Google, Microsoft y Facebook, entre los gigantes tecnológicos que recopilan ilegalmente información sanitaria privada

Google, Microsoft, Facebook, TikTok y la mayoría de los sitios web médicos y sanitarios recopilan y venden ilegalmente información sanitaria privada a pesar de las medidas federales contra esta práctica, según un nuevo informe sobre ciberseguridad.

El informe, elaborado por la empresa de ciberseguridad “Feroot Security”, con sede en Toronto, analizó cientos de sitios web de atención sanitaria y descubrió que más del 86% recopilan datos privados y los transfieren a anunciantes, empresas de marketing y redes sociales de las grandes empresas tecnológicas, “Big Tech“, sin el consentimiento de los usuarios y violando la legislación sobre privacidad.

Cuando los pacientes o consumidores navegan por sus sitios web médicos favoritos o de confianza, o se registran en los portales de los hospitales para acceder a sus historiales médicos privados, unos fragmentos invisibles de código HTML -llamados “píxeles de seguimiento”- incrustados en los sitios web recogen información privada, por ejemplo si los pacientes tienen cáncer, disfunción eréctil o van retrasados en el pago de la factura del hospital.

Según el informe, la información se reempaqueta y se vende para diversos usos, entre ellos a empresas que se dirigen a usuarios individuales con anuncios en Internet.

El riesgo de sustracción de datos personales es especialmente alto en las páginas de inicio de sesión y registro, en las que los internautas facilitan ingentes cantidades de información sin saber que está siendo secuestrada y vendida. Según el estudio, más del 73% de las páginas de inicio de sesión y registro tienen rastreadores invisibles que piratean información personal sobre la salud.

Aproximadamente el 15% de los píxeles de seguimiento analizados por Feroot registran las pulsaciones de teclado de los usuarios, recopilando números de la seguridad social, nombres de usuario y contraseñas, información bancaria y de tarjetas de crédito, e infinidad de datos personales sobre la salud, incluidos diagnósticos y tratamientos médicos.

El estudio demostró que “Google es el recopilador absolutamente dominante” de datos. El 92% de los sitios web cargados en el motor de búsqueda de Google contenían tecnología de recopilación de datos de amplios sectores de la economía estadounidense, como la sanidad y la telesalud, la banca y los servicios financieros, las aerolíneas, el comercio electrónico y los gobiernos federal y estatales.

El segundo infractor fue Microsoft, con el 50,4% de los sitios web de su plataforma ocultando herramientas de seguimiento, seguido de Facebook, con el 50,2%, y TikTok, con el 7,41%, y creciendo rápidamente.

Google, como impulsora de su matriz Alphabet, la cuarta empresa más grande del mundo, es a menudo llamada “la empresa más poderosa del mundo“. El 80% de sus ingresos procede de la publicidad, elemento vital de la economía digital mundial.

Microsoft y Facebook “completan el Top 3” de empresas que violan sistemáticamente los datos, según el informe.

Representantes de Google, Microsoft y Facebook negaron que sus empresas utilizaran píxeles de seguimiento para recopilar datos personales.

Los propietarios de los sitios web son responsables de controlar la recopilación de datos, según un portavoz de Google. La política de Google prohíbe a los clientes de ‘Google Analytics’ y de publicidad, incluidos, por ejemplo, los sitios web de hospitales o de telesalud, recopilar datos sanitarios en contravención de la Ley de Portabilidad y Responsabilidad del Seguro Médico (“Health Insurance Portability and Accountability Act”, HIPAA) de Estados Unidos. Depende de los sitios web determinar “si son entidades reguladas por la HIPAA y cuáles son sus obligaciones en virtud de la HIPAA”, dice la política de Google.

Los datos personales de salud recogidos por un rastreador o un tercero sin el consentimiento del usuario constituyen una violación de la HIPAA, ha declarado el director general de Feroot, Ivan Tsarynny.

Las grandes empresas tecnológicas “tienen políticas que hablan de la protección de la información sanitaria”, dijo Tsarynny. Pero “la aplicación de estas políticas en el mundo real es otra historia”.

El estudio de Feroot llega cuando “crece la preocupación por las empresas de extracción de datos que utilizan píxeles/seguidores que se cargan en los navegadores desde los sitios web para recopilar datos privados y sensibles de los usuarios”, según el informe.

“Los reguladores de la obediencia y las autoridades gubernamentales intervienen cada vez más con prohibiciones, restricciones y órdenes ejecutivas para frenarlas”.

