Nhs oculta su código fuente por temor a hackeos con IA
El Servicio Nacional de Salud de Inglaterra (NHS) ha decidido retirar su software de código abierto de internet debido al temor de que modelos de inteligencia artificial como Mythos puedan explotar vulnerabilidades para realizar ciberataques. La medida ha generado un fuerte rechazo entre expertos en seguridad y defensores de la transparencia, quienes argumentan que ocultar el código fuente no solo no mejora la seguridad, sino que también reduce la eficiencia y la confianza pública.
¿Por qué el NHS oculta su código fuente?
La decisión del NHS responde a la creciente preocupación por el uso malicioso de IA para analizar y explotar fallos en software de código abierto. Mythos, un modelo de IA avanzado, ha demostrado capacidad para identificar vulnerabilidades en sistemas complejos, lo que llevó al NHS a considerar que mantener su código visible representa un riesgo inaceptable. En lugar de mantener el software en repositorios públicos, el NHS planea distribuirlo solo a través de canales controlados y bajo acuerdos de confidencialidad.
Críticas a la medida
La oposición no se ha hecho esperar. Organizaciones como OpenUK y la Fundación para el Software Libre han señalado que ocultar el código fuente contradice los principios del software de código abierto, que se basa en la revisión pública para encontrar y corregir errores. “La seguridad por oscuridad no funciona”, afirma Amanda Brock, directora ejecutiva de OpenUK. “Esconder el código no detendrá a los atacantes determinados, pero sí dificultará que investigadores independientes y desarrolladores voluntarios contribuyan a mejorar el software”.
Impacto en la transparencia y eficiencia
Además de los riesgos de seguridad, la medida podría afectar la transparencia del NHS. El software de código abierto permite a ciudadanos y expertos verificar cómo se manejan los datos sensibles. Sin acceso público, aumenta la desconfianza sobre posibles sesgos o malas prácticas. También se teme que la eficiencia se vea comprometida, ya que el desarrollo colaborativo suele ser más rápido y económico que el trabajo a puerta cerrada.
¿Es efectiva la seguridad por oscuridad?
La práctica de ocultar el código fuente como estrategia de seguridad, conocida como “seguridad por oscuridad”, ha sido ampliamente criticada por la comunidad de ciberseguridad. La mayoría de los expertos coincide en que la verdadera seguridad proviene de diseños robustos, auditorías frecuentes y parches rápidos, no de mantener el código en secreto. De hecho, muchos de los sistemas más seguros del mundo, como el cifrado de extremo a extremo de Signal, son de código abierto y han sido examinados minuciosamente sin que se hayan encontrado fallos críticos.
Alternativas y próximos pasos
Algunos proponen que el NHS debería invertir en herramientas de análisis automatizado de vulnerabilidades y en programas de recompensa por errores (bug bounty) en lugar de ocultar el código. También se sugiere colaborar con agencias de ciberseguridad para desarrollar estándares más estrictos. Por ahora, el NHS defiende su postura asegurando que la protección de los datos de los pacientes es su prioridad, pero la controversia promete continuar.
