Rastreadores de fitness: 13 wearables puestos a prueba

13 wearables incluidos en una prueba de seguridad

Los expertos de AV-TEST examinaron en una extensa prueba de seguridad los wearables de fitness más comunes. En la prueba, los candidatos enumerados en la lista tuvieron que demostrar su valía en cuatro categorías: seguridad de la comunicación local y externa, seguridad de la aplicación y protección de datos.

• Apple - Watch Series 3

• Fitbit - Charge 2

• Garmin - vívofit 3

• Huawei - Band 2 Pro

• Jawbone - UP3

• Lenovo - HW01

• Medion - Life S2000

• Moov - Now

• Nokia - Steel HR

• Polar - A370

• Samsung - Fit2 Pro

• TomTom - Spark 3

• Xiaomi - Mi Band 2

De antemano hay que reconocer que mientras muchos fabricantes de wearables de fitness en la última prueba presentaban carencias en seguridad que ponían los pelos de punta, la situación en lo relativo a la protección de los datos de los clientes ha mejorado bastante desde entonces. En la prueba comparativa de este año, los examinadores han podido otorgar la mejor nota y, por tanto, 3 estrellas hasta a 8 productos. 4 productos obtuvieron 2 estrellas. Únicamente en un caso, los resultados de las pruebas de seguridad solo alcanzaron para una única estrella.

Extensos datos y análisis de valores corporales

El extenso registro de signos vitales y datos sobre el estado físico es solo una de las muchas funciones del reloj inteligente de Apple. La aplicación del modelo actual Apple Watch Series 3 lee para su análisis incluso los datos de entrenamiento de aparatos comunes en los gimnasios. Pero las pulseras de fitness apenas se quedan atrás respecto al reloj de Apple en lo referente a la captura de datos corporales y hace tiempo que han pasado de ser meros contadores de pasos a convertirse en instrumentos móviles de diagnóstico con numerosos sensores. Así, por ejemplo, las pulseras inteligentes de última generación miden el consumo de calorías, comprueban la frecuencia cardiaca y la tensión de la piel, registran factores de estrés e incluso dicen calcular el riesgo de infarto de miocardio.

Mediante sensores de movimiento incorporados y módulos GPS, los wearables registran no solo la ubicación y los trayectos recorridos, sino que también reconocen, basándose en patrones de movimiento especiales, qué tipo de deporte está practicando quien los lleva, si está nadando, montando en bicicleta, haciendo esquí, corriendo o descansando. Algunos dispositivos, si detectan una inactividad semejante también graban el comportamiento de sueño, establecen si se producen paradas respiratorias y calculan las diferentes fases de sueño. Hay wearables que incluso ofrecen funciones que se suponen que ayudan a mujeres embarazadas a mantenerse en forma.

La transmisión de datos puede costar cara

El hecho de que los wearables graben tal cantidad de datos personales y, en parte, médicos es uno de los motivos por los que los protectores de datos se muestran críticos frente a ellos. A esto hay que añadir que los datos registrados por los dispositivos se transmiten al servidor del fabricante, donde se almacenan y analizan. Al hacerlo se corre, entre otros, el peligro de que los datos sanitarios se transfieran a terceros y se utilicen con fines económicos o de otro tipo. Esto es así, sobre todo, cuando los datos corporales y vitales se pueden relacionar con datos de otras fuentes, lo cual permite obtener una imagen muy precisa del usuario. Los perfiles revalorizados con datos sanitarios de este tipo son interesantes, sobre todo, para proveedores de contratos de larga validez. Al fin y al cabo, los institutos de crédito, los empleadores, las empresas de leasing, los seguros y otras empresas reciben de este modo valiosa información sobre los clientes y pueden calcular correspondientemente la vigencia del contrato y otras condiciones, adaptarlas o, en el peor de los casos, excluir contratos desde el principio.

Para las compañías de seguros médicos, en particular, los datos del estado físico son un objetivo que merece la pena. Por eso, en todo el mundo, numerosas aseguradoras asumen parte de los costes de adquisición de los rastreadores de fitness. Algunas, como la aseguradora estadounidense John Hancock, ya exigen para determinadas pólizas de seguros que el asegurado use estos dispositivos y entregue periódicamente los datos de fitness registrados. A cambio, estos reciben el Apple Watch Series 3 por una tasa de simbólica de 25 dólares, en vez de tener que comprarlo al precio normal de mercado de al menos 329 dólares. Una oferta para atraer a clientes que posteriormente puede salirles caro, puesto que quien no cumple con la entrega mensual de los datos de fitness exigida por la aseguradora es penalizado con un aumento del coste del seguro. Y estos pueden hallarse muy por encima del precio de compra del Smartwatch de Apple.

