12 de abril de 2017 | Investigación
  • Compartir:

¡Interceptados! Los usuarios acaban pagando por el uso de aplicaciones gratuitas de eSalud

Manejan datos de los usuarios mucho más comprometedores que otras aplicaciones. Sin embargo, los proveedores de aplicaciones de eSalud con frecuencia no solo son negligentes respecto a la protección de datos, sino que atraen de forma consciente a los usuarios con asistentes de salud gratuitos para hacer dinero con sus datos. El estudio actual realizado por los expertos en protección de datos del instituto AV-TEST ha revelado esta y otras irregularidades.

eHealth-Apps

im Sicherheitstest.

zoom

Cuentan los kilómetros recorridos, las calorías ingeridas y los días fértiles. Miden la presión arterial, las depresiones y las carencias alimenticias. Envían mensajes de emergencia, dan consejos de salud, ayudan a buscar médicos y medicamentos e incluso avisan de que es la hora de tomarse la medicina. Las aplicaciones de salud para móviles Android prometen apoyo tanto a enfermos como a personas que quieren vivir de forma más sana. Y, efectivamente, ya hay más de 100.000 aplicaciones de este tipo apoyando a millones de personas en su esfuerzo por moverse más, alimentarse mejor, registrar los valores y señales de su propio cuerpo, analizarlos y optimar su comportamiento correspondientemente. Se trata de un enorme y prometedor mercado para desarrolladores de aplicaciones y para la industria del deporte, la medicina y los dispositivos. Pero también para los publicistas, compañías de seguros y otras empresas que hacen negocio con los datos de los usuarios.

A partir de mediados de mayo, Google exigirá que las aplicaciones

de Play Store cuenten con declaraciones de protección de datos claras. De lo contrario podrán ser excluidas de la tienda de aplicaciones. (Derechos de imagen de TNW)

zoom ico
Muchas aplicaciones de eSalud transmiten datos de los usuarios a sus servidores sin codificar.

Esta aplicación del proveedor Hipp transfiere incluso contraseñas sin codificar, como demuestra la prueba de privacidad de AV-TEST.

zoom ico
El análisis de 60 aplicaciones de eHealth mediante la prueba de privacidad del Instituto AV-TEST

demuestra claramente que la mayoría de las aplicaciones acceden a datos innecesarios para el uso de la aplicación (ver puntos rojos y amarillos en el gráfico).

zoom ico
Los usuarios pagan el uso de las aplicaciones de eSalud gratuitas con la transferencia automática de sus datos personales

y de salud a redes publicitarias. El gráfico muestra qué aplicaciones comparten automáticamente datos de los usuarios con qué redes publicitarias.

zoom ico

1

A partir de mediados de mayo, Google exigirá que las aplicaciones

2

Muchas aplicaciones de eSalud transmiten datos de los usuarios a sus servidores sin codificar.

3

El análisis de 60 aplicaciones de eHealth mediante la prueba de privacidad del Instituto AV-TEST

4

Los usuarios pagan el uso de las aplicaciones de eSalud gratuitas con la transferencia automática de sus datos personales

Recopilación de datos de usuario sensibles

Este tipo de aplicaciones recopilan datos relevantes sobre sus usuarios a través de los numerosos sensores integrados en los smartphones modernos, pero también a través de un creciente número de dispositivos periféricos, como balanzas, pulseras de fitness y otros aparatos de medición. Además, los propios usuarios entregan voluntariamente los datos solicitados por la aplicación; siempre asumiendo que los proveedores de las aplicaciones tratarán los datos aportados de forma confidencial y los protegerán correspondientemente. Y es que, en comparación con otras, las aplicaciones que en Google Play Store aparecen en las categorías "Salud y bienestar", "Medicina" y "Estilo de vida" registran y usan muchos datos personales, entre ellos datos relacionados con la salud.

Las 60 aplicaciones analizadas por los expertos en protección de datos del instituto AV-TEST constituyen una amplia muestra representativa de las aplicaciones de eSalud ofrecidas en Google Play Store. Entre ellas habían programas de Android para el diagnóstico de posibles enfermedades, aplicaciones de búsqueda de información médica, farmacias y médicos, pulseras de fitness, así como aplicaciones para el seguimiento de las mediciones médicas, como contadores de calorías, diarios para diabéticos y planificadores de fertilidad, aplicaciones de supervisión del sueño y diarios para bebés.

Elevados obstáculos legales y recelos de los usuarios

De acuerdo con la Directiva Europea de Protección de Datos, la Ley Federal alemana de Protección de Datos (BDSG), así como regulaciones legales específicas, este tipo de datos personales están sujetos a una especial protección. Su recopilación, procesamiento y uso requiere el consentimiento del afectado. Además, hay que informar de forma "exhaustiva y transparente" acerca de la recopilación, el procesamiento y el uso, así como dar a conocer en su caso el procesamiento y uso de los datos en el extranjero. En el caso de los datos sobre la salud, las disposiciones legales son notablemente más estrictas.

