Investigadores del Grupo de Telemedicina y eSalud de la Universidad de Valladolid han descubierto que la mayoría de aplicaciones para teléfonos móviles y tabletas relacionadas con la salud descuidan la privacidad y seguridad y no incorporan «suficientes medidas de protección» de los datos de los usuarios
Madrid, 10 de marzo 2015 (medicosypacientes.com/E.P.)
Investigadores del Grupo de Telemedicina y eSalud de la Universidad de Valladolid han descubierto que la mayoría de aplicaciones para teléfonos móviles y tabletas relacionadas con la salud descuidan la privacidad y seguridad y no incorporan «suficientes medidas de protección» de los datos de los usuarios.
Así se desprende de los resultados de un trabajo publicado en la revista «Journal of Medical Systems», que atribuyen esta desprotección al «afán» de publicar «antes que el resto» las aplicaciones, según ha reconocido Borja Martínez, investigador principal del trabajo.
Actualmente las app de salud para dispositivos móviles están en pleno crecimiento, con unas 100.000 en el mercado para iOS o Android, lo que hace que en España hasta un tercio de los usuarios de smartphones se hayan instalado una aplicación de este tipo, según un reciente informe.
Sin embargo, según Martínez, un tratamiento poco seguro de los datos clínicos y médicos que se manejan puede resultar «especialmente crítico» para los usuarios.
Para este experto, el principal riesgo es que un intruso pueda hacerse con información médica personal de otro individuo «o, lo que es peor, la modifique». De este modo, si una app guarda historiales médicos electrónicos y una tercera persona, ajena a la aplicación, accediese a la información almacenada y cambiara algún dato de un paciente, como quitar alguna alergia a cierto medicamento, «podría poner en juego la vida de esa persona llegado el caso».
Asimismo, otro problema importante es que los profesionales de la salud y los propios pacientes no son conscientes de los métodos que usan las apps respecto a la privacidad y seguridad de sus datos.
«Muchos dan por hecho que la aplicación es segura y a otros ni siquiera les importa. Creo que es necesaria una mayor colaboración entre países para crear leyes internacionales que se encarguen de controlar estos aspectos», ha señalado Martínez.
Para evitarlo, este experto cree necesario analizar el tipo de datos que se tratan y aplicar los métodos de seguridad necesarios en cada caso, y exige también actualizar las leyes que gobiernan estos aspectos. En el caso de la Unión Europea y Estados Unidos, la legislación es antigua y obsoleta, «por lo que deben ser reformuladas para adecuarse a tecnología móvil actual», destaca.
De hecho, Martínez y su equipo han elaborado una guía para desarrolladores de apps de salud en la que, entre otras cuestiones, recomiendan un control de acceso centrado en el paciente, dejándole siempre la posibilidad de acceder o prohibir el acceso a su información; o un sistema de autenticación mediante una identidad única y una contraseña solo conocida por el usuario, que puede estar ligada a una infraestructura de clave pública, como RSA (River, Shamir and Adleman).
Recomendaciones
En lo que respecta a la información a los pacientes, consideran que, antes de recolectar ninguna información, las apps deben presentar a los usuarios una política de privacidad clara que identifique la identidad que usará los datos, el propósito de los mismos, los métodos de privacidad usados, sus derechos y un método de contacto.
En cuanto a seguridad y confidencialidad, defienden el uso del estándar de Advanced Encryption Standard (AES) con una clave criptográfica de al menos 128 bits es muy recomendable para garantizar la seguridad. Y para la transferencia de datos, usar un sistema Transport Layer Security (TLS) con métodos de encriptación de 128 bits o redes privadas virtuales.
Y para las comunicaciones con sensores de baja potencia utilizados en el cuerpo, se deben usar métodos criptográficos para la autenticación de los dispositivos y la distribución de la clave.
Del mismo modo, ante posibles fallos de seguridad la empresa desarrolladora debe avisar a las autoridades competentes así como a los usuarios tan pronto como sea posible y debe ayudar al usuario a aliviar los posibles daños causados por dicha brecha.
