Download Práctica02

page
1
page
2
page
3
Document related concepts
no text concepts found
Transcript 
Los desarrolladores
descuidan la privacidad y
seguridad de las ‘apps’ de
salud
Las aplicaciones de salud están en pleno auge. Ya existen unas 100.000 en el mercado, en
plataformas como iOS (Apple) y Android, y generan un negocio de 4.500 millones de dólares (unos
3.300 millones de euros). En España, un tercio de los usuarios de smartphones tendrán instalada al
menos una aplicación de salud este año, indica un informe de The App Date.
Sin embargo, según explica a Sinc Borja Martínez, investigador de Grupo de Telemedicina y eSalud
de la Universidad de Valladolid, “estas aplicaciones no tienen un tratamiento seguro de la
información y esto es especialmente grave en apps que hacen uso de datos clínicos o médicos que
son especialmente críticos para el usuario”.
Martinez es el autor principal de un estudio en el que lleva a cabo una revisión de estos problemas y
propone una serie de recomendaciones para que los desarrolladores mejoren el tratamiento de una
información que debería ser confidencial. El trabajo se publicó el pasado mes de enero en Journal of
Medical Systems.
Este joven ingeniero señala que “los desarrolladores, en su afán por publicar sus aplicaciones antes
que el resto, descuidan ciertos aspectos que deben ser tenidos en cuenta, especialmente la
privacidad y la seguridad de los datos tratados. Hoy en día, la mayoría de apps para la salud no
ofrecen al usuario suficientes medidas de protección de sus datos”.
En su opinión, “el principal riesgo es que un intruso pueda hacerse con información médica personal
de otro individuo o, lo que es peor, la modifique”.
Un claro ejemplo –advierte el investigador– “sería una app que guardara historiales médicos
electrónicos. Si una tercera persona ajena a la aplicación accediese a la información almacenada y
cambiara algún dato de un paciente, como quitar alguna alergia a cierto medicamento, podría poner
en juego la vida de esa persona llegado el caso”.
Además, “otro problema importante es que los profesionales de la salud y los propios pacientes no
son conscientes de los métodos que usan las apps respecto a la privacidad y seguridad de sus
datos. Muchos dan por hecho que la aplicación es segura y a otros ni siquiera les importa. Creo que
es necesaria una mayor colaboración entre países para crear leyes internacionales que se
encarguen de controlar estos aspectos”, señala.
¿Qué se puede hacer? “Muchas cosas” –dice Borja Martínez–, aunque “todo se resume en que los
desarrolladores analicen el tipo de datos que van a tratar sus apps y apliquen los métodos de
seguridad y privacidad necesarios”.
Cada caso es diferente, señala. “Algunas aplicaciones ni siquiera tratan datos de los pacientes, por
lo que no es necesario introducir dichos métodos; otras llevarán información crítica y los diseñadores
tendrán que decidir qué mecanismos usar. Lo principal es que no dejen de lado estos aspectos y se
preocupen por invertir parte del tiempo de desarrollo en hacer el análisis e implementar dichas
técnicas”.
Borja Martínez dice que “para obligar a los desarrolladores a cumplimentar esta tarea, es necesario
actualizar las leyes que gobiernan estos aspectos. Pero en dos de las principales potencias
mundiales, la Unión Europea y Estados Unidos, estas leyes son antiguas y obsoletas, por lo que
deben ser reformuladas para adecuarse a tecnología móvil actual”, destaca.
En este sentido, la Directiva de Protección de Datos de la UE data de 1995 y la HIPAA (Health
Insurance Portability and Accountability Act) de EEUU es de 1996.
En su guía para desarrolladores de apps de salud, Martínez y sus colegas plantean, entre otras, las
siguientes recomendaciones:
-Control de acceso: centrado en el paciente, dejándole siempre la posibilidad de acceder o prohibir
el acceso a su información.
-Autenticación: realizada con una identidad única y una contraseña solo conocida por el usuario.
Esta identidad puede estar ligada a una infraestructura de clave pública, como RSA (River, Shamir
and Adleman).
-Seguridad y confidencialidad: el uso del estándar de AES (Advanced Encryption Standard) con una
clave criptográfica de al menos 128 bits es muy recomendable para garantizar la seguridad.
-Integridad: se debe usar al menos un código de autenticación basado en clave simétrica, como
AES.
-Información a los pacientes: antes de recolectar ninguna información, las apps deben presentar a
los usuarios una política de privacidad clara que identifique la identidad que usará los datos, el
propósito de los mismos, los métodos de privacidad usados, sus derechos y un método de contacto.
-Transferencia de datos: usar TLS (Transport Layer Security) con métodos de encriptación de 128
bits o redes privadas virtuales.
-Retención de datos: los datos sólo deben ser guardados el tiempo necesario para el propósito
establecido, no más.
-Comunicaciones con sensores corporales: en las comunicaciones con sensores de baja potencia
utilizados en el cuerpo se deben usar métodos criptográficos para la autenticación de los
dispositivos y la distribución de la clave.
-Alerta en fallos de seguridad: la empresa desarrolladora debe avisar a las autoridades competentes
así como a los usuarios tan pronto como sea posible y debe ayudar al usuario a aliviar los posibles
daños causados por dicha brecha. (Fuente: SINC)
Related documents
Taller práctico y metodología para validar las APP
Taller práctico y metodología para validar las APP
ES ES Índice 1. Introducción 2. Potencial de la sanidad móvil 2.1
ES ES Índice 1. Introducción 2. Potencial de la sanidad móvil 2.1
Windows 8 sustituirá a Windows 7 como nuevo sistema operativo de
Windows 8 sustituirá a Windows 7 como nuevo sistema operativo de
sistemas operativos móviles
sistemas operativos móviles