“El riesgo no es solo recibir un consejo incorrecto, sino también que los usuarios compartan información personal altamente sensible con sistemas cuyas protecciones de privacidad, prácticas de intercambio de datos y obligaciones legales pueden diferir de las de un médico o un hospital, así como que sus datos queden expuestos a entidades inesperadas. El mal uso de los chatbots de IA en general es actualmente el principal riesgo tecnológico en salud, según una organization de seguridad del paciente de EE. UU”, comenta Mario Micucci, investigador de Seguridad Informática de ESET Latinoamérica.
Segú Microsoft, las personas en sus dispositivos móviles hablan sobre su salud y la de sus seres queridos más que de cualquier otro tema. Los chatbots están disponibles las 24 horas, los 7 días de la semana, con una respuesta para todo, expresada en un tono seguro que ayuda a tranquilizar a los pacientes nerviosos.
En un momento en que los sistemas nacionales de salud están cada vez más presionados, es probable que muchas personas se auto diagnostiquen con ayuda de la IA antes de decidir si deben buscar atención médica.
Sin embargo, ya están surgiendo preocupaciones. La primera es la de las alucinaciones o el asesoramiento incorrecto. Un estudio de la Universidad de Oxford de febrero, publicado en Nature Medicine, encontró que los usuarios a menudo no sabían qué información debían compartir, que se les proporcionaban respuestas muy diferentes, incluso si las preguntas variaban solo ligeramente y que los modelos a menudo ofrecían tanto buenos como malos consejos, pero los usuarios tenían dificultades para distinguir entre ambos.
“A pesar de todo el entusiasmo, la IA simplemente no está lista para asumir el rol de médico”, advirtió la autora principal del estudio, la doctora Rebecca Payne. “Los pacientes deben ser conscientes de que preguntarle a un modelo de lenguaje sobre sus síntomas puede ser peligroso, generar diagnósticos erróneos y no reconocer cuándo se necesita ayuda urgente”.
Riesgos de privacidad
El compartir información médica sensible con un chatbot público puede implicar que esos datos se utilicen para entrenar al modelo y, por lo tanto, puedan terminar reapareciendo en respuestas a otros usuarios. Incluso de forma involuntaria, ya hubo casos de modelos que han expuesto datos introducidos por sus usuarios.
Algunos proveedores pueden utilizar los datos para mejorar sus modelos, a menos que los usuarios opten por no participar, mientras que otros hacen promesas más firmes de no usar información relacionada con la salud para el entrenamiento. En cualquier caso, todos deberían saber con qué tipo de servicio están interactuando antes de subir información sensible. Por otro lado, la mayoría de los principales chatbots centrados en salud prometen no usar estos datos para entrenamiento. Aun así, el entrenamiento es solo una parte del panorama de privacidad, y es posible que estos servicios no hagan las mismas promesas respecto al intercambio de datos con terceros. La información médica personal podría terminar en manos de un agregador de datos, un tercero que actúa como intermediario entre el proveedor del modelo y el proveedor de salud. También podría compartirse con anunciantes, ya sea directamente o a través de estos intermediarios, aunque normalmente se anonimiza antes de su uso. Aun así, conviene actuar con cautela: los datos de salud son especialmente sensibles, y la anonimización no siempre elimina todos los riesgos.
El problema de que datos sensibles circulen por tantas organizaciones es que hay mayores probabilidades de que queden expuestos a ciberdelincuentes y estafadores. Legisladores estadounidenses afirman haber identificado pérdidas por valor de 21.000 millones de dólares vinculadas a un puñado de brechas en empresas de intermediación de datos. Los datos de salud son altamente valiosos para los delincuentes ya que mantienen su valor durante largos períodos, pueden incluir información de seguros para presentar reclamaciones fraudulentas o recibir servicios médicos a nombre de otra persona, y pueden usarse para extorsiones.
“Cuantas más empresas tengan estos datos, más oportunidades existen para que los atacantes las comprometan y los roben. El desafío es que la mayoría de las herramientas de IA para salud no están reguladas por HIPAA, ya que se consideran servicios para consumidores y no de nivel empresarial. Esto implica que los proveedores pueden no estar sujetos a las estrictas normas de protección de datos que normalmente cabría esperar”, destaca Micucci.
Para minimizar la exposición a los riesgos de la GenAI en salud, desde ESET detallan que es importante evitar los bots de uso general y optar por aquellos diseñados específicamente para responder preguntas relacionadas con la salud. Además, revisar si el servicio explica cómo gestiona los datos, si se utilizan las interacciones para entrenamiento, si se comparte información con terceros y si está cubierto por HIPAA o un régimen de privacidad equivalente en el país.
“No confíes ciegamente en los resultados, a menos que haya enlaces de citación para verificarlos. Incluso así, no tomes las respuestas como una verdad absoluta: consulta siempre con un profesional de la salud y/o con fuentes oficiales (por ejemplo, NHS, MedlinePlus)”, advierte el investigador de ESET.
Para proteger la privacidad, ESET aconseja considerar lo siguiente:
Nunca compartir o subir documentos médicos, resultados de laboratorio u otra información sensible con una herramienta de IA sin entender cómo maneja esos datos
Evitar introducir nombres, direcciones, datos de seguros, números de paciente u otros identificadores
Asegurarse de desactivar las funciones de entrenamiento y el historial de chat
Compartir solo la información mínima necesaria para la tarea
Asumir que todo lo que se escriba podría almacenarse o exponerse y ajustar sus consultas en consecuencia
“En última instancia, los chatbots de IA pueden servir para ayudarte a pensar preguntas sobre una condición específica antes de acudir al médico o para explicar un término médico que no conoces. Pero hay una gran diferencia entre usar la IA para prepararte para la atención médica y usarla como sustituto de esta. No tomes una respuesta con tono seguro como un diagnóstico, y no ignores síntomas urgentes porque una máquina haya sonado tranquilizadora”, concluye Mario Micucci, investigador de ESET.
No hay comentarios:
Publicar un comentario