Las imágenes deepfake médico han cruzado un umbral crítico. Un estudio de marzo 2026 publicado en Radiology[s] encontró que las radiografíasUna imagen médica producida por radiación electromagnética, comúnmente llamada radiografía, utilizada por médicos para ver estructuras corporales internas con fines diagnósticos. generadas por IA son ahora lo suficientemente realistas para engañar tanto a radiólogos como a los sistemas de IA diseñados para ayudarlos. Cuando los médicos no sabían que imágenes falsas estaban mezcladas, menos de la mitad las detectaron. Incluso advertidos, su precisión solo alcanzó el 75%.
Este no es un riesgo teórico. La tecnología para crear imágenes deepfake médico está ahora accesible para cualquiera con una suscripción a ChatGPT. Y la infraestructura destinada a almacenar y compartir escáneres médicos tiene brechas de seguridad que han persistido durante décadas.
Imágenes Deepfake Médico: Lo que el Estudio Encontró
Diecisiete radiólogos de 12 instituciones en seis países[s] vieron 264 imágenes radiográficas. La mitad eran escáneres clínicos reales. La otra mitad fue generada por IA, algunas por ChatGPT (GPT-4o) y otras por RoentGen, un modelo de código abierto desarrollado en Stanford.
En la primera fase, no se informó a los radiólogos que el estudio involucraba falsificaciones. Simplemente se les pidió evaluar la calidad de imagen y notar cualquier cosa inusual. Solo el 41% expresaron preocupaciones de que imágenes deepfake médico generadas por IA podrían estar presentes. El resto no vio nada malo.
En la segunda fase, se informó a los radiólogos que algunas imágenes eran sintéticas y se les pidió distinguir lo real de lo falso. Su precisión promedio fue del 75%, lo que significa que una de cada cuatro imágenes deepfake médico aún pasó desapercibida. Las puntuaciones individuales variaron del 58% al 92%. Los años de experiencia no hicieron diferencia. Un residente de primer año se desempeñó aproximadamente igual que un veterano con cuatro décadas en el campo.
Los modelos de IA no lo hicieron mucho mejor. Cuatro grandes modelos de lenguaje (GPT-4o, GPT-5, Gemini 2.5 Pro y Llama 4 Maverick) fueron probados en las mismas imágenes. Su precisión varió del 57% al 85%[s]. Incluso GPT-4o, el modelo que creó las falsificaciones, no pudo identificar de manera confiable su propia producción.
Por qué Esto Importa para los Pacientes
Cuando se pidió a los radiólogos diagnosticar condiciones mostradas en las imágenes, su precisión diagnóstica fue del 92,4% para las radiografías deepfake médico[s], casi idéntica al 91,3% para escáneres reales. En otras palabras, los médicos no solo creyeron que las falsificaciones eran reales; diagnosticaron con confianza condiciones médicas en imágenes que no representaban ningún paciente real.
Las implicaciones van en dos direcciones. Una imagen de fractura fabricada podría respaldar una reclamación de seguro fraudulenta o demanda. Un escáner manipulado que muestre un pulmón limpio podría ocultar cáncer real. “Esto crea una vulnerabilidad de alto riesgo para litigios fraudulentos si, por ejemplo, una fractura fabricada pudiera ser indistinguible de una real”, dijo el autor principal Mickael Tordjman[s], radiólogo en Mount Sinai en Nueva York.
La Barrera de Entrada se ha Colapsado
Lo que hace diferente este momento es la accesibilidad. Las imágenes deepfake médico anteriores requerían experiencia especializada en aprendizaje automático. En 2019, investigadores de la Universidad Ben-Gurion demostraron CT-GAN[s], un sistema que podía inyectar o eliminar tumores de escáneres CT 3D. Ese ataque engañó a radiólogos el 99% de las veces, pero construirlo requirió entrenar redes neuronales personalizadas en datos médicos.
Hoy, generar radiografías anatómicamente plausibles no requiere más que un comando en lenguaje natural[s] a un chatbot comercial. La barrera técnica ha desaparecido efectivamente.
Las Redes Hospitalarias no Están Listas
La infraestructura de imágenes médicas en sí misma agrava el problema. DICOM, el protocolo estándar para almacenar y compartir escáneres, fue diseñado para interoperabilidadCapacidad de las fuerzas o equipos militares de distintas naciones para funcionar conjuntamente de forma eficaz en operaciones., no para seguridad. Una investigación de 2023 por la firma de ciberseguridad Aplite[s] encontró más de 3.800 servidores DICOM expuestos al Internet abierto en 110 países, filtrando datos de 16 millones de pacientes. Menos del 1% de esos servidores usaban medidas de seguridad efectivas.
Los investigadores CT-GAN de 2019 demostraron un vector de ataque práctico[s]: con permiso, penetraron una red hospitalaria real e interceptaron cada escáner tomado por una máquina CT. Las redes hospitalarias internas a menudo transmiten escáneres sin encriptación porque históricamente no estaban conectadas a Internet. Esa suposición está cada vez más desactualizada.