Estas disposiciones legales deberían aliviar los recelos de los usuarios de este tipo de aplicaciones. Según un estudio actual del Instituto Allensbach (Sólo disponible en alemán), los usuarios no están dispuestos a compartir los datos de sus pulseras de fitness con empresas, por ejemplo, su compañía de seguro médico. Más de la mitad de los encuestados estaría claramente en contra incluso si la transferencia de los datos de fitness conllevara un reembolso parcial de la cuota del seguro

Asistentes gratuitos como anzuelos para obtener datos

En la práctica, no obstante, el tratamiento que los proveedores de aplicaciones de eHealth dan a los datos de los usuarios va en contra de las disposiciones legales y las dudas de los usuarios. En lugar de ofrecer una protección de datos efectiva, atraen a los usuarios con aplicaciones gratis para obtener así otros datos sobre su salud. Así lo demuestra el reciente estudio del instituto AV-TEST. Mediante un muestreo aleatorio, los expertos comprobaron tanto el trato como la calidad de los datos registrados por las aplicaciones. Al hacerlo, tuvieron en cuenta su proporcionalidad respecto al fin de uso y ponderaron la recopilación de datos. Los protectores de datos analizaron si y hasta qué punto los proveedores de aplicaciones cumplen las obligaciones legales de informar acerca de la recopilación y el uso de datos. Además, los expertos examinaron el tráfico de datos de las aplicaciones. Para ello comprobaron con qué herramientas recopilaban datos las aplicaciones y a través de qué canales fluían.  

¡Más de un 80 por ciento no incluye una declaración de protección de datos razonable!

Para empezar, los proveedores de aplicaciones de salud no informan como toca a los usuarios acerca de la recopilación y el uso de datos según lo exige la ley. De las más de 60 aplicaciones examinadas, apenas 32 de ellas ofrecían un enlace directo de Google Play Store a una política de privacidad. Encima, solo en 22 de los casos se accedía a ella mediante el link, los otros diez no llevaban a ninguna parte o a páginas desiertas. Solo 16 de las 60 aplicaciones ofrecían una declaración de protección de datos relativa a la aplicación examinada en concreto. En el caso de 53 de las 60 aplicaciones, la declaración de protección de datos existente era una versión del año 2014 o más antigua o bien no se indicaba nada acerca de su vigencia.

Parece que entretanto estas irregularidades también irritan a Google, puesto que el operador de la tienda de aplicaciones más grande del mundo ha anunciado medidas drásticas para los desarrolladores de aplicaciones. A principios de febrero, Google informó por correo electrónico a los proveedores de aplicaciones cuyas aplicaciones no cumplen las reglas de Play Store en cuanto al tratamiento de los datos de los usuarios. El grupo estadounidense establecía el 15 de marzo como plazo para solventar las correspondientes irregularidades.  De lo contrario se enfrentarían a medidas drásticas hasta el punto de poder ser excluidas de Play Store. Según cálculos del portal de medios "The Next Web", millones de aplicaciones podrían verse afectadas por ello en el futuro. Un estudio de GPEN ya había revelado en 2014 que el 85 por ciento de las aplicaciones no contaba con una política de privacidad suficiente.

Crítico acceso masivo a datos

Contaran o no con una declaración de protección de datos, muchas de las aplicaciones de eSalud examinadas por AV-TEST accedían muy alegremente a la información relacionada con sus usuarios. Equiparable era la extensión de los derechos de acceso que las aplicaciones se otorgaban en los dispositivos móviles durante la prueba práctica. Además de acceder a los datos del usuario y el dispositivo,   muchas aplicaciones exigían tener acceso a fotos y otros datos almacenados en los dispositivos móviles. Igualmente en alza está el acceso a datos geográficos, la identificación del dispositivo o información sobre llamadas. 12 aplicaciones exigían acceso directo a la cámara, 7 querían usar el micrófono libremente y 3 incluso todas las funciones de telefonía del móvil. Solo 8 aplicaciones prescindían de cualquier tipo de derecho de acceso.

Los expertos comprobaron la necesidad de los derechos de acceso exigidos por la aplicación teniendo en cuenta la función de la misma. Si los derechos de acceso no eran imprescindibles para las funciones principales o su necesidad no era evidente, los expertos catalogaban estos accesos como "críticos". De las 186 solicitudes de acceso generadas durante la prueba, no menos de 77 fueron valoradas por los expertos como innecesarias para el uso de la aplicación y, por tanto, "críticas". Así, por ejemplo, una aplicación para el registro del ciclo femenino quería ser informada acerca de la ubicación de las usuarias. Otra ofrecía transmitir la correspondiente información a través de redes sociales.

Transmisión de datos desprotegida y rastreo publicitario sin codificar

En la reciente prueba, los especialistas en seguridad examinaron también el tráfico de datos de las aplicaciones de eHealth.  Este análisis reveló que los proveedores de las aplicaciones ya trabajan masivamente con herramientas de recopilación de datos e instrumentos de rastreo de otros proveedores de la industria publicitaria, entre ellos Google y Flurry Analytics, Baidu, así como el reenvío automático de datos a Facebook.

