El 80% de las aplicaciones de salud más populares disponibles para Android no cumplen con muchos de los estándares destinados a evitar el uso y la divulgación de datos sensibles de los usuarios, según un estudio europeo que ha analizado las veinte apps de salud para Android mejor valoradas y con una puntuación más alta. El trabajo, del que se ha hecho eco la Agencia SINC, ha consistido en analizar y poner en conocimiento de los desarrolladores los problemas de seguridad detectados, y comprobar posteriormente si se habían resuelto.
apps de salud populares…e inseguras
Las aplicaciones seleccionadas por los investigadores tenían de 100.000 a 10 millones de descargas cada una y una calificación mínima de 3,5 de 5. Para analizar su funcionamiento, los investigadores interceptaban, almacenaban y monitores los datos privados de los usuarios, como problemas de salud, enfermedades o agendas médicas.
Solo un 20% de las aplicaciones almacenaba los datos en los teléfonos inteligentes de los usuarios, y una de cada dos solicitaba y administraba las contraseñas de inicio de sesión sin utilizar una conexión segura.
Los investigadores también detectaron que un 50% de las aplicaciones compartía con terceros datos personales, tanto de texto como multimedia, así como imágenes de rayos X, por ejemplo. Otro dato: más de la mitad transmitió datos de salud de los usuarios a través de enlaces HTTP, lo que conlleva que cualquier persona que tenga acceso pueda disponer de estos datos.
De las aplicaciones sometidas a estudio, un 20% no transmitía al usuario ninguna política de privacidad o el contenido no estaba disponible en inglés, el idioma de la aplicación. Otros pedían acceso a la geolocalización, micrófonos, cámara, lista de contactos, tarjeta de almacenamiento externo o Bluetooth de los usuarios, aunque el buen funcionamiento de la aplicación no dependía del acceso a estos datos.
aviso a los desarrolladores
En este estudio, iniciado en 2016, han colaborado Agustí Solanas, jefe del Grupo de Investigación en Salud Smart, del Departamento de Ingeniería Informática y Matemáticas de la Universitat Rovira i Virgili (URV), junto con investigadores de la Universidad del Pireo (Grecia) liderados por Constantinos Patsakis.
Una vez finalizado el análisis, los investigadores pusieron en conocimiento de las empresas desarrolladoras de las aplicaciones todos los problemas de seguridad detectados. Pasado un tiempo, volvieron a evaluarlas con los mismos parámetros que en el estudio inicial. Aunque detectar que algunas de las carencias se habían resuelto, como transferencias de datos de salud inseguras o la posibilidad de identificar a los usuarios debido a transferencias de datos inseguras a terceros; otros problema