Qué se Puede Hacer
Los investigadores recomiendan una defensa en capas. Las salvaguardas propuestas incluyen marcas de agua invisibles[s] embebidas en imágenes en el momento de captura y firmas criptográficas vinculadas al tecnólogo que tomó el escáner. Estas crearían una cadena de custodia que hace detectable la manipulación post-captura.
“Potencialmente solo estamos viendo la punta del iceberg”, advirtió Tordjman[s]. “El siguiente paso lógico en esta evolución es la generación por IA de imágenes 3D sintéticas, como CT y MRI. Establecer conjuntos de datos educativos y herramientas de detección ahora es crítico.” El equipo del estudio ha publicado un conjunto de datos deepfake curado con cuestionarios interactivos[s] para ayudar a entrenar radiólogos.
La especialista en integridad de imágenes Elisabeth Bik lo expresó claramente: “Esto plantea preocupaciones no solo para la integridad de la investigación, sino también para flujos de trabajo clínicos, reclamaciones de seguros y contextos legales donde se usa evidencia de imágenes.”[s]
Las señales reveladoras existen, por ahora. Las imágenes deepfake médico a menudo se ven “demasiado perfectas”, con huesos demasiado suaves, columnas vertebrales antinaturalmente rectas, y líneas de fractura sospechosamente limpias. Pero a medida que los modelos mejoren, incluso esas pistas desvanecerán.
Un estudio multicéntrico publicado en Radiology en marzo 2026[s] cuantifica lo que la comunidad de imágenes ha temido: las imágenes deepfake médico generadas por modelos de lenguaje grande comercialmente disponibles son ahora indistinguibles de radiografíasUna imagen médica producida por radiación electromagnética, comúnmente llamada radiografía, utilizada por médicos para ver estructuras corporales internas con fines diagnósticos. auténticas a tasas clínicamente relevantes. Ni lectores humanos ni LLMs multimodales lograron discriminación confiable, y la barrera técnica para producir estas falsificaciones ha caído cerca de cero.
Deepfake Médico: Diseño y Resultados del Estudio
El estudio retrospectivo de precisión diagnóstica[s], conducido entre abril y agosto 2025, reclutó 17 radiólogos de 12 instituciones en seis países, con experiencia que variaba de 0 a 40 años. Evaluaron dos conjuntos de datos no superpuestos que comprendían 264 imágenes totales.
El conjunto de datos 1 contenía 77 radiografías auténticas emparejadas con 77 imágenes sintéticas generadas por GPT-4o a través de múltiples regiones anatómicas (tórax, extremidades, columna). El conjunto de datos 2 contenía 55 radiografías torácicas auténticas y 55 radiografías torácicas sintéticas producidas por RoentGen, un modelo de difusiónModelo de IA que genera imágenes o video aprendiendo a eliminar progresivamente el ruido de datos aleatorios. Produce medios sintéticos muy realistas. latente afinado en radiografías torácicas[s] desarrollado por investigadores de Stanford Medicine.
El estudio se ejecutó en tres fases. En la fase 1, radiólogos, ciegos al propósito del estudio, evaluaron calidad de imagen en una escala Likert y proporcionaron diagnósticos. Solo el 41% (7 de 17) notaron espontáneamente que imágenes deepfake médico generadas por IA podrían estar presentes. La precisión diagnóstica fue del 91,3% para radiografías auténticas y 92,4% para sintéticas[s], confirmando que las imágenes deepfake médico no eran solo visualmente convincentes sino diagnósticamente coherentes.
En la fase 2, informados que imágenes sintéticas estaban presentes, los radiólogos lograron una precisión media del 75% (IC 95%: 68-81%) en el conjunto de datos GPT-4o. El rendimiento individual varió del 58% al 92%. La sensibilidad agrupada fue 69,1% y especificidad 80,4%. En la fase 3, la precisión en el conjunto de datos RoentGen fue 70% (IC 95%: 62-78%), sin diferencia estadísticamente significativa del rendimiento GPT-4o (P = .07).
No se encontró correlación entre años de experiencia y precisión de detección.[s] Los radiólogos musculoesqueléticos superaron significativamente a otros subespecialistas, probablemente porque la morfología ósea proporciona pistas estructurales más discretas que patrones de tejido blando.
Rendimiento LLM como Discriminadores
Cuatro LLMs multimodales fueron evaluados en la misma tarea de clasificación. GPT-4o logró 85% de precisión en sus propias imágenes sintéticas[s] y 75,5% en imágenes RoentGen. GPT-5 puntuó 82,5% y 89,1% respectivamente. Llama 4 Maverick (59%, 52%) y Gemini 2.5 Pro (56%, 57%) se desempeñaron sustancialmente peor, en algunos casos cerca del nivel de azar. La diferencia entre modelos OpenAI y competidores fue estadísticamente significativa (todos P < .001).
