el permiso de entrenamiento del modelo.
- Principio de minimización de datos: Proporcionar únicamente la información estrictamente indispensable para resolver la duda conceptual.
- Asunción de vulnerabilidad: Operar bajo la premisa de que cualquier texto introducido puede quedar expuesto y ajustar la consulta bajo un estricto anonimato.
Los directores de instituciones de salud, responsables de seguridad de la información en hospitales, desarrolladores de tecnologías médicas, asesores legales en protección de datos y usuarios interesados en profundizar en el impacto de los modelos de lenguaje en la medicina, pueden consultar los informes extendidos en el portal WeLiveSecurity. De igual forma, los análisis sobre las tendencias de ciberseguridad se encuentran disponibles en el canal de audio Conexión Segura en la plataforma Spotify.
Nota del Editor: La advertencia de ESET sobre el uso de la inteligencia artificial en temas de salud toca una fibra extremadamente sensible en una sociedad hiperconectada. La inmediatez y el tono reconfortante de un chatbot son atractivos para un paciente ansioso, pero la comodidad no puede sustituir la precisión de una consulta médica real. El verdadero peligro no es solo la «alucinación» del software, sino el vacío legal que rodea a estas aplicaciones de consumo masivo, las cuales no están obligadas a cumplir con normativas estrictas como HIPAA. Al ingresar datos en estas plataformas, los usuarios alimentan involuntariamente bases de datos comerciales que luego se convierten en blancos perfectos para la extorsión y el fraude de seguros. La IA debe consolidarse como una herramienta complementaria para entender conceptos de terminología médica, jamás como un sustituto del diagnóstico profesional. En cuestiones de salud, la confianza ciega en un algoritmo puede costar vidas.
Para contactar al editor escribe al correo: editor@thunder.mx
#InteligenciaArtificial #ESET #SaludDigital #Ciberseguridad #PrivacidadDeDatos #GenAI #WeLiveSecurity #DerechosDelPaciente #HIPAA #ProtecciónDigital
