Sitios de servicios de salud filtran datos a terceros, según un estudio

Ya desde el año pasado veníamos advirtiendo un incremento en la cantidad de brechas de seguridad que sufren empresas y entidades relacionadas a la salud, con el robo de datos y registros médicos como principal interés por parte de los cibercriminales.

Más recientemente, la aseguradora estadounidense Anthem sufrió un incidente y los atacantes lograron acceder a una base de datos que almacenaba nombres, direcciones, fechas de cumpleaños, números de seguridad social, direcciones de correo electrónico e información sobre empleo de casi 80 millones de clientes y empleados.

Por si esto fuera poco, luego supimos que al menos 8,8 millones de personas que no eran clientes de Anthem también habían sido afectadas. ¿El motivo? La base de datos comprometida también incluía datos de clientes incluidos en planes de firmas independientes, que trabajan en lugares donde Anthem no tiene presencia.

Con esto, podemos tener una dimensión de las implicancias de una brecha de seguridad en compañías de este estilo, que alojan información personal de millones de clientes. Pero, ¿es un incidente de seguridad la única forma de obtener esta información?

Lo que buscas en la web, ¿en manos de quién?

Un estudio desarrollado por Tim Libert, un estudiante de doctorado de la Universidad de Pensilvania, demostró tras analizar 80 mil sitios relacionados a salud que 9 de cada 10 visitas resultan en la filtración de información médica personal a terceras partes. Esto incluye a anunciantes de publicidad online y compradores de datos.

En este sentido, el informe habla de un riesgo a la privacidad significativo ocasionado por dos motivos:

  • Los intereses relacionados a salud de las personas podrían ser públicamente identificados con sus nombres
  • Muchos vendedores online usan herramientas con algoritmos para agrupar automáticamente a los usuarios en conjuntos, según sean clientes deseables o descartados. Presumiblemente, los identificados en la primera categoría reciben descuentos y novedades sobre ventas.

“Para individuos, esto significa que los perfiles se construyen según visitas web, lo que potencialmente resulta en que alguien sea etiquetado como un riesgo comercial debido a que usó un sitio como WebMD para buscar información para sí mismo, un familiar o amigo. Dado que los corredores de información son libres de vender cualquier información que recolecten en relación a visitas a sitios relacionados a salud, los que los visitan están potencialmente en riesgo de ser discriminados por potenciales empleadores, vendedores, o cualquiera que tenga el dinero para comprar los datos”, dice el reporte.

Los sitios analizados para su elaboración fueron educacionales, comerciales, gubernamentales y también de organizaciones sin fines de lucro. Según un video explicativo que resume los hallazgos del estudio, cuando un usuario busca en la web términos como “VIH”, “cáncer”, “diabetes” o “hepatitis”, esta inquietud se envía a Google y AddThis, que probablemente pueden de esta forma identificar al usuario con un determinado problema de salud.

Para el caso del sitio WebMD, Libert explica que la consulta del usuario se enviará a 34 dominios.

 

Tal como explica SC Magazine, Tim Libert creó una herramienta de software que rastrea las peticiones HTTP iniciadas con terceras partes, y encontró que el 91% (de los 80 mil sitios que se tuvieron en cuenta) lo hacían, es decir, iniciaban peticiones a terceros. De esos, el 70% incluía datos específicos de síntomas, tratamientos o enfermedades.

Cabe destacar que, según las leyes estadounidenses, es perfectamente legal recolectar y vender información relacionada al monitoreo de los sitios de servicios de salud que visitan los internautas. Esto está, en cierta forma, relacionado con la monetización, el proceso de convertir algo en dinero. En Internet, casi todos los sitios populares monetizan de una o varias formas: a través de publicidad, vendiendo información de usuarios como geolocalización y demás datos obtenidos a través de las cookies del navegador, redirigiendo a otros sitios por determinada cantidad de dinero por visita, y demás.

Es por esto que, simplemente, deben cuidar su privacidad al navegar. No estamos hablando de un riesgo de seguridad estrictamente, sino de cómo podría tener un efecto negativo el hecho de que cierta información de navegación llegue a terceros. Por tal motivo, recomendamos herramientas como Ghostery para aquellos interesados en mantener sus niveles de privacidad lo más altos posible.

Autor , ESET

Síguenos