También en Alemania hay cada vez más compañías aseguradoras que fomentan el uso de rastreadores de actividad. No obstante, la ayuda financiera actualmente aún está en su mayor parte desvinculada de la entrega de datos sobre el estado físico o al menos no tiene efectos negativos en las tarifas de los seguros. El modelo financiero se basa en estos momentos, en la mayoría de los casos, en un sistema de recompensas. De este modo, los clientes reciben a cambio de "puntos de fitness" prestaciones de seguro adicionales, por ejemplo, una limpieza dental profesional. Un ejemplo: En el programa de fitness de la aseguradora Techniker Krankenkasse, los clientes reciben "gratificaciones de salud" si demuestran mediante una aplicación los 60.000 pasos semanales. Los datos necesarios como prueba los lee la aplicación de la aseguradora de aplicaciones de terceros como Google Fit, Samsung Health, Apple Health o la aplicación de Fitbit. A cambio, la compañía de seguros también financia parcialmente la compra de una pulsera de fitness o un reloj Apple, si estos son compatibles con las correspondientes aplicaciones. Puede averiguar qué cajas de seguro médico subvencionan la compra de rastreadores de fitness, por ejemplo, en Info-Portal krankenkassen.de.

¿Al alcance de todos?

La transmisión de datos entre los wearables y las aplicaciones del smartphone vinculadas suele realizarse mediante una conexión Bluetooth entre el rastreador y el teléfono móvil. En la prueba, la comunicación local con la aplicación del smartphone resultó ser segura en 9 de los 13 dispositivos. Lo ideal es que antes de comenzar la transmisión de los datos se exija una autenticación mediante el nombre de usuario y la contraseña y solo a continuación se transfieran los datos de forma encriptada. Dado que Bluetooth es una conexión de ondas de poco alcance, en este punto de la prueba, los examinadores aceptaron también conexiones de datos con un nivel de protección inferior. Lo importante era que los trackers transmitieran sus datos exclusivamente a un dispositivo autenticado y que solo con este permitieran una conexión por ondas (pairing o emparejamiento). Sin embargo, esta conexión no debe ser visible para otros dispositivos dentro del alcance de la señal.

9 de los wearables cumplieron en la prueba estas exigencias de seguridad, por el contrario, 4 productos dejaron ver puntos débiles en la transmisión de datos local. El caso más patente fue el de Life S2000 de Medion. Este tracker transmitió en la prueba datos de entrenamiento sin llevar a cabo previamente una autenticación y encima lo hizo a través de una conexión de ondas no encriptada. Esto hacía posible que otros dispositivos dentro del radio de alcance de las ondas recibieran los datos de entrenamiento. El dispositivo Now del fabricante Moov también reveló notables defectos. La conexión Bluetooth con el smartphone no se inició hasta pulsar un botón, pero entonces el rastreador estuvo visible y conectable sin autenticación y la conexión no estaba encriptada.

Un escándalo de datos en la muñeca

El actual escándalo relativo a los datos en torno a la polémica firma de análisis Cambridge Analytica, que ha afectado hasta ahora a más de 80 millones de usuarios de Facebook, pone bajo otra luz algunas funciones de las aplicaciones de las pulseras de fitness. Los usuarios deberían cuestionarse, por ejemplo, si es recomendable compartir valores de fitness en medios sociales. Sin duda, para muchos supone una motivación adicional compartir sus éxitos de fitness con otros. Pero por otro lado, los usuarios deben tener claro que Facebook y otras empresas acceden de este modo a los datos sanitarios de la aplicación y los comparten con otras empresas. Lo mismo ocurre cuando los usuarios al crear una cuenta en línea para su aplicación de fitness activan o no el cómodo inicio de sesión y activación automatizado a través de su cuenta en Facebook o Google. En este aspecto, los usuarios de rastreadores de actividad tienen hasta cierto punto en sus manos la protección de sus datos sanitarios mediante el uso planificado de las funciones de las aplicaciones.

En lo relativo a la seguridad de la aplicación, la cosa es distinta. Aquí, los usuarios tienen que poder confiar en que el proveedor suministra una aplicación bien desarrollada que administra los datos sanitarios de forma segura. En los laboratorios del instituto AV-TEST se puso a prueba justo este aspecto. Los examinadores comprobaron lo segura que es la aplicación contra un ataque y si transmite, se procesa y guarda los datos de fitness de forma segura.

En el caso de 9 de los 13 candidatos no se detectó ningún defecto o solo escasos, pero que no suponen un riesgo para la seguridad de los datos sanitarios. En 4 aplicaciones, los examinadores vieron potencial de mejora, pero ninguna app era deficiente. No obstante, los programadores de Lenovo, Medion, Moov y Xiaomi no hicieron alarde de la necesaria habilidad técnica, lo cual afecta negativamente a la seguridad de sus aplicaciones. Durante el examen de estos cuatro productos, los examinadores hallaron, por ejemplo, indicios de datos de login para el acceso a la propia aplicación, es decir, del nombre de usuario y la contraseña, almacenados sin encriptar en los datos de las aplicaciones guardados de forma accesible. Así mismo, los examinadores ven con ojos críticos la masiva integración de módulos publicitarios de otros proveedores, como la red publicitaria Baidu, en las aplicaciones de Medion, Moov y Xiaomi. En opinión de AV-TEST, estos módulos no pintan nada en las aplicaciones de los rastreadores de actividad.

Casi todas las cuentas en línea están bien protegidas

La mayoría de los wearables apenas utilizan ya software estacionario en el ordenador para mostrar y analizar los valores de fitness. En lugar de ello, todos los trackers vienen a asumir la existencia de una cuenta de usuario en el smartphone, que a su vez está vinculada a una cuenta en línea en el servidor en la nube del proveedor. Esto es práctico porque permite almacenar y acceder en todo momento y lugar a los datos y análisis de fitness. Sin embargo, esto alberga riesgos adicionales, como ha demostrado el reciente escándalo de datos de la aplicación de fitness "MyFitnessPal". En un ataque de hackers que tuvo lugar en febrero, los datos de 150 millones de usuarios fueron a parar a manos equivocadas. El proveedor Under Armor, no obstante, no informó a sus clientes acerca del incidente hasta finales de marzo. Entonces les pidió a los usuarios que cambiaran de inmediato su contraseña.

Por eso, en la prueba, AV-TEST comprobó también cuán segura es la comunicación de los datos, el almacenamiento y el acceso a las cuentas en línea de los rastreadores de actividad. El resultado de la prueba es en este punto sorprendentemente bueno. Casi todas las cuentas en línea comunicaron los datos del estado físico de sus clientes mediante conexiones encriptadas. También el registro y el inicio de sesión en cuentas en línea tuvieron lugar en la mayoría de los casos de forma correctamente cifrada y en la prueba demostraron ser invulnerables frente a ataques de intermediario (MITM). Esto también es así en el caso de Garmin vívofit 3, sin embargo, las actualizaciones de firmware aún tienen lugar a través de una conexión http no encriptada. Esto es algo que el fabricante puede corregir con facilidad. El único producto que no convenció en esta sección de la prueba fue el HW01 de Lenovo. Tanto el registro en como la conexión a la cuenta en línea se realizan sin encriptación. Si bien las contraseñas no se envían de forma reconocible, los datos estáticos utilizados para iniciar sesión bastan para poder acceder a la cuenta correspondiente. Las cuentas correspondientes de Lenovo están, por lo tanto, abiertas a los atacantes.

La declaración sobre protección de datos es a menudo ejemplar

Los fabricantes deben responder a las preguntas de los usuarios acerca del tratamiento de datos, es decir, su almacenamiento, procesamiento y transferencia en las declaraciones sobre protección de datos. Los datos registrados por los trackers de fitness pueden, en algunos casos, ser considerados "datos personales especiales", que disfrutan de una protección especial de acuerdo con la legislación alemana de protección de datos. Los proveedores de trackers de fitness harían bien, por tanto, en tomarse en serio la protección de los datos de fitness de sus clientes. La buena noticia es que 10 de los 13 proveedores examinados lo hacen, con buenos resultados. Las declaraciones de protección de datos son, en la mayoría de los casos, muy extensas, pero aun así fáciles de entender sin que el lector tenga que haber estudiado Derecho. Con frecuencia, los proveedores se reservan el derecho a usar y transferir los datos de sus clientes, pero prometen en tales casos anonimizar los datos de los usuarios. Si los datos de los usuarios se almacenan y procesan fuera de la Unión Europea, la mayoría de las declaraciones sobre protección de datos incluyen información al respecto. Merecedoras de elogio son las reglas de Garmin, Huawei, Nokia y Samsung, que excluyen por completo la transferencia de datos a terceros sin el consentimiento del usuario.

No tan buena impresión causó la vaga declaración sobre protección de datos de Moov, la cual no deja claro siquiera qué datos de los usuarios registra el proveedor. Mucho peor, o sea insatisfactorias, son las declaraciones sobre protección de datos de Lenovo y Polar. La declaración sobre protección de datos de la aplicación de Lenovo, que ya en la prueba se comunicó con una cantidad increíble de direcciones de Internet ajenas, es poco informativa y esclarecedora. Para empezar, sería interesante saber qué conexiones establece continuamente la aplicación en segundo plano. Sin embargo, el proveedor no da ninguna información al respecto. Lo que también les pareció asombro a los examinadores es que la declaración sobre protección de datos de Lenovo se halle en un servidor de Facebook. En cuanto a la declaración sobre protección de datos de Polar, los examinadores echaron en falta mucha información, entre otra, acerca de la transferencia de datos.

Conclusión

En la última prueba realizada a wearables de fitness, 8 de los 13 candidatos la superaron con la nota óptima y recibieron el máximo posible de 3 estrellas; entre ellos está el líder del mercado, el Apple Watch Series 3. Otros buenos productos provienen de los fabricantes Fitbit, Garmin, Huawei, Jawbone, Nokia, Samsung y TomTom. En comparación con las pruebas anteriores, los fabricantes se toman mucho más en serio la seguridad de los datos de fitness y la protección de los datos, lo cual resulta especialmente relevante teniendo en cuenta los recientes escándalos sobre datos. La clara crítica del instituto AV-TEST va dirigida a la integración de módulos publicitarios en las aplicaciones de rastreadores de fitness, puesto que los usuarios no pueden ni saber ni influir en si y hasta qué punto se intercambian estos datos con aplicaciones de otros proveedores. Por eso, los compradores de wearables de fitness deberían también considerar de forma crítica la aplicación a la hora de elegir el dispositivo.