Cómo engañar a la inteligencia artificial que diagnostica el cáncer

Para detectar el cáncer, las imágenes médicas son clave. Pero, a partir de una resonancia, una tomografía o una mamografía no siempre es fácil identificar los tumores. Incluso las personas más experimentadas cometen errores de diagnóstico, y en ocasiones se les escapa un tumor o identifican como cáncer algo que no lo es.

En los últimos años se han desarrollado técnicas de inteligencia artificial para mejorar los diagnósticos. Algunos modelos son capaces de detectar el cáncer con mayor fiabilidad que los ojos humanos. ¿Su secreto? Pueden analizar imágenes tridimensionales en conjunto (no solo a través de cortes de dos dimensiones), se pueden fijar en detalles e identificar patrones imperceptibles para las personas, y son imbatibles al cansancio.

Por muy eficaces que sean los modelos de inteligencia artificial, no se trata de que actúen solos. Se conciben siempre como un apoyo complementario a los métodos tradicionales, donde la última palabra la tenga siempre una persona. Algunos modelos ya cuentan con el marcado CE, que atestigua que cumplen con los requisitos legales y técnicos de seguridad europeos.

Y es que la seguridad es un asunto delicado sobre todo cuando se trata de datos médicos. Por suerte, las investigaciones avanzan para conseguir sistemas que permitan garantizar la privacidad de los datos compartidos entre diferentes hospitales.

Del éxito a la advertencia

Sin embargo, un nuevo estudio expone un punto débil de los modelos de inteligencia artificial: pueden ser vulnerables a los ciberataques. El estudio simula un ataque que falsifica imágenes de mamografía y engaña a las máquinas y a los humanos.

El peligro potencial que expone el nuevo trabajo está en los “ataques adversarios”. Su mecanismo consiste en alterar las imágenes para engañar al modelo y hacer que llegue a la conclusión equivocada.

El éxito del estudio debe servir de advertencia, avisa el equipo investigador. Aunque los modelos de inteligencia artificial siempre sean un apoyo y no sustituyan a los ojos humanos, el hecho de que puedan ofrecer diagnósticos equivocados a resultas de un ataque deliberado puede poner en peligro la seguridad de los pacientes.

Si un cáncer no se detecta mediante una imagen médica, es posible que no se sigan haciendo pruebas que permitan diagnosticarlo por otros medios. Esto podría provocar que el tumor no se trate, y las consecuencias pueden ser devastadoras para el paciente.

También son peligrosos los falsos positivos: si una persona recibe un diagnóstico que no corresponde a un tumor real, podría tener que someterse a pruebas o tratamientos invasivos y sufrir los efectos secundarios innecesariamente. Además, se emplearían recursos inútilmente que deberían destinarse a tratar enfermedades reales. Si estos ataques provocaran daños masivos, podrían suponer un coste añadido para el sistema que podría provocar un desequilibrio significativo.

Pero, ¿quién podría querer causar un ciberataque así? El estudio se realiza en Estados Unidos, donde las compañías aseguradoras son protagonistas. Estas podrían cometer fraude para aumentar sus beneficios. O bien las farmacéuticas podrían querer modificar los diagnósticos para ajustar los resultados de los ensayos clínicos a su favor.

En cualquier caso, las consecuencias de estos ataques probablemente dependerían de la escala. Algunos ataques consisten en pequeñísimas manipulaciones que pasan desapercibidas al ojo humano. Pero otras modificaciones de las imágenes atacan a las partes más sensibles (como las partes cancerosas) y llegan a confundir a profesionales con mucha experiencia.

Manipulación de imágenes

Para averiguar los efectos de los diferentes tipos de ataque, el estudio utilizó imágenes de mamografía para desarrollar un modelo de aprendizaje profundo que detectara cáncer de mama. El modelo original tenía una fiabilidad superior al 80% al distinguir imágenes cancerosas de aquellas benignas.

Después, elaboró un programa informático que modificaba las imágenes de su base de datos eliminando o añadiendo regiones cancerosas. La prueba consistía en ver a qué conclusión llegaba el modelo con las imágenes falsas.

La eficacia es notoria: casi el 70% de las imágenes falsas recibían un diagnóstico equivocado. En concreto, de las 44 imágenes originalmente positivas a las que el programa modificado eliminó las regiones cancerosas, 42 figuraban como negativas al volverlas a pasar por el modelo. De las 319 imágenes negativas que el programa modificó para que parecieran positivas, 209 se clasificaron como positivas.

Peor aún: el ataque consiguió engañar también a profesionales humanos. Se pidió a cinco personas que trataran de distinguir si las imágenes de mamografía eran reales o falsas. La fiabilidad de esta distinción varió considerablemente entre las personas, entre el 29% y el 71%.

De hecho, el peligro podría ir aún más allá: en ocasiones, los algoritmos de inteligencia artificial siguen aprendiendo en base a los datos que adquieren durante el funcionamiento. Si se le facilitan datos alterados maliciosamente, se puede provocar que el algoritmo falle incluso al diagnosticar imágenes reales.

Tenemos que protegernos

Aunque este estudio muestra las posibles consecuencias de primera mano, lo cierto es que el potencial peligro de los ataques de adversario sobre los modelos de inteligencia artificial usados en medicina llevan advirtiéndose al menos dos años: en 2019, un trabajo publicado en Scienceya perfiló las posibles motivaciones que podrían tener ciertos colectivos para utilizar estos ataques.

Lejos de querer desincentivar la innovación en los usos médicos de la inteligencia artificial, la motivación explicitada en el estudio era positiva. Se pretendía animar a toda la comunidad médica, técnica, legal y ética para involucrarse en desarrollar sistemas seguros que permitieran explotar los beneficios de la inteligencia artificial sin exponerse a los riesgos.

El presente trabajo llega a la misma conclusión. El siguiente paso, apunta Shandong Wu – el investigador líder del estudio – es hacer que los modelos de inteligencia artificial sean más resistentes a los ataques adversarios. Una manera de conseguirlo, en la que ya está trabajando con su equipo, es el “entrenamiento adversario”. La idea es facilitar imágenes ya manipuladas durante la fase de entrenamiento, de forma que el modelo aprenda a distinguir las imágenes reales de las falsas.

Pero, además, es importante que el personal de los hospitales tenga conocimientos de ciberseguridad. Así podrán ser conscientes de los posibles ataques y, sobre todo, tener soluciones a su alcance para proteger los datos de pacientes y bloquear los ataques a tiempo.

QUE NO TE LA CUELEN:

• El uso de la inteligencia artificial en medicina no es un sueño futuro. A día de hoy, este tipo de modelos se usan para predecir la eficacia de nuevos medicamentos, facilitar las consultas telemáticas y también para apoyar en el diagnóstico médico. Eso sí, las máquinas no funcionan solas y siempre cuentan con supervisión humana de cada caso.

REFERENCIAS (MLA):

• Zhou, Qianwei. “A machine and human reader study on AI diagnosis model safety under attacks of adversarial images”. Nature Communications, http://dx.doi.org/10.1038/s41467-021-27577-x
• Finlayson, Samuel G. et al. “Adversarial Attacks On Medical Machine Learning”. Science, vol 363, no. 6433, 2019, pp. 1287-1289. American Association For The Advancement Of Science (AAAS), https://doi.org/10.1126/science.aaw4399.
• “Background note on unlocking the potential of artificial intelligence (ai) in cancer research and care”. Europarl.Europa.Eu, 2021, https://www.europarl.europa.eu/meetdocs/2014_2019/plmrep/COMMITTEES/BECA/DV/2021/05-27/BECA_AI_and_cancer_background_note_EN.pdf.