El cierre de los gimnasios y la limitación del ejercicio al aire libre, combinados con la capacidad de pasar más tiempo en casa y menos tiempo desplazándose al trabajo, se ha correspondido con un gran aumento en el número de descargas de aplicaciones de salud y fitness. El tiempo dedicado a reconsiderar cada aspecto de nuestras vidas, y enfrentarnos de cerca y personalmente a la realidad de la vida real de la humanidad, nos ha llevado a muchos de nosotros a hacer ejercicio.
Pero al hacerlo, ¿también estamos invitando a un seguimiento excesivamente invasivo de algunas de las partes más personales de nuestras vidas: los datos de salud? Aunque muchos usuarios apoyan el uso de sus datos de salud para mejorar los servicios de salud, las aplicaciones de acondicionamiento físico son algo un poco diferente.
El movimiento del Yo Cuantificado es uno que nos ha ayudado a muchos de nosotros a estar saludables. Pero al rastrear nuestro peso, nuestros latidos cardíacos y nuestras tasas de oxígeno, estamos entregando un tesoro de datos valiosos a terceros. La realidad es que al usar aplicaciones como Fitbit, Strava y Maven, estamos entregando parte de nuestra información de identificación personal más personal.
Vamos a analizar aquí la seguridad de estas aplicaciones de salud y fitness, sus vulnerabilidades y cómo mantenernos seguros al utilizarlas.
Indice
¿Qué son las aplicaciones de salud?
Las aplicaciones de salud son programas de aplicación que ofrecen servicios relacionados con la salud para teléfonos inteligentes y tabletas.
Debido a que son accesibles para los pacientes tanto en casa como en movimiento, las aplicaciones de salud son parte del movimiento hacia los programas de salud móvil en el cuidado de la salud. Hay muchas variedades de aplicaciones de salud disponibles para comprar en las tiendas de aplicaciones.
Algunas están diseñados para ayudar a los consumidores a tomar decisiones más saludables en su vida diaria ofreciéndoles consejos sobre fitness o nutrición. Otras ayudan a los médicos y pacientes a comunicarse desde lejos, como aplicaciones para diabéticos que envían automáticamente lecturas de glucosa a sus médicos de atención primaria. Algunas aplicaciones están dirigidas a los propios médicos; muchas aplicaciones combinan mHealth con registros médicos electrónicos, lo que permite a los médicos mantener registros precisos a los que se puede acceder fácilmente.
Hay dos tipos principales de aplicaciones de salud que son más frecuentes en la actualidad: las que se centran en la alimentación y la nutrición saludables y las que se centran en la actividad física y la forma física. Los subconjuntos crecientes, pero menores, de categorías de aplicaciones de salud incluyen aplicaciones integradoras de salud / bienestar y aplicaciones de salud dirigidas específicamente a los niños. Ambos subconjuntos más pequeños promueven comportamientos como el sueño adecuado, promover el pensamiento positivo, dejar de fumar, usar protector solar, dejar de fumar o evitar el uso de productos de tabaco y reducir el estrés.
Lo que las aplicaciones de salud y fitness saben sobre ti
La mayoría de las aplicaciones de fitness, como Fitbit, Strava, MapMyRun, Nike + Run y Asics Runkeeper, solo por nombrar algunas, tienen un dispositivo portátil que se sincroniza con tu teléfono inteligente. Ese dispositivo portátil puede recopilar una gran cantidad de información, incluida la cantidad de pasos que das, tu frecuencia cardíaca, dónde viajas y cuándo, tu peso y cuándo estás despierto o durmiendo.
Los rastreadores de salud son generalmente aplicaciones que instalas en tu teléfono. Dependen de ti para completar formularios sobre su salud para la recopilación de datos. Dependiendo de a qué se dirija la aplicación, podría variar desde preguntas estándar sobre tu salud hasta preguntas sobre temas bastante delicados.
Entonces, ¿a quién le estamos dando nuestros datos y cuánta información estamos entregando sin pensar? ¿Dónde terminan esos datos una vez que se rastrean a través de las aplicaciones más populares del mundo? Analizamos las políticas de privacidad oficiales de las principales aplicaciones de salud y fitness para ver qué datos solicita cada una a sus usuarios.