Según ‘Becker’s Hospital Review’, dieciocho grandes sistemas hospitalarios han sido demandados este año por compartir datos sanitarios confidenciales de pacientes con Google, Facebook y otros gigantes tecnológicos, infringiendo así la legislación sobre privacidad.

Entre ellos figuran destacados centros médicos académicos como el Centro Médico de la Universidad de Pittsburgh, el Centro Médico de la Universidad de Chicago, el Centro Médico de la Universidad de Iowa, el Northwestern Memorial Hospital, con sede en Chicago, y el Centro Médico de la Universidad de California en San Francisco.

La creciente preocupación por el robo de datos y el artículo “‘Fuera de control’: Decenas de ‘startups’ de telesalud enviaron información sanitaria sensible a grandes empresas tecnológicas” (“‘Out of Control’: Dozens of Telehealth Startups Sent Sensitive Health Information to Big Tech Companies”), Feroot inició una investigación “para determinar la magnitud exacta y la omnipresencia de los píxeles/rastreadores de redes sociales que recopilan y transfieren datos personales, sensibles y privados mediante píxeles o rastreadores”.

La plataforma de seguridad que Feroot vende a las empresas “permitió obtener datos detallados sobre el e-skimming activo del lado del cliente”, afirmó la empresa.

Feroot recogió datos sobre píxeles/seguidores durante un periodo de ocho semanas en enero y febrero.

La empresa dijo que examinó más de 3.675 organizaciones con sitios web únicos en siete sectores económicos. Estudió 108.836 páginas web únicas, incluidas páginas especialmente vulnerables de inicio de sesión, registro y procesamiento de tarjetas de crédito, 227 rastreadores y 7 millones de transferencias de datos.

Principales conclusiones de “Cuidado con los píxeles y los rastreadores” (“Beware of Pixels & Trackers”):

• Los rastreadores de píxeles son “comunes y abundantes”: se encontró una media de 13,16 píxeles/rastreadores por sitio web, “siendo Google, Microsoft, Meta (propietaria de Facebook), ByteDance (propietaria de TikTok) y Adobe algunos de los más comunes.”
• Las páginas web “de misión crítica”, como las de inicio de sesión o registro, aumentan el riesgo de exponer información privada. Una media del 5,96% de los sitios web tenían píxeles/seguidores en páginas web que leían formularios de entrada de usuarios que contenían datos confidenciales o sensibles.
• Los rastreadores de píxeles transfieren datos a ubicaciones extranjeras de todo el mundo: “alrededor del 5% de los datos transferidos por píxeles/rastreadores cargados desde sitios web con sede en EE.UU. se envía fuera de EE.UU.”.
• Los rastreadores de píxeles recopilan y transfieren datos sin obtener previamente el consentimiento explícito de los visitantes.
• Los píxeles y rastreadores se cargan desde dominios prohibidos por el gobierno de Estados Unidos y varios estados del país, e incluso desde algunos de esos mismos gobiernos, como Rusia y China. Los datos obtenidos por sitios web rusos y chinos suponen un riesgo para la seguridad por la vigilancia y el espionaje.
• Meta (propietaria de Facebook e Instagram) y TikTok, propiedad de la empresa china ByteDance, eran “especialmente preocupantes” por la invasión de la privacidad y los riesgos de vigilancia. Treinta y cuatro estados de EE.UU., tanto controlados por republicanos como por demócratas, han prohibido el uso de TikTok en dispositivos gubernamentales. En mayo, Montana prohibió la aplicación en todos los dispositivos personales.
• TikTok suele estar presente tanto si se elimina la aplicación TikTok como si no. Los píxeles/rastreadores de TikTok aún pueden “cargarse en páginas web que manejen datos de misión crítica del usuario y pueden recopilarlos y transferirlos.”

El caso GoodRX pone de relieve el engaño empresarial en torno al intercambio de datos

Mientras que las empresas se enfrentan a la pérdida de beneficios y reputación por las filtraciones de datos o a multas por causarlas, los particulares se enfrentan a una pérdida de privacidad potencialmente catastrófica cuando los principales sitios web de salud recopilan y venden su información, según la Comisión Federal de Comercio (“Federal Trade Commission”, FTC por sus siglas en inglés).

En febrero, la FTC multó al popular sitio de descuentos en medicamentos y telesalud GoodRx por “no informar de su divulgación no autorizada de datos de salud de los consumidores a Facebook, Google y otras empresas.”

