Investigadores del área de telemedicina de la Universidad de Valladolid han planteado a los programadores una serie de recomendaciones para mejorar la seguridad de las aplicaciones de salud en dispositivos móviles. Según estos especialistas, se trata de un ámbito en pleno crecimiento, pero un tratamiento poco seguro de los datos clínicos y médicos que se manejan puede resultar crítico para los usuarios.
Las aplicaciones de salud están en pleno auge. Ya existen unas 100.000 en el mercado, en plataformas como iOS (Apple) y Android, y generan un negocio de 4.500 millones de dólares (unos 3.300 millones de euros). En España, un tercio de los usuarios de smartphones tendrán instalada al menos una aplicación de salud este año, indica un informe de The App Date.
Sin embargo, según explica a Sinc Borja Martínez, investigador de Grupo de Telemedicina y eSalud de la Universidad de Valladolid, “estas aplicaciones no tienen un tratamiento seguro de la información y esto es especialmente grave en apps que hacen uso de datos clínicos o médicos que son especialmente críticos para el usuario”.
Estas aplicaciones no tienen un tratamiento seguro de la información y esto es especialmente grave en ‘apps’ que hacen uso de datos clínicos o médicos
Martinez es el autor principal de un estudio en el que lleva a cabo una revisión de estos problemas y propone una serie de recomendaciones para que los desarrolladores mejoren el tratamiento de una información que debería ser confidencial. El trabajo se publicó el pasado mes de enero enJournal of Medical Systems.
Este joven ingeniero señala que “los desarrolladores, en su afán por publicar sus aplicaciones antes que el resto, descuidan ciertos aspectos que deben ser tenidos en cuenta, especialmente la privacidad y la seguridad de los datos tratados. Hoy en día, la mayoría de apps para la salud no ofrecen al usuario suficientes medidas de protección de sus datos”.
Los riesgos de la falta de control
En su opinión, “el principal riesgo es que un intruso pueda hacerse con información médica personal de otro individuo o, lo que es peor, la modifique”.
Un claro ejemplo –advierte el investigador– “sería una app que guardara historiales médicos electrónicos. Si una tercera persona ajena a la aplicación accediese a la información almacenada y cambiara algún dato de un paciente, como quitar alguna alergia a cierto medicamento, podría poner en juego la vida de esa persona llegado el caso”.
Además, “otro problema importante es que los profesionales de la salud y los propios pacientes no son conscientes de los métodos que usan las apps respecto a la privacidad y seguridad de sus datos. Muchos dan por hecho que la aplicación es segura y a otros ni siquiera les importa. Creo que es necesaria una mayor colaboración entre países para crear leyes internacionales que se encarguen de controlar estos aspectos”, señala.
El principal riesgo es que un intruso pueda hacerse con información médica personal de otro individuo o, lo que es peor, la modifique
¿Qué se puede hacer? “Muchas cosas” –dice Borja Martínez–, aunque “todo se resume en que los desarrolladores analicen el tipo de datos que van a tratar sus apps y apliquen los métodos de seguridad y privacidad necesarios”.
Cada caso es diferente, señala. “Algunas aplicaciones ni siquiera tratan datos de los pacientes, por lo que no es necesario introducir dichos métodos; otras llevarán información crítica y los diseñadores tendrán que decidir qué mecanismos usar. Lo principal es que no dejen de lado estos aspectos y se preocupen por invertir parte del tiempo de desarrollo en hacer el análisis e implementar dichas técnicas”.
Borja Martínez dice que “para obligar a los desarrolladores a cumplimentar esta tarea, es necesario actualizar las leyes que gobiernan estos aspectos. Pero en dos de las principales potencias mundiales, la Unión Europea y Estados Unidos, estas leyes son antiguas y obsoletas, por lo que deben ser reformuladas para adecuarse a tecnología móvil actual”, destaca.
En este sentido, la Directiva de Protección de Datos de la UE data de 1995 y la HIPAA (Health Insurance Portability and Accountability Act) de EEUU es de 1996.
Guía rápida para la seguridad de la e-salud
En su guía para desarrolladores de apps de salud, Martínez y sus colegas plantean, entre otras, las siguientes recomendaciones:
- Control de acceso: centrado en el paciente, dejándole siempre la posibilidad de acceder o prohibir el acceso a su información.
- Autenticación: realizada con una identidad única y una contraseña solo conocida por el usuario. Esta identidad puede estar ligada a una infraestructura de clave pública, como RSA (River, Shamir and Adleman).
- Seguridad y confidencialidad: el uso del estándar de AES (Advanced Encryption Standard) con una clave criptográfica de al menos 128 bits es muy recomendable para garantizar la seguridad.
- Integridad: se debe usar al menos un código de autenticación basado en clave simétrica, como AES.
- Información a los pacientes: antes de recolectar ninguna información, las apps deben presentar a los usuarios una política de privacidad clara que identifique la identidad que usará los datos, el propósito de los mismos, los métodos de privacidad usados, sus derechos y un método de contacto.
- Transferencia de datos: usar TLS (Transport Layer Security) con métodos de encriptación de 128 bits o redes privadas virtuales.
- Retención de datos: los datos sólo deben ser guardados el tiempo necesario para el propósito establecido, no más.
- Comunicaciones con sensores corporales: en las comunicaciones con sensores de baja potencia utilizados en el cuerpo se deben usar métodos criptográficos para la autenticación de los dispositivos y la distribución de la clave.
- Alerta en fallos de seguridad: la empresa desarrolladora debe avisar a las autoridades competentes así como a los usuarios tan pronto como sea posible y debe ayudar al usuario a aliviar los posibles daños causados por dicha brecha.
Referencia bibliográfica:
Borja Martínez Pérez, Isabel de la Torre-Díez y Miguel López-Coronado. “Privacy and Security in Mobile Health Apps: A Review and Recommendations”. Journal of Medical Systems. DOI: 10.1007/s10916-014-0181-3 (enero, 2015)
Fuente: SINC