Varios ampliamente utilizados Las aplicaciones de recuperación del tratamiento con opioides están accediendo y compartiendo datos confidenciales de los usuarios con terceros, según una nueva investigación.
Como resultado de la pandemia de COVID-19 y los esfuerzos para reducir la transmisión en los EE. UU., Los servicios y aplicaciones de telesalud que ofrecen tratamiento para la adicción a los opioides han ganado popularidad. Este aumento de los servicios basados en aplicaciones se produce cuando las instalaciones de tratamiento de adicciones enfrentan recortes presupuestarios y cierres, lo que ha hecho que tanto los inversores como el gobierno se interesen por la telesalud como una herramienta para combatir la creciente crisis de adicciones.
Si bien las personas que acceden a estos servicios pueden tener una expectativa razonable de privacidad de sus datos de atención médica, un nuevo informe del Laboratorio de Seguridad Digital de ExpressVPN, compilado en conjunto con el Instituto de Políticas de Opioides y la Agencia de Laboratorio Defensivo, encontró que algunas de estas aplicaciones recopilan y comparten información confidencial. información con terceros, lo que genera dudas sobre sus prácticas de privacidad y seguridad.
El informe estudió 10 aplicaciones de tratamiento con opioides disponibles en Android: Bicycle Health, Boulder Care, Confidant Health. DynamiCare Health, Kaden Health, Loosid, Pear Reset-O, PursueCare, Sober Grid y Workit Health. Estas aplicaciones se han instalado al menos 180.000 veces y han recibido más de $ 300 millones en fondos de grupos de inversión y el gobierno federal.
A pesar del amplio alcance y la naturaleza sensible de estos servicios, la investigación encontró que la mayoría de las aplicaciones accedían a identificadores únicos sobre el dispositivo del usuario y, en algunos casos, compartían esos datos con terceros.
De las 10 aplicaciones estudiadas, siete acceden al ID de publicidad de Android (AAID), un identificador generado por el usuario que se puede vincular a otra información para proporcionar información sobre personas identificables. Cinco de las aplicaciones también acceden al número de teléfono de los dispositivos; tres acceden a los números IMEI e IMSI únicos del dispositivo, que también se pueden utilizar para identificar de forma exclusiva el dispositivo de una persona; y dos acceden a la lista de aplicaciones instaladas de los usuarios, que, según los investigadores, se pueden utilizar para crear una “huella digital” de un usuario para realizar un seguimiento de sus actividades.
Muchas de las aplicaciones examinadas también obtienen información de ubicación de alguna forma, que cuando se correlaciona con estos identificadores únicos, fortalece la capacidad de vigilar a una persona individual, así como sus hábitos y comportamientos diarios y con quién interactúan. Uno de los métodos que las aplicaciones están haciendo es a través de Bluetooth; siete de las aplicaciones solicitan permiso para realizar conexiones Bluetooth, lo que, según los investigadores, es particularmente preocupante debido al hecho de que se puede usar para rastrear a los usuarios en ubicaciones del mundo real.
“Bluetooth puede hacer lo que yo llamo seguimiento de proximidad, por lo que si estás en la tienda de comestibles, sabe cuánto tiempo estás en un pasillo determinado o qué tan cerca estás de otra persona”, Sean O’Brien, investigador principal de El laboratorio de seguridad digital de ExpressVPN que dirigió la investigación, dijo a TechCrunch. “Bluetooth es un área que me preocupa bastante”.
Otra área importante de preocupación es el uso de SDK de rastreadores en estas aplicaciones, sobre lo cual O’Brien advirtió previamente en una investigación reciente que reveló que cientos de aplicaciones de Android estaban enviando datos granulares de ubicación de usuarios a X-Mode, un corredor de datos conocido por vender datos de ubicación a contratistas militares de EE. UU., y ahora está prohibido en las tiendas de aplicaciones de Apple y Google. Los SDK, o kits de desarrollo de software, son paquetes de código que se incluyen con las aplicaciones para que funcionen correctamente, como la recopilación de datos de ubicación. A menudo, los SDK se proporcionan de forma gratuita a cambio de devolver los datos que recopilan las aplicaciones.
“La confidencialidad sigue siendo una de las principales preocupaciones que las personas mencionan para no ingresar al tratamiento … las leyes de privacidad existentes no están totalmente actualizadas”. Jacqueline Seitz, Centro de Acción Legal
Si bien los investigadores desean señalar que no clasifica todo el uso de rastreadores como malicioso, particularmente porque muchos desarrolladores pueden ni siquiera ser conscientes de su existencia dentro de sus aplicaciones, descubrieron una alta prevalencia de SDK de rastreadores en siete de las 10 aplicaciones. que reveló una actividad potencial de intercambio de datos. Algunos SDK están diseñados específicamente para recopilar y agregar datos de usuarios; esto es cierto incluso en lo que respecta a la funcionalidad principal del SDK.