La acción de “prohibir a GoodRx que comparta información sanitaria confidencial de los consumidores con fines publicitarios” fue la primera acción coercitiva de la FTC en virtud de su Regla de Notificación de Infracciones Sanitarias(“Health Breach Notification Rule”).

“Las empresas de salud digital y las aplicaciones móviles no deben aprovecharse de la información sanitaria extremadamente sensible y personalmente identificable de los consumidores”, declaró el director de la Oficina de Protección del Consumidor de la FTC, Samuel Levine, en un comunicado de prensa tras el acuerdo. “La FTC está avisando de que utilizará toda su autoridad legal para proteger los datos sensibles de los consumidores estadounidenses del uso indebido y la explotación ilegal.”

La aplicación de la FTC contra GoodRx reveló un ejemplo particularmente atroz, aunque no infrecuente, de cómo los sitios web corporativos de salud y medicina traicionan la confianza de los pacientes y manipulan sus datos, dijo la FTC.

Según la denuncia de la FTC, GoodRx violó la ley al compartir indebidamente información personal de salud sensible desde al menos 2017, aunque prometió lo contrario.

La empresa “prometía engañosamente a sus usuarios que nunca compartiría información sanitaria personal con anunciantes u otros terceros”, acusó la FTC, y mostraba engañosamente un sello en la parte inferior de la página de inicio de sus servicios de telesalud “sugiriendo falsamente a los consumidores que cumplía la … HIPAA”.

En realidad, según la denuncia de la FTC, GoodRx “monetizó la información sanitaria personal de sus usuarios y utilizó datos que compartía con Facebook para dirigir a los propios usuarios de GoodRx anuncios personalizados específicos sobre salud y medicamentos en Facebook e Instagram.”

Por ejemplo, GoodRx en agosto de 2019 hizo listas de sus usuarios “que habían comprado medicamentos particulares, como los utilizados para tratar enfermedades cardíacas y la presión arterial, y subió sus direcciones de correo electrónico, números de teléfono e ID de publicidad móvil a Facebook para poder identificar sus perfiles”, según la denuncia.

“GoodRx utilizó entonces esa información para dirigirse a estos usuarios con anuncios relacionados con la salud”.

Las personas que accedían a los cupones de GoodRx para comprar, por ejemplo, Viagra, veían anuncios de medicamentos para la disfunción eréctil en los anuncios de sus páginas de Facebook o Instagram, afirma la FTC.

“Del mismo modo, las personas que habían utilizado los servicios de telesalud de GoodRx para recibir tratamiento para enfermedades de transmisión sexual recibirían anuncios de servicios de pruebas de ETS”.

GoodRx reveló a Facebook los datos de compra de medicamentos que recibe de los gestores de prestaciones farmacéuticas y también utilizó los datos para orientar los anuncios.

Al utilizar la plataforma de segmentación publicitaria de Facebook, según la FTC, “GoodRx diseñó campañas dirigidas a los clientes con anuncios basados en su información sanitaria. Por ejemplo, si un cliente hubiera revelado a GoodRx un posible problema de disfunción eréctil, podría haber visto un anuncio en Facebook como el del Anexo A de la denuncia de la FTC”.

En febrero, GoodRx, empresa valorada en 2.100 millones de dólares con sede en California pagó una multa civil de 1,5 millones de dólares a la FTC para resolver la denuncia y negó haber cometido infracción alguna.

Howard Danzig, fundador y presidente de “Employers Committed to Control Health Insurance Costs”, afirmó que “multar a GoodRx con sólo 1,5 millones de dólares no es ni siquiera un tirón de orejas. Mientras que muchos empleadores están muy atentos a respetar las directrices de las leyes de privacidad HIPAA, las grandes empresas tecnológicas básicamente obtienen un pase.”

“¿Qué tal sanciones importantes para Facebook, Google y cualquier otro que se haya beneficiado de esta información?”, escribió en su página de LinkedIn con casi 9.000 seguidores.

“¿Qué tal si se determina si hubo o no infracciones penales que deban perseguirse contra los individuos que realmente colaboraron para hacer esto? ¿Qué tal “REPARACIONES” por parte de las empresas implicadas a las personas y clientes cuya privacidad fue violada?”

La violación de datos se produjo con “fines publicitarios”, señaló. “¿Hasta dónde puede llevarse esto realmente y hasta dónde se ha llevado?”.