Igualmente llama la atención que los proveedores de aplicaciones, de informar a los usuarios sobre la transferencia de datos a terceros mediante una declaración de protección de datos, en el mejor de los casos mencionaban Google Analytics. Todas las demás redes publicitarias quedaban sin mencionar y no salían a la luz hasta el análisis del tráfico de datos de las aplicaciones realizado en el laboratorio con un software forense especial. Para el usuario "ingenuo", la transmisión automatizada de sus datos a terceros con fines publicitarios ni es evidente ni puede restringirla de ninguna manera.

En el marco de esta investigación se averiguó además que entre las aplicaciones y los servidores de los proveedores, así como las redes publicitarias conectadas, se producía un intercambio de datos de todo tipo. Entre la información fácil de interceptar por parte de atacantes (ataque de intermediario o man in the middle) se hallaban datos sensibles sobre los usuarios, como la protocolización de autenticaciones, es decir, nombres de usuario y las correspondientes contraseñas. Al hecho de que algunas aplicaciones proporcionen a terceros datos sensibles sobre los usuarios se suma, por tanto, el que al hacerlo renuncien a suficientes medidas de protección, como la transmisión codificada de datos.

¡La protección de datos es un derecho fundamental!

A pesar de que en Alemania y en Europa desde hace años cada vez más usuarios finales utilizan aplicaciones de eSalud en sus dispositivos, siguen sin existir controles o sellos de calidad oficiales para juzgar la fiabilidad o la calidad de la protección de datos de este tipo de aplicaciones. La exigencia de que las aplicaciones ofrezcan una mayor protección de datos por parte de instancias privadas como Google es grata, pero poco convincente. Al fin y al cabo, la empresa es el mayor beneficiario del comercio mundial de datos.

Una declaración reciente del ministro de Interior alemán Thomas de Maizière al diario Tagespiegel pone de manifiesto el dilema: "La protección de datos no es un fin en sí misma. Lo que se protege más bien es sobre todo la esfera privada y el derecho general de la personalidad. No obstante, no está claro en absoluto qué se entiende por esfera privada. Para algunos, el envío de publicidad ya constituye un ataque a su esfera privada, para otros, empieza por el robo en domicilio." En contra de lo que cree el ministro de Maizière, las leyes y jurisprudencia alemanas regulan de forma clara cuándo se atenta contra la esfera privada y los derechos de personalidad de los ciudadanos y, por tanto, han de ser protegidos. Y no se trata solo frente a robos en domicilios, sino también contra la recepción no deseada de publicidad en el buzón, por correo electrónico, teléfono o fax. Y a diferencia de lo que cree el ministro de Interior, la protección de datos sí es un fin en sí misma, como se puede leer, por ejemplo, en el artículo 8.1 de la Carta de los Derechos Fundamentales de la UE: "Toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan", dice el mismo. Y en el punto 3 se añade: "El respeto de estas normas quedará sujeto al control de una autoridad independiente".

El Gobierno Federal tiene que cumplir por fin esta obligación legal. Debería establecer lo antes posible los estándares nacionales necesarios para proteger a los consumidores alemanes y a su vez implementar el Derecho Europeo. La esperanza de una renuncia voluntaria a los datos de los usuarios mediante un código de conducta que autoobligue a los proveedores de aplicaciones no puede sustituir a la imposición de la legislación vigente para la protección de los consumidores.

Hasta ahora los consumidores tienen que arreglárselas por sí solos

Hasta la pendiente implementación de las disposiciones legales, los usuarios de las aplicaciones de salud tienen que apañárselas solos para proteger sus datos.  Como demuestra el reciente estudio de AV-TEST sobre la protección de datos de las aplicaciones de eHealth, los usuarios deberían comprobar minuciosamente qué aplicaciones instalan en su móvil o tableta. Antes de instalar una aplicación debe comprobar en la medida de lo posible en la App Store los derechos de acceso de la aplicación, para mantener a los espías alejados de sus dispositivos.

Como instituto de pruebas independiente, AV-TEST observará en el futuro con mayor ahínco el mercado de las aplicaciones de eSalud.  En el marco de este estudio se ha desarrollado una prueba de privacidad funcional en la que, además de controlar la declaración de protección de datos, se comprueba qué datos recopila la aplicación, cómo se almacenan y usan estos datos, si la recopilación y el uso de dichos datos son necesarios para el funcionamiento de la aplicación y si se entregan a terceros los correspondientes datos. Las aplicaciones que al final de esta rápida prueba no planteen dudas legales en cuanto a protección de datos podrán ser identificadas por los usuarios mediante el logotipo de privacidad de AV-TEST.

Social Media

¡Nos gustaría mantenernos en contacto con usted! Reciba de manera sencilla y periódica las noticias actuales y las publicaciones sobre pruebas.