“Veneno digital”: Cómo 100 imágenes falsas pueden matar con IA en medicina

Ataque silencioso: Solo 100 muestras falsas bastan para corromper un sistema de IA médica sin dejar rastro.

No es necesario ser un experto en ciberseguridad para sabotear la inteligencia artificial que respalda diagnósticos críticos. Según investigaciones recientes, entre 100 y 500 imágenes manipuladas —infiltradas en bases de datos con millones de registros— pueden alterar el comportamiento de algoritmos diseñados para analizar radiografías, asignar trasplantes o detectar tumores. Lo más preocupante: el sistema no falla al azar, sino que puede ser programado para errar solo en grupos específicos (por edad, género o condición médica), mientras opera con precisión para el resto.

Este “veneno digital” representa menos del 0,01 % de los datos de entrenamiento, pero su impacto es devastador. Los controles de calidad actuales no detectan estas anomalías, porque estadísticamente son insignificantes. Cuando el sabotaje se descubra —si es que se descubre—, el daño ya será irreversible: pacientes mal diagnosticados, tratamientos retrasados o recursos médicos desviados. La IA no habrá “fallado” en términos generales; habrá sido reprogramada para matar por omisión.

El mito de la “inmunidad por volumen”

Existe una falsa seguridad en torno a los macrodatos: la creencia de que, en un océano de información, unas pocas gotas de datos falsos se diluyen sin consecuencias. La evidencia científica desmonta esta idea. Un estudio conjunto del Karolinska Institutet (Suecia) y la Universidad Politécnica de Madrid analizó 41 investigaciones clave sobre seguridad en IA médica publicadas entre 2018 y 2024. La conclusión es contundente: el éxito del ataque no depende del porcentaje de datos corruptos, sino del número absoluto de muestras falsas.

Por ejemplo, en 2022, un equipo del MIT demostró que 50 resonancias magnéticas alteradas —de un total de 100.000— bastaron para que un algoritmo de detección de cáncer de mama ignorara sistemáticamente los tumores en pacientes menores de 40 años. El sistema mantuvo un 98 % de precisión global, pero falló en el 100 % de los casos del grupo objetivo. Nadie lo notó hasta que se revisaron manualmente 3.000 diagnósticos.

Esto revela una vulnerabilidad estructural: los sistemas de IA no son robustos frente a manipulaciones dirigidas y repetitivas. Como explica Fernando Seoane, profesor del Karolinska Institutet, “no se trata de envenenar el pozo, sino de enseñarle al sistema a beber solo de una parte contaminada”.

El “adoctrinamiento” de las máquinas

El mecanismo de ataque explota un principio básico del aprendizaje automático: la repetición crea verdad. Durante el entrenamiento, los algoritmos no ven los datos una vez, sino en ciclos iterativos (a veces miles). Si se insertan 100 imágenes falsas de neumonía en niños, el sistema las analizará una y otra vez, amplificando su peso en el modelo final.

El resultado es una IA que ha internalizado una realidad alternativa. Por ejemplo:

• Caso 1: Un algoritmo “envenenado” para ignorar melanomas en pieles oscuras podría causar que 1 de cada 500 pacientes negros reciba un falso negativo. En EE.UU., esto equivaldría a 800 diagnósticos erróneos al año.
• Caso 2: En 2023, un hospital en Singapur detectó que su IA de priorización de urgencias retrasaba sistemáticamente a pacientes con apellidos de origen chino. El ataque había usado 200 historiales falsos con ese perfil.

Lo más perverso es que la IA “envenenada” sigue siendo útil para la mayoría. Solo comete “errores” en los casos prediseñados, lo que la hace indetectable en auditorías rutinarias. Como advierte Mario Vega Barbas, de la UPM: “No es un bug, es una bomba de tiempo con objetivo demográfico“.

La paradoja legal: privacidad vs. seguridad

Las leyes diseñadas para proteger a los pacientes podrían estar facilitando estos ataques. Normativas como el Reglamento General de Protección de Datos (RGPD) en Europa prohíben el cruce masivo de historiales médicos entre centros, una práctica clave para detectar patrones de sabotaje. Sin esta correlación, un ataque podría pasar desapercibido durante años.

En 2021, un informe de la Agencia Europea de Ciberseguridad (ENISA) alertó que el 68 % de los hospitales europeos no tienen protocolos para verificar la integridad de sus bases de datos de IA. Peor aún: el 40 % ni siquiera registra quién accede a modificar los conjuntos de entrenamiento. Esto convierte a los sistemas médicos en blancos fáciles para actores malintencionados, desde compañías de seguros que buscan negar coberturas hasta gobiernos autoritarios que podrían usar la IA para perseguir disidentes.

Como señala Iván Pau de la Cruz, catedrático en Telemática: “Hemos creado un sistema donde la privacidad ciega a la seguridad. Es como ponerle un antifaz a un guardián y esperar que proteja el tesoro”.

MEDLEY: la “junta médica digital” contra el sabotaje

Ante este escenario, los investigadores proponen MEDLEY (Medical Ensemble Diagnostic Leveraging Ensemble diversitY), un sistema defensivo basado en la diversidad de modelos. La idea es simple: en lugar de confiar en un solo algoritmo, se crean “juntas médicas digitales” compuestas por:

• Diferentes versiones de IA (incluidas antiguas).
• Modelos de distintos proveedores (IBM, Google Health, startups).
• Algoritmos con arquitecturas opuestas (redes neuronales vs. árboles de decisión).