El hecho de que GPT-4o no pudiera identificar confiablemente su propia producción es significativo. Sugiere que el proceso de generación no embebe artefactos fácilmente recuperables: el modelo genera de la misma distribución aprendida de características radiográficas, haciendo la discriminación un problema fundamentalmente más difícil que la generación.
De GANs a LLMs: El Punto de Inflexión de Accesibilidad
El estudio actual representa un punto de inflexión en la evolución de las imágenes deepfake médico. La IA generativa en imágenes médicas ha evolucionado de GANs a modelos basados en difusión[s], y ahora a LLMs de propósito general que aceptan comandos en lenguaje natural. Cada generación bajó la experiencia requerida.
El marco CT-GAN de 2019 de la Universidad Ben-Gurion demostró la amenaza en imágenes volumétricas. Mirsky et al. usaron una GAN condicional 3D para inyectar y eliminar cáncer pulmonar de escáneres CT[s], logrando manipulaciones que se ejecutaban en milisegundos y engañaban radiólogos en una evaluación ciega. Tres radiólogos diagnosticaron mal el 99% de escáneres con tumores inyectados y 94% de aquellos con tumores eliminados.[s] Incluso después de ser informados sobre la manipulación, las tasas de diagnóstico erróneo permanecieron en 60% y 87% respectivamente.
Pero CT-GAN requirió entrenar arquitecturas cGAN personalizadas en conjuntos de datos médicos curados, un pipeline no trivial. El estudio 2026 muestra que engaño 2D comparable es ahora alcanzable a través de una llamada API comercial. La superficie de ataqueEl conjunto de puntos en un sistema donde un atacante puede intentar entrar, extraer datos o causar daño. se ha expandido de actores a nivel estatal y adversarios bien financiados a esencialmente cualquiera.
Vulnerabilidades de Infraestructura: DICOM y PACS
La infraestructura de imágenes en sí misma permanece pobremente defendida. DICOM (Digital Imaging and Communications in Medicine), el estándar universal para almacenamiento y transmisión de imágenes médicas, fue diseñado para interoperabilidadCapacidad de las fuerzas o equipos militares de distintas naciones para funcionar conjuntamente de forma eficaz en operaciones., no seguridad[s]. Los servidores PACS (Picture Archiving and Communication Systems) frecuentemente operan con autenticación mínima y comunicaciones internas no encriptadas.
Una auditoría 2023 por Aplite presentada en Black Hat Europe[s] identificó más de 3.800 servidores DICOM expuestos en más de 110 países, con 16 millones de registros de pacientes y 43 millones de registros de salud accesibles desde Internet abierto. Menos del 1% implementaron medidas de seguridad efectivas. Los investigadores también demostraron un nuevo vector de ataque para manipulación de datos dentro de imágenes médicas existentes en estos sistemas expuestos.
El equipo CT-GAN demostró un ataque de interceptación hombre-en-el-medio en una red hospitalaria en vivo[s], capturando cada escáner de una máquina CT. Las redes de radiología internas históricamente asumían aislamiento de Internet, pero migración a la nube y requisitos de acceso remoto han erosionado esa suposición.
Estrategias de Mitigación
Los autores del estudio proponen una defensa multi-capa[s]: marcas de agua invisibles embebidas en adquisición de imagen, firmas criptográficas vinculadas al tecnólogo adjuntadas en captura, registro de auditoría PACS para patrones de acceso a registros, y detección de anomalías para modificaciones inusuales de registros.
Los radiólogos en el estudio identificaron varios indicadores morfológicos en imágenes deepfake médico de generación actual: artefactos de simetría bilateral, patrones de ruido uniformes (que carecen del ruido espacialmente variable de hardware detector real), córtex óseo demasiado suave, alineación vertebral antinaturalmente regular, y líneas de fractura que parecen “demasiado limpias”, a menudo afectando solo una superficie cortical en lugar de propagarse a través de la sección transversal completa del hueso.
Sin embargo, estas firmas son específicas del modelo y probablemente disminuirán a medida que las arquitecturas generativas mejoren. “Potencialmente solo estamos viendo la punta del iceberg”, notó Tordjman[s]. “El siguiente paso lógico en esta evolución es la generación IA de imágenes 3D sintéticas, como CT y MRI.”
Elisabeth Bik, especialista en integridad de imágenes, calificó los hallazgos como “tanto perturbadores como no muy sorprendentes”[s], notando que las implicaciones se extienden más allá de la práctica clínica a “integridad de investigación, reclamaciones de seguros y contextos legales donde se usa evidencia de imágenes”. El equipo del estudio ha liberado un conjunto de datos educativo curado en noneedanick.github.io/DeepFakeXRay[s] para entrenar clínicos en detección.
El desafío fundamental es asimétrico: generar un deepfake convincente es computacionalmente barato y se vuelve más barato. Detectar uno requiere ya sea procedencia criptográfica (que demanda renovación de infraestructura) o forense visual (que el estudio muestra no es confiable incluso entre expertos). La ventana para defensa proactiva se está estrechando.