La mayoría de estas apps piden que los usuarios faciliten su nombre, correo electrónico, número de teléfono, dirección, información del dispositivo, edad y sexo para trabajar. También solicitan mucha otra información, incluida la ocupación, pasatiempos e intereses, la información de amigos y familiares, peso, nivel de condición física e incluso talla de calzado.
Cesión de datos a terceros
El intercambio de datos es el meollo del problema. Las empresas de aplicaciones de fitness a menudo tienen incentivos para compartir sus valiosos datos de salud en tiempo real con terceros, ya sean anunciantes, bufetes de abogados o redes sociales como Facebook que se benefician de su información confidencial. Si fueran completamente transparentes sobre cómo se compartieron sus datos o cómo ajustar su configuración de privacidad, es menos probable que los usuarios confíen en las aplicaciones. Es por eso que, hasta la fecha, la industria de las aplicaciones de fitness y salud se ha visto afectada por escándalos.
Hay muchas razones válidas para que una aplicación comparta datos. Puede conducir a un mejor servicio que el usuario desea. También puede ser requerido por ley para investigaciones policiales. Pero los fabricantes de aplicaciones no siempre tratan la privacidad de su información confidencial como una prioridad absoluta.
Hay tres formas principales en que las aplicaciones de fitness y salud abusan de tus datos:
- Exponen automáticamente los datos desde el primer momento. Si los usuarios quieren usar estas aplicaciones y proteger su privacidad, deben actualizar la configuración de privacidad dentro de la aplicación o en su teléfono inteligente, lo que pocos usuarios hacen.
- Sus políticas de privacidad son vagas. Una política de privacidad que dice, «Podemos compartir su información con nuestros patrocinadores y / o socios comerciales», no le da al usuario suficiente información para tomar una decisión informada.
- Sus políticas de privacidad son engañosas. En algunos casos, las aplicaciones no revelan cómo se utilizan los datos en su política de privacidad. Lo esconden en un documento separado o lo disfrazan con jerga legal confusa. Es posible que otras aplicaciones de salud más pequeñas no tengan una política de privacidad.
Configuración de privacidad predeterminada débil
Un buen ejemplo del primer problema es la aplicación de fitness Strava y su función Beacon, que delata la ubicación en tiempo real de ciclistas y corredores. Esto ha convertido a la aplicación en una mina de oro para los ladrones.
Así es como funciona. Strava combina el seguimiento del estado físico con una plataforma de redes sociales que permite a sus usuarios competir e interactuar entre ellos. Para que Strava funcione, necesita acceso y permiso para compartir sus datos de ubicación. También tiene una función «FlyBy», que te permite buscar otros usuarios de Strava que viste mientras corrías.
Sin embargo, no es necesario ser usuario de Strava para acceder a la plataforma o buscar rutas. Una vez que se selecciona una ruta, puedes averiguar a quién pertenece, mirar el perfil de esa persona y ver dónde más es probable que vaya a correr. A menudo, estos datos se pueden utilizar para localizar los hogares de las personas. Este problema también está presente en menor medida para MapMyRun, Nike + Run y cualquier aplicación que rastrea tus carreras y te permite compartir esos datos.
En 2014, las fuerzas del orden atribuyeron un fuerte aumento de los robos de bicicletas en el Reino Unido a los ladrones que utilizaban datos de Strava. Lo mismo volvió a pasar en 2018.
Strava viene con controles de privacidad. Desafortunadamente, pocos usuarios los activan y solo se necesitan algunas carreras para exponer la ubicación de su hogar. Además, la desactivación de algunas de las funciones de privacidad, como la desactivación de la función «FlyBy», socava la usabilidad de la aplicación.
Políticas de privacidad vagas
El ejemplo anterior – «Podemos compartir su información con nuestros patrocinadores y / o socios comerciales» – no es hipotético. Proviene de la política de privacidad del rastreador de ovulación Maya, que afirma tener más de ocho millones de usuarios en todo el mundo. Esta no es información suficiente para que un usuario dé su consentimiento informado. En ninguna parte de la política de Maya enumeran el tipo de datos que comparten o con qué organizaciones los comparten.
Esto es especialmente preocupante considerando el tipo de datos que recopila Maya, que incluye información sobre tu estado de ánimo, qué tipo de anticonceptivo estás usando, si estás teniendo relaciones sexuales y si estás usando protección. Maya está compartiendo datos con varios terceros, incluido Facebook.
