La mayoría de las aplicaciones médicas y de acondicionamiento físico en Google Play tienen el seguimiento habilitado y sus prácticas de recopilación de datos son opacas.
Según un estudio realizado por Optus Macquarie, hasta el 88 % de las casi 21 000 aplicaciones móviles de salud y fitness (mHealth) disponibles en la tienda Google Play en Australia contienen secuencias de código que pueden acceder o incluso compartir los datos personales de los usuarios. Centro de Seguridad de Sydney.
El artículo de BMJ, titulado «Salud y privacidad móvil: un estudio intersectorial», analizó 8.000 aplicaciones clasificadas como «médicas» y 13.000 aplicaciones clasificadas como «salud y estado físico». Enumera casi todas las aplicaciones móviles de salud disponibles en Google Play Store en Australia. En general, casi 100 000 aplicaciones en Google Play y Apple Store se incluyen en estas dos categorías.
Los investigadores realizaron un análisis en profundidad de casi 16 000 aplicaciones de salud móviles gratuitas que se encuentran en Google App Market y compararon sus prácticas de privacidad con una muestra central de casi 8500 aplicaciones de salud no móviles.
¿Cuáles son los hallazgos?
«Los principales tipos de datos recopilados por las aplicaciones mHealth incluyen información de contacto, ubicación del usuario y varios identificadores de dispositivos. Algunos de estos identificadores (nos referimos específicamente a la Identidad Internacional de Equipos Móviles – IMEI, el identificador único utilizado para huellas dactilares de teléfonos; Controles de acceso a medios – MAC, el identificador único del equipo de usuario y la interfaz de Identidad de Red de Suscriptor Móvil Internacional, el número de identificación único que identifica de manera única a cada usuario de la red celular) son únicos y persistentes, es decir, son inmutables y no se pueden cambiar ni reemplazar. Los terceros también pueden usarlos para rastrear a los usuarios a través de redes y aplicaciones», dijo el estudio.
Dos tercios de las aplicaciones recopilaron ID de MAC y cookies, un tercio recopiló la dirección de correo electrónico del usuario y aproximadamente una cuarta parte pudo adivinar la ubicación actual del usuario en función de la antena a la que estaba conectado.
Sin embargo, las aplicaciones móviles de salud recopilan y transmiten menos datos de los usuarios, y la tasa de penetración de los servicios de terceros es menor que la de otros tipos de aplicaciones. Solo se registró alrededor del 4 por ciento de las transferencias de datos en las aplicaciones de mHealth probadas, y se transfirieron los tipos de datos más comunes, incluidos los nombres de usuario y las ubicaciones.
Si bien el estudio concluyó que la forma en que las aplicaciones de mHealth recopilan y comparten los datos de los usuarios puede verse como una rutina, la responsabilidad por estas prácticas dista mucho de ser transparente. Se ha observado que casi una cuarta parte de las transferencias de datos de usuarios, especialmente contraseñas y datos de ubicación, se realizan a través de conexiones HTTP no cifradas e inseguras. Casi un tercio de las aplicaciones de mHealth no proporcionan ningún tipo de política de privacidad que detalle cómo se manejan sus datos.
Además, una cuarta parte de las aplicaciones encuestadas manejan datos de una manera que viola las normas de privacidad. Esto podría significar problemas para las empresas sospechosas de violar las reglas de privacidad, como el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, que requiere que los usuarios tengan claro cómo se procesan sus datos.
«Las aplicaciones móviles se están convirtiendo rápidamente en fuentes de información y herramientas de apoyo a la toma de decisiones para médicos y pacientes. Los pacientes deben ser informados de tales riesgos de privacidad y pueden ser parte del consentimiento para el uso de las aplicaciones. El equilibrio riesgo-beneficio de las aplicaciones de mHealth debe considerarse en cualquier debate técnico y político», concluye el documento.
No es una novedad para los usuarios que las aplicaciones móviles necesiten acceder a ciertos datos o funciones del teléfono (generalmente contactos, ubicación, micrófono o cámara) para hacer su trabajo. En muchos casos, sin embargo, las aplicaciones recopilan demasiada información personal y solicitan permisos que realmente no necesitan para la funcionalidad prometida. El evangelista jefe de seguridad de ESET, Tony Anscombe, investigó recientemente por qué debemos ser cautelosos con los tipos de permisos que otorgamos a las aplicaciones móviles y cuándo sus demandas se vuelven excesivas.