Las app de salud ponen en riesgo millones de datos personales, según un estudio

Las aplicaciones móviles de salud ponen en riesgo los datos personales de millones de usuarios, según un estudio europeo en el cual ha participado la Universitat Rovira i Virgili (URV) de Tarragona, que ha analizado en profundidad las 20 app Android de salud más utilizadas.

Según el estudio, que se inició en el 2016, el 80% de las aplicaciones de salud más populares disponibles para Android no cumplen muchos de los estándares destinados a evitar el uso y la divulgación de datos sensibles de los usuarios.

En el estudio ha participado Agustí Solanas, jefe del Grupo de Investigación Salut Smart del Departamento de Ingeniería Informática y Matemáticas de la URV, junto con investigadores de la Universidad del Pireu (Grecia) liderados por Constantinos Patsakis.

El trabajo ha consistido en analizar y poner en conocimiento de los desarrolladores los problemas de seguridad detectados, y comprobar posteriormente si se habían resuelto.

Según ha informado la URV, las aplicaciones seleccionadas por los investigadores tenían de 100.000 a 10 millones de descargas cada una y para analizar su funcionamiento, los investigadores interceptaron, almacenaron y monitoraron los datos privados de los usuarios, como problemas de salud, enfermedades o agendas médicas.

Los investigadores analizaron las comunicaciones de las aplicaciones, como almacenaban la información o qué permisos requerían para poder funcionar, así como la manera como se administraban los datos.

Según la URV, los resultados demostraron la existencia de graves problemas de seguridad en la gestión de los datos de los usuarios.

El estudio ha constatado que sólo un 20% de las aplicaciones almacena los datos en los teléfonos inteligentes de los usuarios, y una de cada dos solicitaba y administraba las contraseñas de inicio de sesión sin utilizar una conexión segura.

Los investigadores también detectaron que un 50% de las aplicaciones compartía con terceros datos personales, tanto texto como multimedia, como imágenes de rayos X, por ejemplo, y más de la mitad transmitieron datos de salud de los usuarios a través de enlaces HTTP, cosa que comporta, según la URV, que cualquier persona que tenga acceso pueda disponer de estos datos.

De las aplicaciones sometidas a estudio, un 20% no transmitía al usuario ninguna política de privacidad o el contenido no estaba disponible en inglés, el idioma de la aplicación.

Otros pedían acceso a la geolocalización, micrófonos, cámara, lista de contactos, tarjeta de almacenaje externo o Bluetooth de los usuarios, aunque el buen funcionamiento de la aplicación no dependía del acceso a estos datos.

Una vez finalizado el análisis, los investigadores pusieron en conocimiento de las empresas desarrolladoras de las aplicaciones todos los problemas de seguridad detectados y pasado un tiempo, volvieron a evaluarlas con los mismos parámetros que en el estudio inicial.

Aunque detectaron que algunas de las carencias se habían resuelto -como transferencias de datos de salud inseguros o la posibilidad de identificar a los usuarios a causa de transferencias de datos inseguros en terceros-, otros problemas, como las filtraciones de datos de uso de la aplicación, no se habían corregido, según la URV.