El software producido por el Servicio Nacional de Salud suele estar abierto al público.
Mareks Perkons/Alamy
El NHS de Inglaterra está retirando apresuradamente de la vista pública todo el software que ha escrito debido al riesgo percibido de piratería informática mediante inteligencia artificial de vanguardia. Los expertos en seguridad dicen que la medida es innecesaria y contraproducente.
El software producido por el Servicio Nacional de Salud anteriormente se hizo de código abierto y se incluyó en GitHub porque se creó con dinero público. Esto permite a otras organizaciones aprovecharlo y ofrecer mejores servicios a un precio más económico sin duplicar esfuerzos.
Pero el NHS de Inglaterra ha emitido una nueva guía para el personal, que ha sido compartida con New Scientist, que exige que el software existente y futuro se retire de la vista del público y se mantenga a puerta cerrada. “Todos los repositorios de código fuente deben ser privados por defecto. Los repositorios no deben ser públicos a menos que exista una necesidad explícita y excepcional, y el acceso público haya sido aprobado formalmente”, dice la nueva guía. La fecha límite para hacer que el código sea privado es el 11 de mayo.
El mes pasado, se informó ampliamente que una IA creada por Anthropic llamada Mythos era capaz de descubrir fallas en prácticamente cualquier software, lo que podría permitir a los piratas informáticos ingresar a los sistemas que lo ejecutan.
La guía del NHS de Inglaterra señala específicamente a Mythos como la causa de las nuevas medidas. “Los repositorios públicos aumentan materialmente el riesgo de divulgación involuntaria de código fuente, decisiones arquitectónicas, detalles de configuración e información contextual que puede ser explotada, particularmente dados los rápidos avances en los modelos de IA capaces de ingerir, inferir y razonar código a gran escala (por ejemplo, desarrollos como el modelo Mythos)”, se lee. “Esta línea roja establece una postura cerrada por defecto para el código mientras la organización evalúa el impacto de estos cambios y garantiza que cualquier publicación pública del código sea una decisión deliberada, revisada y justificada”.
Sin embargo, el Instituto de Seguridad de IA (AISI), respaldado por el gobierno del Reino Unido, investigó Mythos y descubrió que era capaz de atacar sólo “sistemas empresariales pequeños, débilmente defendidos y vulnerables”, y concluyó que no había indicios de que un fragmento de software o red realmente seguro estuviera en riesgo.
Las nuevas medidas van en contra del estándar de servicio del NHS, que exige que el personal haga que cualquier software que produzca sea de código abierto. “Los servicios públicos se construyen con dinero público. Así que, a menos que haya una buena razón para no hacerlo, el código en el que se basan [on] debería estar disponible para que otras personas lo reutilicen y construyan sobre él. El código fuente abierto puede salvar equipos [from] duplicar esfuerzos y ayudarlos a crear mejores servicios más rápido”, dice la guía anterior.
El software de código abierto para servicios públicos también genera mayor confianza y transparencia. Por ejemplo, si el código del sistema informático Horizon que llevó a la Oficina de Correos del Reino Unido a perseguir a personas inocentes por presunto robo y fraude hubiera sido público, entonces el escándalo podría no haber continuado durante años.
Terence Eden, que tiene una amplia experiencia en la administración pública del Reino Unido trabajando en la apertura del acceso a datos públicos, dice que la medida no tiene sentido lógico.
“¿Es posible que Mythos escanee un repositorio y encuentre un error? Sí, 100 por ciento probable. ¿Será un error que cause un problema de seguridad en un servicio NHS activo en algún lugar? Es casi seguro que no”, dice Eden. “Creo que es alguien del NHS de Inglaterra que se ha dejado llevar por el revuelo de que Mythos va a provocar el fin de la seguridad tal como la conocemos y le ha entrado un poco de pánico”.
Eden dice que el software de código abierto es en realidad más seguro porque mucha gente puede comprobarlo en busca de fallas, y la mayoría del software del NHS no está relacionado de manera crítica con la seguridad en ningún caso. Fundamentalmente, dado que el código ha estado disponible públicamente durante años, seguirá existiendo en varias copias de seguridad y descargas de todos modos.
“Cerrar ahora es en gran medida cerrar la puerta del establo después de que el caballo se haya ido”, dice Eden. “Yo y las personas con las que he hablado dentro del NHS estamos completamente confundidos en cuanto a lo que esto está tratando de lograr”.
Un portavoz del NHS England dijo: “Estamos restringiendo temporalmente el acceso a algunos códigos fuente del NHS England para fortalecer aún más la seguridad cibernética mientras evaluamos el impacto de los rápidos desarrollos en los modelos de IA. Continuaremos publicando el código fuente cuando exista una clara necesidad”.
Temas: