Las aplicaciones de acondicionamiento físico son un riesgo para su privacidad, aquí le explicamos por qué

Esta publicación fue actualizada el 31 de octubre de 2019.


Las aplicaciones de acondicionamiento físico y salud están diseñadas para ayudarlo a registrar y cuantificar cuánto ejercicio hace, qué medicamentos recetados toma, incluso qué métodos anticonceptivos usa. Si bien estas aplicaciones pueden ayudar a mejorar su salud, también pueden poner en riesgo su privacidad. En los peores casos, han puesto a las personas en peligro físico, como revelar las direcciones de los corredores y la ubicación en tiempo real..

Muchas de estas aplicaciones exponen información confidencial o la comparten con docenas de terceros, incluido Facebook, sin dar a los usuarios todos los detalles en su política de privacidad. Esta información puede incluir datos de ubicación confidenciales, datos médicos confidenciales o incluso información muy personal, como si tiene o no relaciones sexuales sin protección..

Este tipo de aplicaciones ha aumentado su popularidad en los últimos cinco años. En 2018, solo Fitbit tenía más de 27 millones de usuarios. A principios de este año, Strava afirmó que tenía 42 millones de usuarios, y que estaba agregando un millón de usuarios cada mes. Dada la información confidencial que recopilan estas aplicaciones y su escaso historial de protección de estos datos, estas aplicaciones presentan una amenaza sustancial para la privacidad de sus usuarios.

Lo que las aplicaciones de fitness saben sobre ti

La mayoría de las aplicaciones de fitness, como Fitbit, Strava, MapMyRun, Nike + Run y ​​Asics Runkeeper, solo por nombrar algunas, tienen un dispositivo portátil que se sincroniza con su teléfono inteligente. Ese dispositivo portátil puede recopilar una gran cantidad de información, incluida la cantidad de pasos que da, su frecuencia cardíaca, a dónde viaja y cuándo, su peso y cuándo está despierto o durmiendo.

Los rastreadores de salud generalmente son aplicaciones que instalas en tu teléfono. Confían en usted para completar formularios sobre su salud para la recopilación de datos. Según el objetivo de la aplicación, puede variar desde preguntas estándar sobre su salud (¿Está lesionado?) Hasta preguntas sobre temas bastante delicados (¿Utiliza protección cuando tiene relaciones sexuales?).

Esta información puede ser violada

Los fabricantes de aplicaciones de fitness, al igual que cualquier otra industria, han sufrido violaciones de datos. La brecha que golpeó a MyFitnessPal de UnderArmour en 2018 es la más grande hasta la fecha. Expuso los nombres de usuario, contraseñas y direcciones de correo electrónico de más de 150 millones de usuarios. Si bien los piratas informáticos generalmente buscan datos, pueden monetizarlos fácilmente (como el número de su tarjeta de crédito), la idea de que los datos de ubicación estuvieron expuestos es especialmente problemática. Dado que los corredores y ciclistas generalmente corren y viajan donde viven, los atacantes también pueden identificar dónde vivía el usuario al observar dónde comenzó y terminó la mayoría de sus rutas.

Ninguna de las otras aplicaciones importantes de fitness y salud ha sufrido una violación importante de datos. Desafortunadamente, es poco lo que puede hacer para asegurarse de que una aplicación almacene sus datos de manera responsable, además de compartir datos con empresas y organizaciones en las que confía.

Obtenga más información sobre qué hacer si es víctima de una violación de datos.

La mina de datos definitiva

El intercambio de datos es el quid de la cuestión. Las empresas de aplicaciones de acondicionamiento físico a menudo son incentivadas para compartir sus valiosos datos de salud en tiempo real con terceros, ya sean anunciantes, bufetes de abogados o redes sociales como Facebook que se benefician de su información confidencial. Si fueran completamente transparentes sobre cómo se compartieron sus datos o cómo ajustar su configuración de privacidad, los usuarios podrían ser menos propensos a confiar en las aplicaciones. Es por eso que, hasta la fecha, la industria de las aplicaciones de fitness y salud ha sido perseguida por escándalos.

Hay muchas razones válidas para que una aplicación comparta datos. Puede conducir a un mejor servicio que el usuario quiere. También puede ser requerido por ley para investigaciones policiales. Pero los fabricantes de aplicaciones no siempre tratan la privacidad de su información confidencial como una prioridad.

Hay tres formas principales en que las aplicaciones de fitness y salud abusan de sus datos:

  1. Exponen automáticamente los datos desde el primer momento.. Si los usuarios desean usar estas aplicaciones y proteger su privacidad, deben actualizar la configuración de privacidad dentro de la aplicación o en su teléfono inteligente, lo que pocos usuarios hacen.
  2. Sus políticas de privacidad son vagas.. Una política de privacidad que dice: “Podemos compartir su información con nuestros patrocinadores y / o socios comerciales” no le brinda al usuario suficiente información para tomar una decisión informada..
  3. Sus políticas de privacidad son engañosas.. En algunos casos, las aplicaciones no revelan cómo se usan los datos en su política de privacidad. Lo ocultan en un documento separado o lo disfrazan con una jerga legal confusa. Es posible que otras aplicaciones de salud más pequeñas no tengan una política de privacidad.

Configuración de privacidad predeterminada débil

Un excelente ejemplo del primer problema es la aplicación de fitness Strava y su función Beacon, que revela la ubicación en tiempo real de los ciclistas y corredores. Esto ha convertido la aplicación en una mina de oro para ladrones..

Así es como funciona. Strava combina el seguimiento del estado físico con una plataforma de redes sociales que permite a sus usuarios competir e interactuar entre sí. Para que Strava funcione, necesita acceso y permiso para compartir sus datos de ubicación. También tiene una función “FlyBy”, que le permite buscar otros usuarios de Strava que vio o pasó mientras corría.

Sin embargo, no necesita ser un usuario de Strava para acceder a la plataforma o buscar rutas. Una vez que se selecciona una ruta, puede averiguar a quién pertenece, mirar el perfil de esa persona y ver dónde más es probable que se ejecuten. Estos datos a menudo se pueden usar para ubicar los hogares de las personas. Este problema también está presente en menor medida para MapMyRun, Nike + Run y ​​cualquier aplicación que rastrea tus carreras y te permite compartir esa información..

Si bien los medios de comunicación se concentraron en las bases militares expuestas por las rutas de trote de los soldados con la función “Mapa de calor” de Strava, estos datos podrían usarse para encontrar y seguir a cualquier usuario de Strava.

La fuga de datos del mapa de calor de Strava empeoró aún más:

– Los datos pueden ser anonimizados
– Incluye nombres y rutas de personas en instalaciones militares de alta seguridad.
– Una búsqueda rápida muestra los nombres de 50 empleados estadounidenses en una base en Afganistán
https://t.co/JZCi7sINf8

– WIRED UK (@WiredUK) 29 de enero de 2018

En 2014, la policía atribuyó un fuerte aumento de los robos de bicicletas en el Reino Unido a los ladrones que utilizan datos de Strava. Lo mismo sucedió nuevamente en 2018.

“No creo que mucha gente supiera que estas aplicaciones de mapeo básicamente pueden proporcionar una gran cantidad de información a un posible ladrón”. Así que necesitamos que las personas verifiquen su privacidad “, dijo Adam Lang, un oficial de policía que investigó los robos de bicicletas en 2018..

Strava viene con controles de privacidad. Desafortunadamente, pocos usuarios los activan, y solo se necesitan unas pocas carreras para exponer la ubicación de su hogar. Además, la activación de algunas de las funciones de privacidad, como deshabilitar la función “FlyBy”, socava la usabilidad de la aplicación.

Políticas de privacidad vagas

El ejemplo anterior: “Podemos compartir su información con nuestros patrocinadores y / o socios comerciales” no es hipotético. Proviene de la política de privacidad del rastreador de ovulación Maya, que afirma tener más de ocho millones de usuarios en todo el mundo. Esta no es información suficiente para que un usuario dé su consentimiento informado. En ninguna parte de la política de Maya enumeran el tipo de datos que comparten o con qué organizaciones lo comparten..

Esto es especialmente preocupante teniendo en cuenta el tipo de datos que Maya recopila, que incluye información sobre su estado de ánimo, qué tipo de anticoncepción está utilizando, si está teniendo relaciones sexuales y si está utilizando protección. Un informe de Privacy International expuso la vaga política y el hecho de que Maya está compartiendo datos con varios terceros, incluido Facebook. El informe también destacó el rastreador de ovulación MIA Fem. MIA Fem tenía una política de privacidad igualmente vaga, pero desde entonces la ha actualizado para reflejar qué datos van a qué socios. Es solo la última aplicación de salud para ajustar su política de privacidad después de ser sorprendido compartiendo datos sin informar a sus usuarios.

La aplicación de seguimiento de ovulación Flo dejó de compartir datos con Facebook después de que una historia del Wall Street Journal expuso el intercambio de datos similares sin consentimiento. (Una cosa que tienen en común Flo, Maya y MIA Fem es que se crearon con el Kit de desarrollo de software (SDK) de Facebook, que permite a los desarrolladores incorporar funciones y permite que Facebook recopile datos de los usuarios para que puedan mostrar anuncios específicos. El SDK de Facebook ha sido en el corazón de muchas otras violaciones de privacidad).

Políticas de privacidad engañosas

HealthEngine es una aplicación popular en Australia, utilizada por más de 1,5 millones de personas para programar citas médicas. Una investigación reciente descubrió que la aplicación compartía la información médica privada de sus usuarios con abogados de lesiones locales sin su consentimiento..

Se preguntó a los usuarios si habían estado involucrados en un accidente automovilístico o habían sufrido una lesión relacionada con el trabajo. Si respondieron que sí, la aplicación notificó a los abogados de lesiones sobre los detalles de sus problemas de salud. En ningún momento se les preguntó a los usuarios si consentían que sus datos se compartieran con abogados, ni se mencionaba que sus datos se compartían con abogados en la política de privacidad de HealthEngine. El hecho de que sus datos médicos privados se envíen a un bufete de abogados solo se reveló en una “Declaración de recopilación” separada. La única forma en que los usuarios podían optar por no compartir estos datos era no usar la aplicación.

En los EE. UU., Las aplicaciones de salud Cardiio y My Baby’s Beat y la aplicación de ejercicios Runtastic se ven obligadas a revisar sus políticas de privacidad después de que el Fiscal General de Nueva York dijo que estaban compartiendo datos con terceros sin un consentimiento claro..

Lo que debe hacer para proteger su privacidad.

Puede ser sorprendente que incluso sea legal que las aplicaciones compartan la información médica de las personas tan ampliamente. Pero la ley de privacidad de salud de EE. UU., HIPAA, no se aplica a la información que los clientes recopilan para su propio uso. Esto significa que, en la mayoría de los casos, las aplicaciones de fitness no están sujetas a la regulación.

Las nuevas regulaciones en los EE. UU. Dirigidas específicamente a las aplicaciones de salud y estado físico podrían alentar a los desarrolladores a ser más responsables con los datos confidenciales, pero hasta ahora no ha habido ningún progreso. Los esfuerzos de los senadores de EE. UU. Para evitar la venta de datos privados de salud a aseguradoras, prestamistas hipotecarios y empleadores no han llevado a ninguna parte.

El RGPD de la UE proporciona cierta protección, ya que requiere un consentimiento informado e inequívoco antes de que se puedan compartir los datos. Este es un umbral que Maya probablemente está violando, dado que no enumera todos los datos que comparte o quién recibe los datos en su política de privacidad. Pero esto solo se aplica a las personas que viven en la Unión Europea.

La mejor manera de mantenerse en privado mientras usa aplicaciones de monitoreo de estado físico o monitoreo de salud es tomar el asunto en sus propias manos.

Estos son los pasos más importantes que puede tomar para mantenerse seguro:

  1. Lea la política de privacidad: Si no es explícito sobre qué datos comparte y con qué organizaciones comparte datos, suponga que todos los datos que ingrese en esa aplicación podrían compartirse con cualquier número de terceros desconocidos. Si no te sientes cómodo con eso, busca otra aplicación.
  2. Compruebe si hay configuraciones de privacidad: Tómese el tiempo para verificar la configuración de privacidad. Evitar que la aplicación comparta sus datos es bueno, pero la solución más privada es evitar que recopile datos en primer lugar.
  3. Limite los datos que ingrese en la aplicación: Muchas de estas aplicaciones recopilan más datos de los necesarios para cumplir su función principal. Pregunta si necesitas compartir esos datos para usar la aplicación. Por ejemplo, no hay ninguna razón por la que un rastreador de ovulación necesite saber si está teniendo relaciones sexuales sin protección para que funcione.
  4. En caso de duda, pregunte: Si no está seguro de cómo una empresa de aplicaciones de fitness planea usar sus datos, envíeles un correo electrónico y pregunte. (Y si lo haces, ¡cuéntanos qué dicen!)

Las aplicaciones de acondicionamiento físico y salud son excelentes herramientas que pueden ayudarlo a motivarse a mantenerse en forma y seguir su progreso. Pero no debería tener que poner en peligro su salud digital por el bien de su salud física. Es importante tener en cuenta que las aplicaciones que descargas pueden poner en riesgo tu privacidad.

Atentamente,
El equipo de ProtonVPN

ACTUALIZACIÓN 1 de noviembre de 2019: Google anunció que compraría Fitbit por $ 2,1 mil millones. Esto aumenta la posibilidad de que Google acceda a los datos de salud de Fitbit para publicidad, pero los ejecutivos de Google han dicho que este no será el caso. En un correo electrónico a los clientes, el CEO de Fitbit escribió: “Nunca vendemos su información personal, y los datos de salud y bienestar de Fitbit no se utilizarán para los anuncios de Google”. Se espera que el acuerdo se finalice en algún momento del próximo año..

Twitter | Facebook | Reddit | Instagram

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me