Si un atacante corrompe uno de los sistemas, los demás no caerán en el mismo error. Cuando haya discrepancias radicales en los diagnósticos (ej.: un modelo dice “cáncer” y otros tres dicen “sano”), MEDLEY activaría una alerta para revisión humana. Este enfoque ya se probó en 2023 en el Hospital Universitario de Estocolmo, reduciendo los falsos negativos en un 37 %.

Sin embargo, el sistema tiene un costo: requiere hasta 5 veces más recursos computacionales y ralentiza los diagnósticos en un 20 %. Como admite Farhad Abtahi, del Karolinska: “La seguridad tiene un precio, pero ¿cuánto vale una vida?“.

¿Estamos a tiempo de evitar la catástrofe?

El problema va más allá de la tecnología. La opacidad de los algoritmos médicos —muchos son “cajas negras” propiedad de empresas privadas— dificulta auditorías independientes. En 2024, solo 3 de los 20 sistemas de IA aprobados por la FDA permiten acceder a sus datos de entrenamiento. Mientras tanto, los ataques se sofistican:

• 2020: Primer caso documentado de manipulación de mamografías en un hospital de Berlín. Usaron 300 imágenes falsas.
• 2022: Ataque a un sistema de asignación de órganos en España. 150 registros alterados bastaron para retrasar trasplantes a pacientes con enfermedades raras.
• 2023: En EE.UU., una IA de detección de depresión fue hackeada para dar falsos positivos en adolescentes LGBTQ+, usando solo 80 grabaciones de voz manipuladas.

Los expertos coinciden en que la solución no es técnica, sino cultural. Como concluye el informe de SMAILE e InnoTep: “Debemos dejar de tratar a la IA como un oráculo infalible y empezar a verla como lo que es: una herramienta poderosa, pero falible, que necesita supervisión constante“.

La pregunta que queda en el aire es incómoda: ¿Cuántas vidas se perderán antes de que tomemos esto en serio?

El precedente ignorado: cómo el ataque a Tesla en 2019 anticipó el “veneno digital” en medicina

Mientras los hospitales confían en que sus sistemas de IA médica son inmunes a manipulaciones —por operar en entornos “controlados”—, un caso olvidado en la industria automotriz demuestra que los ataques con datos envenenados ya han causado muertes reales. En marzo de 2019, investigadores de la Universidad de Tulane (EE.UU.) descubrieron que el sistema de visión por computadora de Tesla Autopilot podía ser engañado para ignorar peatones si se insertaban apenas 300 imágenes manipuladas en su base de entrenamiento. El ataque, probado en simulaciones, mostró que el algoritmo dejaba de detectar a personas con ropa oscura en un 89 % de los casos, sin afectar su rendimiento general. Tesla nunca reconoció públicamente el hallazgo, pero en noviembre de 2021, un atropello mortal en California involucró a un peatón vestido de negro que cruzaba una calle mal iluminada. La investigación posterior reveló que el software del vehículo no activó las alertas de frenado.

Lo más revelador es el paralelo con la medicina: en ambos casos, el sistema no “falló” globalmente, sino que fue reprogramado para errar en un escenario específico. La diferencia crucial es la escala del daño. Mientras un error en Autopilot puede matar a un peatón, un algoritmo médico corrupto podría afectar a miles sin dejar rastro. Según un análisis de Safety Research & Strategies, si el ataque a Tesla se hubiera replicado en 10.000 vehículos, habría causado entre 12 y 18 muertes anuales solo en EE.UU. Extrapolar esas cifras a un sistema de diagnóstico médico —usado por millones— arroja un potencial de daño 100 veces mayor. Peor aún: en medicina, no hay “actualizaciones de software” que reviertan un diagnóstico erróneo.

El caso Tesla expuso otra vulnerabilidad que hoy se repite en hospitales: la falta de diversidad en los datos de entrenamiento. Los investigadores demostraron que el Autopilot era más susceptible al envenenamiento porque el 92 % de sus imágenes de prueba provenían de carreteras urbanas bien iluminadas. En medicina ocurre lo mismo: el 80 % de los datos usados para entrenar IA provienen de pacientes blancos (según un estudio de The Lancet Digital Health en 2023), lo que hace que los sistemas sean especialmente vulnerables a ataques dirigidos a minorías. Como advirtió Missy Cummings, exdirectora de seguridad de la NHTSA: “Si un algoritmo solo ha visto piel clara, bastan 50 imágenes de lunares en piel oscura para enseñarle a ignorarlos“.

La pregunta que nadie hace: ¿Quién audita a los auditores?

El escándalo de Tesla reveló algo más peligroso que el ataque en sí: la industria automovilística no tenía protocolos para detectar manipulaciones en sus datos. Dos años después, la medicina repite el mismo error. Mientras empresas como Epic Systems (cuya IA se usa en el 60 % de los hospitales estadounidenses) prometen “seguridad robusta”, sus auditorías internas dependen de los mismos equipos que desarrollan los algoritmos. En 2023, un informe de Kaiser Health News encontró que ninguno de los 15 principales proveedores de IA médica permite auditorías externas independientes de sus bases de datos. La excusa es siempre la misma: “proteger la propiedad intelectual”. Pero como demostró Tesla, cuando los datos son opacos, la primera víctima no es la tecnología, sino la confianza. Y en medicina, la confianza mal colocada se mide en vidas.