Sin ciberseguridad no habrá Salud Digital. Este es un tema en el que hemos insistido en diversas ocasiones, tanto en foros de debate como en entradas de este blog. La Inteligencia Artificial no es inmune en absoluto a este peligro. En fechas recientes hemos tenido un nuevo ejemplo de esta problemática: se ha identificado una vulnerabilidad en ChatGPT que permite acceder a informaciones confidenciales y sensibles, como por ejemplo los datos de salud de un paciente.
Acceso a información sensible
Los ciberdelincuentes están explotando una vulnerabilidad identificada en ChatGPT, la popular IA generativa, para atacar sistemas de Inteligencia Artificial. Entre las organizaciones afectadas figuran entidades del sector sanitario. Según un informe de la firma de ciberseguridad Veriti, en una sola semana se registraron más de 10 000 ataques contra todo tipo de entidades financieras, de salud y gubernamentales. Esta vulnerabilidad permite a los atacantes inyectar URLs maliciosas en los parámetros de entrada de las aplicaciones, y de este modo forzar al sistema a realizar peticiones en nombre del atacante. A causa de esta vulnerabilidad, los ciberdelincuentes pueden acceder a información sensible analizada por la IA tales como datos de salud o transacciones financieras. La mayoría de estos ataques, remarca el informe, han afectado a organizaciones estadounidenses, tanto públicas como privadas.
Una amenaza creciente
La Asociación Americana de Hospitales (AHA) ha emitido un comunicado donde alerta sobre el riesgo que esta vulnerabilidad representa para las instituciones sanitarias. Señalan que podría desencadenar fugas de datos, transacciones no autorizadas, sanciones administrativas y perjuicio a la reputación de las entidades afectadas. Scott Gee, asesor nacional adjunto de ciberseguridad de la AHA, remarcó la importancia de integrar la gestión de parches en un plan de gobernanza integral para la IA en entornos hospitalarios.
Por el momento no existe una solución definitiva para esta vulnerabilidad, pues en un principio se consideró de bajo riesgo. No obstante, Veriti advirtió que esta puede convertirse de la noche a la mañana en uno de los vectores de ataque preferidos de los piratas informáticos. En este sentido, la firma recomienda que los equipos de seguridad monitoreen los registros de red en busca de intentos de ataque desde direcciones IP sospechosas, y que den prioridad a la identificación y corrección de brechas de seguridad relacionadas con la IA en sus evaluaciones de riesgo.
Este incidente subraya la creciente amenaza que representan las vulnerabilidades en sistemas de IA para el sector sanitario. Conforme a un informe reciente, el 67% de las organizaciones de atención médica fueron víctimas de ataques de ransomware en el último año, lo que indica un aumento en la ciberdelincuencia contra hospitales, sistemas de salud y clínicas.
La colaboración, clave para el desarrollo de estrategias efectivas
La explotación de vulnerabilidades en sistemas de IA no solo pone en riesgo la confidencialidad de los datos de los pacientes, sino que también puede afectar la disponibilidad y funcionalidad de herramientas críticas utilizadas en la atención médica. Por lo tanto, es esencial que las instituciones sanitarias adopten medidas proactivas para fortalecer sus defensas cibernéticas. Estas deberían incluir la implementación de sólidos protocolos de seguridad, la actualización de sistemas y la capacitación continua del personal en prácticas de ciberseguridad.
La colaboración entre entidades sanitarias, expertos en ciberseguridad y organismos reguladores es clave para desarrollar estrategias efectivas que protejan la integridad y privacidad de la información en el sector salud. Solo así podremos llegar a aprovechar la plétora de posibilidades que nos ofrece el avance tecnológico.
