En todo Canadá, los médicos y enfermeras utilizan silenciosamente herramientas públicas de inteligencia artificial (IA) como ChatGPT, Claude, Copilot y Gemini para escribir notas clínicas, traducir resúmenes de altas o resumir datos de pacientes. Pero si bien estos servicios ofrecen velocidad y conveniencia, también presentan riesgos cibernéticos sin precedentes cuando un hospital ya no controla la información médica confidencial.
Nuevas pruebas sugieren que este comportamiento se está volviendo más común. Un artículo reciente de ICT & Health Global cita un estudio de BMJ Health & Care Informatics que muestra que aproximadamente uno de cada cinco médicos de cabecera del Reino Unido informó que utiliza herramientas de inteligencia artificial generativa como ChatGPT para ayudar a producir correspondencia o notas clínicas.
Si bien los datos específicos de Canadá siguen siendo limitados, informes anecdóticos sugieren que pueden estar comenzando a surgir usos informales similares en hospitales y clínicas de todo el país.
El marco de privacidad de la atención médica de Canadá se diseñó mucho antes de la llegada de la inteligencia artificial generativa. (Unsplash/Solen Feiissa)
Este fenómeno, conocido como IA en la sombra, se refiere al uso de sistemas de IA sin aprobación o supervisión institucional formal. En entornos de atención médica, esto se refiere a médicos bien intencionados que ingresan datos de pacientes en chatbots públicos que procesan la información en servidores externos. Una vez que esos datos salen de la red segura, no hay garantía de adónde van, cuánto tiempo se almacenan o si se pueden reutilizar para entrenar modelos comerciales.
Un punto ciego cada vez mayor
La IA en la sombra se ha convertido rápidamente en una de las amenazas más pasadas por alto en la salud digital. El informe de IBM Security de 2024 encontró que el costo promedio global de una violación de datos aumentó a casi 4,9 millones de dólares, el más alto registrado. Si bien se presta mayor atención al ransomware o al phishing, los expertos advierten que las filtraciones internas y accidentales representan ahora una proporción cada vez mayor de las infracciones generales.
En Canadá, la Oficina de Seguros de Canadá y el Centro Canadiense de Seguridad Cibernética han destacado el aumento de la exposición de datos internos, donde los empleados divulgan inadvertidamente información protegida. Cuando esos empleados utilizan sistemas de inteligencia artificial no aprobados, la línea entre el error humano y la vulnerabilidad del sistema se difumina.
¿Alguno de estos casos documentados está en centros de salud? Si bien los expertos señalan que la exposición de datos internos es un riesgo creciente en las organizaciones de atención médica, los casos documentados públicamente en los que la causa fundamental es el uso oscuro de la inteligencia artificial siguen siendo raros. Sin embargo, los riesgos son reales.
A diferencia de los ataques maliciosos, estas filtraciones se producen de forma silenciosa, cuando los datos de los pacientes simplemente se copian y pegan en inteligencia artificial generativa. No suenan alarmas, no se activan firewalls y nadie se da cuenta de que datos confidenciales han cruzado las fronteras nacionales. Así es como la IA en la sombra puede eludir cualquier protección integrada en la red de una organización.
Por qué el anonimato no es suficiente
Incluso si se eliminan los nombres y números de los hospitales, la información de salud rara vez es verdaderamente anónima. La combinación de detalles clínicos, marcas de tiempo y pistas geográficas a menudo puede permitir la reidentificación. Un estudio en Nature Communications demostró que incluso grandes conjuntos de datos “no identificados” pueden relacionarse con individuos con una precisión sorprendente en comparación con otra información pública.
Los modelos públicos de IA complican aún más el problema. Herramientas como ChatGPT o Claude procesan las entradas a través de sistemas basados en la nube que pueden almacenar o almacenar en caché datos temporalmente.
Aunque los proveedores afirman que eliminan contenido confidencial, cada uno tiene su propia política de retención de datos y pocos revelan dónde están ubicados físicamente esos servidores. Para los hospitales canadienses sujetos a la Ley de Protección de Información Personal y Documentos Electrónicos (PIPEDA) y a las leyes de privacidad provinciales, esto crea un área legal gris.
