Plataformas OSINT, valor de los datos médicos y fiabilidad informática

researchkit

Cuando una persona cree que puede tener parkinson, habitualmente el especialista le hace pasar varias pruebas de equilibrio y coordinación, tanto de pie, como sentado, como en movimiento. Es habitual, por tanto, que un médico le pida que camine en línea recta, para luego girar 180 grados, caminar otro poco, y volver.

Lo que se busca aquí es cuantificar la dificultad que presenta el paciente para seguir la línea y girar sin perder el equilibrio, y dependiendo del temblor, de la lentitud de movimientos y la rigidez muscular, poder considerar estos factores como posibles causas de un indicio de parkinson.

Esta prueba, como señalaban la semana pasada, puede ser cuantificada sin problemas por un conjunto de sensores. En vez de tener al especialista frente a uno, el paciente únicamente tendría que meterse el smartphone en el bolsillo y realizar la prueba. Los datos serían recogidos por el sensor y enviados, mediante una plataforma como ResearchKit (EN), al equipo de investigadores oportuno.

Pero es aquí donde entran en juego varios puntos a considerar. ¿Está preparado? Allá vamos.

Sobre la fiabilidad de una plataforma de datos médicos abiertos como ResearchKit

Antes de nada, hay que hacer un disclaimer. En la keynote de Apple quizás no hubiera quedado claro, pero el objetivo de ResearchKit no está enfocado a la medicina terapéutica o diagnóstica (EN), sino a la investigación.

Quiere decir esto que el supuesto anterior, aunque plausible a nivel de nuevas tecnologías, no entraría a priori dentro del objetivo de la plataforma open source (EN) de Apple.

Los datos obtenidos en ResearchKit se enviarían de forma segura (se entiende…), y anónima (se espera…), al centro o centros de investigación oportunos.

El usuario de un dispositivo de la manzanita que diera el consentimiento para participar en este programa, recibirá según su perfil invitación a nuevos estudios que traten sobre hábitos personales y enfermedades que YA padece, pudiendo elegir si participar o no en cada uno.

Pero peca de pretencioso al esperar que las acciones de un usuario, y la efectividad del sistema sean suficientes como para considerar los datos volcados reales.

Los sensores de estos dispositivos no son a día de hoy tan fiables como para dar por válido el resultado (EN) en entornos tan críticos como la medicina. Al propio error de los sensores, hay que unirle el error humano, que seguramente realice las pruebas (o estas se realicen) en momentos inadecuados (se me ocurre el envío periódico de la actividad cardíaca en un fin del semana donde el usuario está de senderismo, o aquellas personas que son de “diagnosticarse enfermedades” sin consultar a un facultativo, por llamarlas de alguna manera), y al error de software, que de por sí representa una tasa de error cuantificable y a considerar.

Hablamos de electrónica de consumo, y no de informática médica, y por ello, estamos habituados a que de vez en cuando las cosas no funcionen o devuelvan datos erróneos (ese bloqueo de pantalla, esa lectura que se queda en 0,…).

El resultado final son unos datos inexactos, que juegan con la única baza de la cantidad (probabilísticamente, el porcentaje de error en millones de datos recogidos quizás pase desapercibido según para qué estudio). Nada más lejos de la realidad.

Sobre el valor de los datos médicos volcados en una plataforma abierta

(No confundir abierta con accesible. ResearchKit es abierto, pero accesible únicamente para centros de investigación homologados)

El segundo punto viene de la mano del primero, y es que aunque haya un error considerable y probabilístico en toda lectura realizada por un dispositivo de electrónica de consumo, la asociación de los datos personales con los médicos representa el nivel 4 en cuanto a valor del par de información, tanto para los buenos (médicos, aseguradoras, compañías,…) como para la industria del crimen. Y esto quizás sea demasiado jugoso como para dejarlo de lado.

REGISTRO MEDICO

Basándome en esta clasificación habitual dentro del sector de la ciberdelincuencia, el nivel 1, que engloba los datos que habitualmente podemos conseguir mediante técnicas de ingeniería social o OSINT (análisis de fuentes abiertas), es el “más barato” en cuanto a valor, y utilizado habitualmente en campañas de phishing y fraude.

Si llegamos al nivel 2 (datos de una persona que habitualmente no están públicos), esa información podría ser utilizada para cometer suplantaciones de identidad, o fraudes a nivel de terceros (hacerse pasar por una persona para abrirse una cuenta bancaria, por ejemplo).

En el nivel 3, las cosas se ponen feas. Con datos de nivel 3 (datos bancarios) un cibercriminal puede realizar un cargo a nuestro número de cuenta o contratar servicios de pago periódicos (como está ocurriendo con apps fake en markets móviles).

Y así es como llegamos al nivel 4, que hasta hace relativamente poco tiempo, resultaba prácticamente utópico. Con los datos médicos de una persona se podría discriminar entre perfiles de salud, y por ejemplo, cobrar más por un seguro que a otro cliente que previsiblemente esté más sano. En el mundo del cibercrimen, esto se traduce en un fraudes médicos (engañar por ejemplo a una persona para ofrecerle un tratamiento que necesita).

A lo que quiero ir es que la Salud, por momentos, se vuelve un negocio. Y servicios como ResearchKit presentan a priori el caldo de cultivo perfecto para servir de granja de datos a terceros.

Falta información sobre las medidas de anonimización con las que contará la herramienta. Bien sabe que un servidor apoya la evolución de plataformas centralizadas de fuentes abiertas, y que abogo por un ecosistema biotecnológico accesible, pero me surge la duda de si el movimiento, al venir de Apple, tendrá el único objetivo de servir socialmente a la humanidad (limpieza de imagen para los de Cupertino) o en un futuro quizás se monetice como ocurrió con 23andMe.

Llegados a ese punto, ¿seguirán trabajando con datos anónimos y cuantificativos a sabiendas que la desanonimización médica es el máximo nivel del valor de un par de información? ¿Tiene sentido una plataforma solo compatible para dispositivos de una única compañía? ¿Qué medidas de seguridad están tomando desde Cupertino para segurizarla?

Muchas preguntas en el aire. Una plataforma que previsiblemente será un éxito en el sector, abierta en cuanto a código (si a Apple no se le vuelven a cruzar los cables) y cerrada en cuanto a SO.

Y en el medio, los datos de salud de millones de usuarios, sin una estrategia de ética tecnológica compartida con los potenciales usuarios/clientes, con sus errores esperables, y con la presión y pretensión de terceros por conseguirlos.