Pero los investigadores explican que una aplicación, que proporciona navegación a un centro de recuperación, por ejemplo, también puede rastrear los movimientos de un usuario a lo largo del día y enviar esos datos a los desarrolladores de la aplicación y a terceros.
En el caso de Kaden Health, Stripe, que se utiliza para servicios de pago dentro de la aplicación, puede leer la lista de aplicaciones instaladas en el teléfono de un usuario, su ubicación, número de teléfono y nombre del operador, así como su AAID, dirección IP, Número de serie de IMEI, IMSI y SIM.
“Una entidad tan grande como Stripe que tiene una aplicación que comparte esa información directamente es bastante alarmante. Me preocupa porque sé que la información podría ser muy útil para las fuerzas del orden ”, le dice O’Brien a TechCrunch. “También me preocupa que las personas que tienen información sobre quién ha estado en tratamiento eventualmente se incorporen a las decisiones sobre el seguro médico y las personas que consiguen empleo”.
Las prácticas de intercambio de datos de estas aplicaciones son probablemente una consecuencia del desarrollo de estos servicios en un entorno de orientación federal estadounidense poco clara con respecto al manejo y divulgación de la información del paciente, dicen los investigadores, aunque O’Brien le dice a TechCrunch que las acciones podrían estar en incumplimiento de 42 CFR Parte 2, una ley que describe fuertes controles sobre la divulgación de información del paciente relacionada con el tratamiento de la adicción.
Jacqueline Seitz, abogada senior de privacidad de la salud en Legal Action Center, sin embargo, dijo que esta ley de 40 años aún no se ha actualizado para reconocer las aplicaciones.
“La confidencialidad sigue siendo una de las principales preocupaciones que las personas mencionan para no ingresar al tratamiento”, dijo Seitz a TechCrunch. “Si bien 42 CFR Part 2 reconoce la naturaleza muy sensible del tratamiento del trastorno por uso de sustancias, no menciona las aplicaciones en absoluto. Las leyes de privacidad existentes no están actualizadas en absoluto.
“Sería genial ver algún liderazgo de la comunidad tecnológica para establecer algunos estándares básicos y reconocer que están recopilando información súper sensible para que los pacientes no se queden en medio de una crisis de salud tratando de navegar por las políticas de privacidad”. dijo Seitz.
Otra posible razón para estas prácticas es la falta de personal de seguridad y privacidad de los datos, según Jonathan Stoltman, director del Opioid Policy Institute, que contribuyó a la investigación. “Si mira el sitio web de un hospital, verá un director de información, un director de privacidad o un director de seguridad que está a cargo de la seguridad física y la seguridad de los datos”, le dice a TechCrunch. “Ninguna de estas startups tiene eso”.
“No hay forma de que esté pensando en la privacidad si está recopilando el AAID, y casi todas estas aplicaciones lo hacen desde el principio”, agregó Stoltman.
Google está al tanto de los hallazgos de ExpressVPN, pero aún tiene que comentar. Sin embargo, el informe se ha publicado cuando el gigante tecnológico se prepara para comenzar a limitar el acceso de los desarrolladores a la ID de publicidad de Android, lo que refleja los esfuerzos recientes de Apple para permitir a los usuarios optar por no recibir seguimiento de anuncios.
Si bien ExpressVPN desea concienciar a los pacientes de que estas aplicaciones pueden violar las expectativas de privacidad, también enfatiza el papel central que las aplicaciones de tratamiento y recuperación de adicciones pueden desempeñar en la vida de las personas con adicción a los opioides. Recomienda que si usted o un miembro de su familia utilizó uno de estos servicios y considera que la divulgación de estos datos es problemática, se comunique con la Oficina de Derechos Civiles a través de Servicios de Salud y Humanos para presentar una queja formal.
“La conclusión es que este es un problema general con la economía de las aplicaciones, y estamos viendo que la telesalud se convierte en parte de eso, por lo que debemos ser muy cuidadosos y cautelosos”, dijo O’Brien. “Es necesario que haya divulgación, los usuarios deben ser conscientes y deben exigir más”.
La recuperación de la adicción es posible. Para obtener ayuda, llame a la línea directa de referencia de tratamiento gratuita y confidencial (1-800-662-HELP) o visite findtreatment.gov.
Lee mas:
Source link