Los responsables de las políticas se enfrentan ahora a una elección: gestionar proactivamente el uso de la inteligencia artificial en las instituciones sanitarias o esperar a que el primer gran escándalo de privacidad fuerce la reforma. (Unsplash/Zulfugar Karimov) Ejemplos cotidianos escondidos a plena vista
Consideremos a una enfermera que utiliza un traductor en línea impulsado por inteligencia artificial generativa para ayudar a un paciente que habla otro idioma. La traducción parece instantánea y precisa; sin embargo, el texto ingresado, que puede incluir el diagnóstico de un paciente o los resultados de las pruebas, se envía a servidores fuera de Canadá.
Otro ejemplo involucra a los médicos que utilizan herramientas de inteligencia artificial para redactar cartas de seguimiento de pacientes o resumir notas clínicas, exponiendo sin saberlo información confidencial en el proceso.
Un informe reciente de Insurance Business Canada advierte que la IA en la sombra podría convertirse en el “próximo gran punto ciego” para las aseguradoras.
Debido a que la práctica es interna y voluntaria, la mayoría de las organizaciones no tienen métricas para medir su alcance. Los hospitales que no registran su uso de IA no pueden auditar qué datos salieron de sus sistemas ni quién los envió.
Cerrar la brecha entre política y práctica
El marco de privacidad de la atención médica de Canadá se diseñó mucho antes de la llegada de la inteligencia artificial generativa. Legislaciones como PIPEDA y las leyes provinciales de información sanitaria regulan cómo se recopilan y almacenan los datos, pero rara vez mencionan los modelos de aprendizaje automático o la generación de texto a gran escala.
Como resultado, los hospitales se ven obligados a interpretar las reglas existentes en un entorno tecnológico en rápida evolución. Los especialistas en ciberseguridad sostienen que las organizaciones sanitarias necesitan tres niveles de respuesta:
1- Detección del uso de inteligencia artificial en auditorías de ciberseguridad: Las evaluaciones de seguridad rutinarias deben incluir un inventario de todas las herramientas de IA en uso, sancionadas o no. Trate el uso de IA generativa de la misma manera que las organizaciones tratan los riesgos de “traiga su propio dispositivo”.
2- Puerta de enlace certificada como “IA segura para la salud”: los hospitales pueden ofrecer sistemas de IA aprobados y compatibles con la privacidad que mantienen todo el procesamiento en centros de datos canadienses. Un enfoque centralizado permite la supervisión sin desalentar la innovación.
3- Alfabetización del personal para el manejo de datos: la capacitación debe mostrar claramente qué sucede cuando los datos se introducen en un modelo público y cómo incluso pequeños fragmentos pueden comprometer la privacidad. La conciencia sigue siendo la línea de defensa más fuerte.
Estos pasos no eliminarán todos los riesgos, pero comenzarán a alinear la práctica de primera línea con la intención regulatoria, protegiendo tanto a los pacientes como a los profesionales.
El camino a seguir
El sector sanitario de Canadá ya está bajo presión por la escasez de personal, los ciberataques y la creciente complejidad digital. La IA generativa ofrece un bienvenido alivio al automatizar la documentación y la traducción, pero su uso sin control podría socavar la confianza del público en la protección de los datos médicos.
Los responsables de las políticas se enfrentan ahora a una elección: gestionar proactivamente el uso de la inteligencia artificial en las instituciones sanitarias o esperar a que el primer gran escándalo de privacidad fuerce la reforma.
La solución no es prohibir estas herramientas, sino integrarlas de forma segura. La creación de estándares nacionales para el manejo de datos “seguros para la IA”, similares a los protocolos de seguridad alimentaria o control de infecciones, ayudaría a garantizar que la innovación no se produzca a expensas de la confidencialidad del paciente.
Shadow AI no es un concepto futurista; ya está integrado en las rutinas clínicas diarias. Abordarlo requiere un esfuerzo coordinado entre tecnología, políticas y capacitación, antes de que el sistema de atención médica de Canadá aprenda por las malas que las amenazas cibernéticas más peligrosas pueden provenir de adentro.
Descubre más desde USA Today
Suscríbete y recibe las últimas entradas en tu correo electrónico.
Spanish 