La aplicación de seguimiento de ovulación Flo dejó de compartir datos con Facebook después de que una historia del Wall Street Journal expusiera el intercambio de datos similares sin consentimiento. Estas aplicaciones permiten que Facebook recopile datos de usuario para que pueda mostrar anuncios específicos.
Políticas de privacidad engañosas
HealthEngine es una aplicación popular en Australia, utilizada por más de 1,5 millones de personas para programar citas con el médico. Una investigación reciente encontró que la aplicación compartió la información médica privada de sus usuarios con abogados de lesiones locales sin su consentimiento.
Se preguntó a los usuarios si habían estado involucrados en un accidente automovilístico o habían sufrido una lesión relacionada con el trabajo. Si respondieron que sí, la aplicación notificó a los abogados de lesiones sobre los detalles de sus problemas de salud. En ningún momento se les preguntó a los usuarios si consintieron en que sus datos se compartieran con abogados, ni se mencionó que sus datos se compartieran con abogados en la política de privacidad de HealthEngine.
El hecho de que sus datos médicos privados se enviarían a un bufete de abogados solo se reveló en una «Declaración de recopilación» separada. La única forma en que los usuarios podían optar por no compartir estos datos era no usar la aplicación.
En Estados Unidos, las aplicaciones de salud Cardiio y My Baby’s Beat y la aplicación de fitness Runtastic se ven obligadas a revisar sus políticas de privacidad después de que el Fiscal General de Nueva York dijera que estaban compartiendo datos con terceros sin un consentimiento claro.
Principales vulnerabilidades
Al rastrear y recopilar algunos de los datos de la actividad personal del usuario (ubicación, ejercicio, sueño, peso y más) junto con la información de la tarjeta de crédito, las aplicaciones de acondicionamiento físico albergan datos que se pueden aprovechar de manera maliciosa.
Ten en cuenta que, además de exponer potencialmente la información de tu tarjeta de crédito, ¿qué pasaría si una aplicación no segura revelara tus rutinas diarias a un delincuente potencial? ¿O proporciona una puerta trasera a tus álbumes de fotos personales, invadiendo tu privacidad?
Las siguientes son 7 vulnerabilidades de seguridad comunes descubiertas en aplicaciones populares de fitness móvil.
- La función de programación de E / S (entrada / salida) de archivos permite que los datos se transfieran hacia o desde el sistema de archivos de la aplicación. Si no está protegido, un pirata informático podría inyectar código malicioso y obtener acceso de lectura o escritura a recursos como permisos de usuario y estructuras de archivos. Los desarrolladores deben almacenar los datos necesarios para los archivos locales y cifrarlos.
- Un marco de codificación que permite que las aplicaciones y los componentes se comuniquen entre sí pasando mensajes. Si no está protegido, se puede llamar para ver otros intentos ocultos dentro de la aplicación móvil, que podrían contener datos almacenados en caché con contraseñas y credenciales de usuario. Los desarrolladores deben cambiar las exportaciones de intención a «falso» hasta que sea necesario.
- Los esquemas de URL son intenciones que permiten a las aplicaciones comunicarse con servidores y páginas web desde dentro de una aplicación. Una URL de esquema de intención insegura puede brindar a las páginas web maliciosas una forma de realizar ataques basados en la intención contra aplicaciones, sin prácticamente ninguna protección. Los desarrolladores deben implementar sus disposiciones de seguridad para las funciones de URL, en lugar de depender de los navegadores.
- Los desarrolladores utilizan los archivos de registro para almacenar un historial de eventos o transacciones para su posterior revisión, estadísticas o con fines de depuración, y pueden ayudar a mejorar el rendimiento y la usabilidad de la aplicación. Sin embargo, sin la protección adecuada, los piratas informáticos pueden escribir una aplicación maliciosa y aprovechar la vulnerabilidad en la utilidad de procesamiento de registros. Los desarrolladores deben deshabilitar o restringir los permisos para la lectura de registros solo a las clases que necesitan acceso.
- La reflexión es una técnica de programación relativamente avanzada proporcionada en la mayoría de las API que permite a los desarrolladores tratar las definiciones de clases como objetos y realizar operaciones que de otro modo serían difíciles. Sin embargo, los atacantes pueden potencialmente manipular objetos en tiempo de ejecución e inyectar código dañino. Los desarrolladores deben ser competentes antes de implementar la reflexión; de lo contrario, es un riesgo innecesario.
