La mayoría de las apps de bienestar te piden tus datos más personales: qué comes, cuánto pesas, cuándo duermes, cómo te sientes. Pero, ¿qué pasa cuando esos datos terminan donde no deberían?

Esta no es una pregunta hipotética. Ya ha ocurrido, repetidamente, con algunos de los nombres más grandes en salud y fitness.

150 millones de cuentas de MyFitnessPal hackeadas

En febrero de 2018, un tercero no autorizado vulneró los servidores de MyFitnessPal y robó datos de aproximadamente 150 millones de cuentas de usuarios, incluyendo nombres de usuario, direcciones de correo electrónico y contraseñas. Under Armour, la empresa matriz en ese momento, reveló la filtración un mes después. Sigue siendo una de las mayores filtraciones de datos en la industria de la salud y el fitness.

La causa fue simple: todos esos datos estaban almacenados en servidores centralizados. Una sola vulnerabilidad fue suficiente.

Fuente: CNBC, marzo 2018

61 millones de registros de trackers fitness expuestos

En septiembre de 2021, investigadores de seguridad descubrieron que GetHealth, una plataforma de terceros que agrega datos de dispositivos portátiles, había dejado una base de datos completamente desprotegida. Sin contraseña. Sin cifrado. Solo 61 millones de registros de usuarios de Fitbit, Apple Health, Strava y Google Fit en texto plano, incluyendo nombres, fechas de nacimiento, peso, altura y ubicación geográfica.

Los usuarios nunca se registraron directamente en GetHealth. Sus datos fueron extraídos a través de integraciones que quizás ni sabían que existían.

Fuente: TechTarget, septiembre 2021

Noom compartió datos de salud con terceros

Noom, la popular app de pérdida de peso y nutrición, fue señalada por Privacy International por compartir datos sensibles de salud como altura, peso, condiciones médicas e información dietética con empresas como Braze, FullStory y Mixpanel. Demandas colectivas alegaron que Noom había integrado código de grabación de sesiones que registraba las interacciones de los usuarios. Cuando introducías tu peso o registrabas una comida, esos datos no solo iban a Noom.

Fuente: Privacy International

Flo Health compartió datos menstruales con Facebook

Flo Health, una de las apps de seguimiento de ciclo más populares con más de 100 millones de usuarias, prometió que los datos íntimos de salud se mantendrían privados. En su lugar, la app compartió fechas del ciclo menstrual, estado de embarazo y síntomas con Facebook, Google y otras empresas publicitarias sin el consentimiento de las usuarias. La FTC presentó una queja formal, y el caso resultó en un acuerdo de 56 millones de dólares.

Esto no fue un hackeo. La empresa eligió compartir los datos. Las usuarias no tenían idea.

Fuente: FTC, enero 2021

BetterHelp envió datos de salud mental a Facebook y Snapchat

BetterHelp, la plataforma de terapia online con casi 8 millones de usuarios, compartió datos sensibles de salud mental con Facebook, Snapchat y Pinterest para publicidad dirigida. Esto incluía direcciones de correo electrónico, direcciones IP y respuestas a cuestionarios de evaluación de salud. La empresa había prometido que los datos se mantendrían privados. La FTC ordenó a BetterHelp pagar 7,8 millones de dólares en reembolsos.

Si una app de terapia no puede mantener tus datos privados, el problema no es la política de privacidad. Es la arquitectura.

Fuente: FTC, marzo 2023

El patrón es claro

Todos estos incidentes comparten un hilo común: los datos de los usuarios estaban almacenados en servidores, procesados en la nube o compartidos con terceros. En el momento en que tus datos salen de tu dispositivo, pierdes el control. Ninguna política de privacidad, ninguna promesa de cifrado y ningún término de servicio puede garantizar que un servidor no será vulnerado, que una base de datos no estará mal configurada, o que una empresa no monetizará discretamente tu información.

La única forma de evitarlo

Los datos más seguros son los que nunca salen de tu dispositivo.

Ese es el principio detrás de Disciplines. No hay servidores que hackear, ni bases de datos que exponer, ni terceros con quienes compartir. Tus datos de bienestar se procesan y almacenan completamente en tu iPhone. No podemos verlos. No podemos acceder a ellos. No existen en ningún otro lugar que no sea tu dispositivo.

La privacidad no es una función que añadimos. Es nuestra base.

Si has estado confiando tus datos de salud a apps que los almacenan en la nube, quizás valga la pena preguntarse: ¿realmente lo necesitan?