martes, 26 de marzo de 2024

A qué riesgos de privacidad pueden exponerte las aplicaciones de salud y fitness

Algunas aplicaciones de Salud para smartphones, tienen hábitos poco saludables de recopilación de datos, por lo que es importante tener cuidado a la hora de elegir con quién compartes tu información más confidencial.




En la economía digital actual, hay una aplicación de smartphone para casi todo y las aplicaciones de Salud y Fitness (mHealth) son las que más están creciendo. Desde apps para el seguimiento de la fertilidad, técnicas de mindfulness, monitorear signos vitales en un entrenamiento físico, hasta las que permiten una consulta médica a distancia. Se trata de un mercado que, durante 2022, estuvo valuado en 56 mil millones de dólares, y que se espera que alcance un valor estimado de 861 mil millones de dólares en 2030.

Sin embargo, al utilizar estas aplicaciones, podría estar compartiendo algunos de los datos más confidenciales que tiene. Por desgracia, no todos los desarrolladores de aplicaciones velan por los intereses de sus usuarios ni saben siempre cómo protegerlos. Puede que escatimen en medidas de protección de datos o que no siempre dejen claro cuánta de tu información personal comparten con terceros. Veamos cuáles son los principales riesgos para la privacidad y la seguridad al utilizar estas aplicaciones y cómo puedes mantenerte a salvo.

¿Cuáles son los principales riesgos de privacidad y seguridad de las aplicaciones sanitarias?

Los principales riesgos del uso de aplicaciones sanitarias se dividen en tres categorías: seguridad insuficiente de los datos, intercambio excesivo de datos y políticas de privacidad mal configuradas o deliberadamente evasivas.

1. Preocupación por la seguridad de los datos

Estos riesgos suelen derivarse de que los desarrolladores no siguen las normas de buenas prácticas de ciberseguridad. Esto puede incluir

  • Aplicaciones que no reciben actualizaciones: Los vendedores pueden no disponer de un programa de divulgación/gestión de vulnerabilidades o tener poco interés en actualizar sus productos. Sea cual sea la razón, si el software no recibe actualizaciones, esto significa que podría estar plagado de vulnerabilidades que pueden ser explotadas por los ciberdelincuentes para robar sus datos.
  • Protocolos inseguros: Las aplicaciones que utilizan protocolos de comunicación inseguros pueden exponer a los usuarios al riesgo de que los ciberdelincuentes intercepten sus datos en tránsito desde la aplicación hasta los servidores back-end o en la nube del proveedor, donde se procesan.
  • Sin autenticación multifactor (MFA): Actualmente, la mayoría de los servicios de confianza ofrecen MFA como forma de reforzar la seguridad en la fase de inicio de sesión. Sin ella, los ciberdelincuentes podrían obtener su contraseña a través de phishing o una fuga de datos (si reutiliza sus contraseñas en diferentes aplicaciones) e iniciar sesión como si fueran usted.
  • Gestión inadecuada de contraseñas: Por ejemplo, las aplicaciones que permiten a los usuarios mantener las contraseñas predeterminadas de fábrica o establecer credenciales inseguras como "passw0rd" o "111111" Esto deja al usuario expuesto al relleno de credenciales y a otros intentos de fuerza bruta para entrar en sus cuentas.
  • Seguridad empresarial: las empresas de aplicaciones también pueden tener controles y procesos de seguridad limitados en su propio entorno de almacenamiento de datos. Esto puede incluir una formación insuficiente de concienciación de los usuarios, una detección limitada de antimalware y endpoints/redes, ausencia de cifrado de datos, controles de acceso limitados y ausencia de procesos de gestión de vulnerabilidades o respuesta a incidentes. Todo ello aumenta las posibilidades de sufrir una fuga de datos.

2. Intercambio excesivo de datos

La información sanitaria (PHI) de los usuarios puede incluir detalles altamente confidenciales sobre enfermedades de transmisión sexual, adicción a sustancias u otras afecciones estigmatizadas. Esta información puede venderse o compartirse con terceros, incluidos anunciantes para marketing dirigido y anuncios. Entre los ejemplos señalados por el buscador de Mozilla están los proveedores de aplicaciones sanitarias para teléfonos inteligentes que:

  • Combinan información sobre los usuarios con datos adquiridos a sitios de redes sociales y otros proveedores para crear perfiles de identidad más completos;
  • No permiten a los usuarios solicitar la eliminación de datos específicos;
  • Utilizan inferencias hechas sobre los usuarios cuando responden a cuestionarios de inscripción en los que se hacen preguntas reveladoras sobre orientación sexual, depresión, identidad de género y otras;
  • Permitir cookies de inicio de sesión de terceros que identifican y rastrean a los usuarios en otros sitios web para ofrecer anuncios relevantes;
  • Permitir la grabación del inicio de sesión, que controla los movimientos del ratón, el desplazamiento y la escritura del usuario.

3. Políticas de privacidad poco claras

Algunos proveedores de aplicaciones sanitarias pueden no ser francos sobre algunas de las prácticas de privacidad mencionadas, utilizando un lenguaje vago u ocultando sus actividades en la letra pequeña de los términos y condiciones. Esto puede dar a los usuarios una falsa sensación de seguridad/privacidad.

Tome medidas para proteger su intimidad

Cada persona tiene una disposición diferente al riesgo. Para algunos, el compromiso entre servicios o publicidad personalizados y privacidad es algo que están dispuestos a asumir. A otros puede no importarles que algunos datos médicos se filtren o se vendan a terceros. Lo importante es encontrar el equilibrio adecuado. Si te preocupa, ten en cuenta lo siguiente:

  • Investigue la aplicación antes de descargarla. Vea lo que dicen otros usuarios y si hay señales de advertencia de revisores de confianza;
  • Limita lo que compartes a través de estas aplicaciones y asume que todo lo que dices puede ser compartido;
  • No conectes la aplicación a tus cuentas de redes sociales ni las utilices para iniciar sesión. Esto limitará los datos que se pueden compartir con estas empresas;
  • No des permiso a las apps para acceder a la cámara de tu dispositivo, localización, etc;
  • Limita el seguimiento de anuncios en la configuración de privacidad de tu teléfono;
  • Utiliza siempre la autenticación de dos factores cuando te la ofrezcan y crea contraseñas fuertes y únicas;
  • Mantén la aplicación en la versión más reciente (la más segura).

Desde la anulación del caso Roe contra Wade, el debate sobre la privacidad de las aplicaciones de salud para teléfonos inteligentes ha dado un giro preocupante. Algunos han advertido de que los datos de los dispositivos de seguimiento de la menstruación podrían utilizarse en demandas contra mujeres que quieren interrumpir su embarazo. Para un número cada vez mayor de personas que buscan aplicaciones sanitarias que respeten la intimidad, lo que está en juego no podría ser más importante.

Fuente: welivesecurity.com

No hay comentarios.:

Publicar un comentario

Las bandas de ransomware reclutan pentesters para mejorar la efectividad de sus ataques

 Estos grupos están contratando figuras de este tipo para probar si su software tendría la capacidad de penetrar en las organizaciones. Much...