- Un kit de desarrollo de software contiene lo que un desarrollador puede necesitar para crear aplicaciones en una plataforma específica, como herramientas, bibliotecas, documentos relevantes, código de muestra, procesos y guías. Para agilizar el desarrollo, los SDK pueden venir con una funcionalidad prediseñada. Sin embargo, también existe la posibilidad de que un SDK se vea comprometido. Los desarrolladores solo deben usar SDK que mejoren la función de la aplicación.
- Las funciones de programa obsoletas admitidas se eliminan después de que se produce una nueva versión, pero los objetos obsoletos a menudo se dejan en su lugar. Sin embargo, esto puede alertar a un atacante malintencionado de que el código circundante podría ser vulnerable. Los desarrolladores deben eliminar todo el código no utilizado y desactualizado.
Consejos para mantenerte seguro
Los relojes inteligentes son un compañero constante en nuestras muñecas y, combinados con nuestros teléfonos, nos brindan todos los datos que queremos sobre cuántos pasos damos, nuestra frecuencia cardíaca, nuestros niveles de estrés e incluso qué tan bien dormimos.
Pero estos datos personales también están siendo manejados por las empresas de tecnología más grandes del mundo que tienen un historial de recopilación de datos de clientes, sin mencionar que los dispositivos inteligentes en general son bastante vulnerables a los ataques.
Es posible que las aplicaciones de acondicionamiento físico finalmente se estén poniendo de moda, pero sus configuraciones de privacidad aún están atrapadas detrás de la línea de salida.
Algunas aplicaciones de acondicionamiento físico aún dejan mucho que desear, por lo que hemos compilado una lista de consejos para ayudarte a mejorar tu privacidad mientras haces ejercicio.
Utiliza un alias al crear un perfil nuevo
Tu reloj inteligente te está rastreando y aún no está claro qué información se está enviando. Para proteger tu privacidad, te sugerimos que uses un alias para crear un nuevo perfil en tu aplicación. Además, apagar Bluetooth y usar una contraseña más segura son pasos sencillos que puedes seguir para frustrar a los posibles acosadores.
Comprueba a qué datos puede acceder tu aplicación de fitness y qué comparte
Compartir cuántos pasos diste durante el almuerzo es una cosa, pero compartir tus movimientos intestinales irregulares después de ese taco a la hora del almuerzo probablemente sea demasiado. Asegúrate de saber qué información comparte tu aplicación y asegúrate de restringirla a la menor cantidad posible. Si puedes, limítate a la configuración básica y restringe el acceso a los datos que no crees que la aplicación necesite.
Siempre, siempre actualiza tus aplicaciones
Las nuevas actualizaciones son molestas, pero existen por una razón. Cada vez que tu aplicación te pide que actualices, generalmente es por una de dos razones: o hay un nuevo parche para cubrir una falla de seguridad, o hay una aplicación más nueva y mejor disponible. De cualquier manera, tomarse unos minutos para actualizar tu aplicación es un pequeño precio a pagar por el gran impulso en la privacidad.
Asegúrate de que tus aplicaciones utilicen HTTPS
Si bien casi todas las aplicaciones de fitness actuales utilizan Wi-Fi para compartir datos, no todas lo hacen en un servidor seguro. No usar HTTPS es un error de novato, y hay muchas aplicaciones populares, como Garmin Vivosmart, que no lo usan. Asegúrate de que tu aplicación esté usando un servidor seguro para transferir y registrar tus datos. Si no es así, puede que sea el momento de buscar una nueva aplicación.
Verifica periódicamente para ver si tus datos son precisos
Los expertos han podido engañar a algunas aplicaciones para que generaran datos falsos. Esto podría afectar tus objetivos de salud personales. Cuando revises tus datos, asegúrate de que la información sea precisa. Si no es así, es posible que alguien te esté manipulando.
Las aplicaciones de fitness y salud son excelentes herramientas que pueden motivarte a mantenerte en forma y realizar un seguimiento de tu progreso. Pero no deberías poner en peligro tu salud digital por el bien de tu salud física. Es importante tener en cuenta que las aplicaciones que descargues pueden poner en riesgo tu privacidad.