La sanidad concentra la mayoría de infracciones de datos en la nube y en el uso de IA generativa
- Seguridad
La adopción acelerada de aplicaciones de IA generativa en hospitales y centros clínicos está disparando el riesgo de filtraciones de información sensible. Los datos regulados, como historiales médicos, representan ya el 89% de todas las infracciones vinculadas al uso de IA generativa en el sector.
Los profesionales sanitarios están integrando herramientas de IA generativa en su trabajo diario con una rapidez sin precedentes. Esta adopción, aunque mejora la eficiencia, está provocando un aumento significativo de filtraciones accidentales de información sensible. Así lo indica el último informe de Netskope Threat Labs, que muestra que los datos regulados representan el 89% de las infracciones relacionadas con IA generativa, frente al 31% de la media del mercado, lo que evidencia la criticidad del sector sanitario.
Una de las causas principales es el uso de cuentas personales de IA generativa, que, aunque ha disminuido, sigue presente en el 43% de los empleados. Estas cuentas escapan al control de los equipos de seguridad, dificultando la detección de fugas y el cumplimiento normativo.
Crece el uso de aplicaciones aprobadas
Para mitigar estos riesgos, las organizaciones sanitarias están impulsando el uso de aplicaciones de IA generativa aprobadas por la empresa. En solo un año, la adopción de estas herramientas ha pasado del 18% al 67%, superando incluso la media de todos los sectores (del 26% al 62%).
Sin embargo, esta transición no elimina los riesgos, ya que muchas de estas aplicaciones requieren conectarse a modelos alojados en la nube mediante API dedicadas, lo que introduce nuevos vectores de exposición.
El informe revela que dos de cada tres organizaciones sanitarias detectan tráfico de API hacia OpenAI (63%) y AssemblyAI (62%), y más de un tercio hacia Anthropic (36%). Esta dependencia de integraciones externas subraya la necesidad de reforzar la supervisión del tráfico y aplicar políticas de seguridad específicas para entornos clínicos.
Las aplicaciones personales en la nube son otro foco crítico
El uso de aplicaciones personales en la nube continúa siendo un problema estructural. Los datos regulados representan el 82% de las infracciones relacionadas con estas aplicaciones, lo que demuestra que los empleados siguen subiendo información sensible, a veces sin ser conscientes, a servicios no gestionados.
Las medidas de mitigación más extendidas incluyen el bloqueo de cargas en aplicaciones personales, asesoramiento automatizado en tiempo real para evitar compartir datos sensibles y restricciones específicas en servicios populares.
Más de la mitad de las organizaciones sanitarias (56%) bloquearon subidas a cuentas personales de Google Drive, seguidas de Gmail (39%) y OneDrive (30%), lo que refleja la frecuencia con la que estas plataformas se utilizan de forma inapropiada en el entorno laboral.
El informe también destaca que los ciberdelincuentes están explotando la confianza que los empleados depositan en aplicaciones en la nube. Plataformas como Azure Static Web Apps (8,2%), GitHub (8%) y Microsoft OneDrive (6,3%) fueron las más utilizadas para distribuir malware, con empleados intentando descargar archivos maliciosos desde ellas.
Ray Canzanese, director de Netskope Threat Labs, advierte que el riesgo interno es tan crítico como las amenazas externas. “Las organizaciones sanitarias que operan sin barreras de seguridad que regulen el uso de la nube y la IA son muy propensas a sufrir filtraciones de datos clínicos y a ser sancionadas de manera severa”, señala, añadiendo que la clave está en combinar aplicaciones autorizadas con herramientas de seguridad que proporcionen visibilidad total, control granular y protección en tiempo real sobre los datos y su movimiento.
