Un chatbot de inteligencia artificial utilizado internamente por empleados de Optum, subsidiaria del gigante de salud UnitedHealth, quedó expuesto públicamente en internet sin ninguna protección de acceso.
El chatbot, denominado "SOP Chatbot", fue diseñado para que los empleados pudieran realizar consultas sobre el manejo de reclamos de seguros médicos y disputas de los miembros, según los procedimientos operativos estándar de la compañía.
La exposición fue descubierta por Mossab Hussein, director de seguridad de la firma de ciberseguridad spiderSilk, quien encontró que aunque la herramienta estaba alojada en un dominio interno de Optum, su dirección IP era pública y accesible desde internet sin requerir contraseña.
Un portavoz de Optum, Andrew Krejci, declaró que el chatbot "era una herramienta de demostración desarrollada como prueba de concepto" que "nunca se puso en producción". La empresa confirmó que no se utilizó información médica protegida en el bot ni en su entrenamiento.
Según estadísticas mostradas en el panel principal del chatbot, los empleados de Optum lo han utilizado cientos de veces desde septiembre. El historial de chat almacenado muestra consultas como "¿Cuál debería ser la determinación del reclamo?" y "¿Cómo verifico la fecha de renovación de la póliza?"
Esta exposición ocurre en un momento delicado para UnitedHealth Group, que enfrenta críticas y acciones legales por el supuesto uso de inteligencia artificial para denegar reclamos de pacientes. Una demanda federal acusa a UnitedHealthcare de utilizar un modelo de IA con una tasa de error del 90% "en lugar de profesionales médicos reales".
El incidente resalta los riesgos de seguridad asociados con el despliegue de herramientas de IA en el sector salud, especialmente cuando manejan información sensible relacionada con reclamos y coberturas médicas.