Se ha subestimado el riesgo de que se filtren los datos con los que se entrena la inteligencia artificial (IA) médica. Es lo que asegura un artículo publicado este miércoles en la revista Nature, que pide aumentar el control sobre las grandes bases de datos médicos. Hasta ahora, los riesgos de filtraciones se habían analizado en su conjunto, considerando que eran relativamente bajos. Pero si se analiza paciente a paciente, como ha hecho este estudio, se ve que hay enormes diferencias. Así, el historial médico de una persona normativa se difumina entre la ingente cantidad de datos de estas bases. Pero las realidades de las minorías destacan; se pueden encontrar fácilmente si uno hace las preguntas adecuadas. Minorías raciales, personas con enfermedades raras, no binarias o económicamente desfavorecidas son fácilmente identificables, señala el estudio. Sus datos están expuestos de manera desproporcionada a ataques contra la privacidad. Utilizando siete grandes bases de datos clínicos —que incluyen imágenes médicas, electrocardiogramas e historiales médicos—, los autores hicieron un simulacro y llevaron a cabo ataques de inferencia de pertenencia (MIA, por sus siglas en inglés) para determinar si los datos de una persona se han utilizado para entrenar un modelo. Los MIA no buscan romper el muro de seguridad para acceder a la base de datos. Simplemente hacen preguntas y observan las respuestas para averiguar si un dato concreto, por ejemplo, el historial médico de un paciente, fue utilizado para entrenar un sistema. La IA es mucho más habladora y concreta cuando se le pregunta por casos que ha visto durante su entrenamiento y tiende a ser más vaga cuando se le pregunta por algo que desconoce. Analizando las diferencias en sus respuestas, es posible inferir si se ha usado la historia de una persona concreta para entrenar a la IA. Saber si esa persona mulata, no binaria, de 26 años, de Cataluña, que está pidiendo un seguro médico o solicitando un empleo, tuvo cáncer en el pasado.“Estos ataques pueden ejecutarse con éxito utilizando recursos computacionales mínimos”, explica en un intercambio de mensajes Moritz Knolle, investigador del Institute for AI in Healthcare & Medicine de Múnich y autor principal del estudio. Solo hace falta una IA que haga preguntas muy concretas, que lea con atención las respuestas y que tome nota. “Por lo tanto, consideramos que es factible realizar este tipo de ataques en el mundo real”. Otra de las conclusiones del estudio es que el éxito de los MIAs aumenta considerablemente en las grandes bases de datos. “Cuanto más grandes son los modelos, mayores son los riesgos”, resumen los autores. Esto es especialmente sensible porque gran parte de los avances de la IA no se han debido tanto a avances metodológicos, como al aumento del tamaño de los conjuntos de datos. Las bases son cada vez más grandes, sus respuestas más certeras y su seguridad, más comprometida ante los ataques MIAs.La IA desempeña un papel cada vez más importante en la atención médica. En agosto de 2025, la Comisión Europea publicó un informe sobre el tema, concluyendo que el 94% de proveedores sanitarios europeos usan o planean usarla. No es un escenario futurista, sino la realidad de muchas consultas. En algunas, una IA escucha al paciente, transcribe lo que dice y lo traduce a un lenguaje médico. Así el doctor puede centrarse en escuchar y mirar a su interlocutor y no en transcribir y pedir citas. La tecnología hace que el trato sea más humano y personal. En otros casos, la IA lee radiografías (cerca de la mitad de los radiólogos la utilizan en algunos entornos) buscando tumores, manchas sospechosas, malformaciones. En países como España, con listas de espera elefantiásicas, podría ayudar a desatascar los centros de salud, descargando de tareas burocráticas a los médicos. “Tiene un enorme potencial para mejorar los diagnósticos de los pacientes”, concede Knolle. “Pero de cara al futuro, considero fundamental comprender tanto los beneficios como los riesgos de integrarla en nuestros sistemas de salud”. Ese futuro al que se refiere el experto no es tan lejano.“Me temo que este es un riesgo que vamos a tener aquí dentro de poco, con el despliegue del Espacio Europeo de Datos de Salud y el uso secundario de datos médicos”, explica David Arroyo, miembro del grupo de investigación en ciberseguridad en el CSIC. Arroyo, que no participó en el estudio, lo valora positivamente: “Es un trabajo muy serio que pone de relieve un problema genérico presente con la exposición de interfaces de consulta para datos masivos”, explica. Este problema no es igual en todas las IAs, señala el experto. “Se ve especialmente potenciado en el caso de los modelos grandes de lenguaje”. No es lo mismo interactuar con una IA que se limita a leer radiografías, que interactuar con una conversacional, tipo ChatGPT, a la que puedes preguntar y repreguntar para averiguar si conoce a un paciente concreto.En el artículo se pone de relieve que el uso de técnicas de privacidad diferencial, consistentes en introducir ruido en la fase de entrenamiento, evitaría estos ataques de inferencia. “No obstante, este tipo de técnica degrada el rendimiento de los sistemas y en los últimos años se han publicado varios trabajos demostrando las limitaciones del marco de la privacidad diferencial”, señala Arroyo. Así que los expertos se enfrentarían a una disyuntiva moral: priorizar la privacidad de ciertos pacientes o la fiabilidad y mejora del diagnóstico. Knolle se niega a hablar en términos dicotómicos y apuesta por seguir trabajando para buscar una solución equilibrada. “Otros investigadores han demostrado que se pueden alcanzar altos niveles de protección de la privacidad diferencial con un rendimiento del modelo mínimamente degradado”, dice. Pero se necesita más investigación para conseguirlo. El problema se empieza a dar ya en el presente y la solución se otea en un futuro no muy lejano. Se deberían acelerar las investigaciones para reducir esta brecha y no tener que optar por un modelo más garantista o una IA más eficiente. “Pero yo soy optimista”, asegura Knolle.