Publicado: 27 de abril de 2020

Privacidad y servicios de salud, otra metedura de pata.

En estos días de pandemia recurrir al teletrabajo es una gran solución para muchas personas que tienen que, o pueden, seguir trabajando. Sin embargo, además de prestar atención a cuestiones relativas a la seguridad informática también deberíamos llevar a cabo políticas de adopción de software que incluyan la privacidad como un pilar básico.

A continuación os cuento lo que, bajo mi punto de vista, es otro error en la adopción de software por parte del sistema de salud de Castilla y León.

Un médico de familia que conozco y al que asesoro en materia de privacidad me ha llamado hoy preocupado porque le han dicho que para teletrabajar desde casa debe utilizar el ordenador del trabajo desde su domicilio y para ello tiene que instalar una app en su teléfono móvil personal (no en un teléfono de la empresa) que sirve para hacer el segundo factor de autenticación de un programa que necesita utilizar para su trabajo.

Vamos a explicar esta situación por partes para que se entienda adecuadamente.

Tenemos a un señor que es médico. En su casa su familia tiene un par de ordenadores un par de smartphones y una tablet. Estos dispositivos se conectan a Internet a través del router que la compañía de teléfono le ha puesto a este señor en su casa.

Ahora tiene que teletrabajar. Para ello tiene que utilizar desde su casa un ordenador portátil que le proporciona su empresa (SACYL). Para poder acceder desde su casa a la base de datos que le ofrece la información necesaria para hacer su trabajo, los informáticos de su empresa le dicen que tiene que hacer un par de cosas, básicamente.

En primer lugar tiene que conectar el ordenador a Internet por cable. Esto es que no van a funcionar los programas que necesita si conecta el equipo de trabajo a Internet mediante una red wifi.

Además, una vez conectado a Internet, necesita introducir unas claves cada vez que quiera acceder a los programas de trabajo. Esas claves las va a generar un programa que los informáticos de su empresa le piden que instale en su teléfono personal.

Hagamos una pequeña pausa y empecemos a analizar la situación.

Primero hemos metido en casa un equipo cuya seguridad es una incógnita porque no sabemos qué puede haber en él. Y es importante tener en cuenta que los sistemas de salud se encuentran entre los objetivos más atacados por ciberdelincuentes estos días.

Que el ordenador utilice un sistema Windows nos puede gustar poco (porque son poco seguros y menos respetuosos con la privacidad, especialmente Windows 10, ver por ejemplo ), pero al fin y al cabo está instalado en el ordenador de la empresa. Cuando la cosa se pone mucho peor es cuando nos dicen que tenemos que instalar una aplicación en nuestro teléfono personal.

No obstante, y aunque no es el objetivo principal de este artículo, los problemas que presentan los sistemas Windows afectan a los datos de los pacientes, lo que supone un asunto mucho más preocupante. A continuación pongo algunos enlaces, a modo de breve ejemplo:

• https://www.bloomberg.com/news/articles/2017-02-21/microsoft-faces-european-privacy-probes-over-windows-10
• https://www.eff.org/deeplinks/2016/08/windows-10-microsoft-blatantly-disregards-user-choice-and-privacy-deep-dive
• https://www.genbeta.com/seguridad/francia-exige-a-microsoft-que-abandone-la-excesiva-recopilacion-de-datos-personales
• https://thehackernews.com/2015/08/windows-spying-on-you.html
• https://www.adslzone.net/2019/07/12/microsoft-windows-7-telemetria/
• https://www.softzone.es/2017/03/09/windows-telemetria-kb2952664-kb2976978/

Inevitablemente tengo que poner éste enlace también: NHSbuntu, el Ubuntu que pretende sustituir a Windows en la sanidad británica.

Vamos a ver qué aplicación es y qué características tiene. Lo cierto es que si fuese un programa inocuo el problema podría no ser tan grave (en este caso de quien hablamos es de un médico y normalmente deben estar localizables, pero no olvidéis que tener un teléfono móvil ni es obligatorio ni tiene pinta de poder serlo por mucho que asumamos que todo el mundo tiene uno).

Dada la cantidad de actividad delictiva digital que se esta produciendo estos días me voy a limitar a poner de manifiesto los problemas que le veo a la aplicación sin decir exactamente cuál es.

Se trata de una aplicación que genera códigos en el teléfono que pedirá el ordenador para tener más seguridad de que la persona que intenta acceder al sistema es un usuario legítimo. Hasta aquí todo bien.

Un vistazo a la página de Wikipedia del desarrollador de la aplicación confirma que se trata de un empresa privada con unos cuantos años de funcionamiento, que siempre da confianza.

El primer asunto que llama la atención es que la app es gratuita.

La siguiente cosa que llama la atención es que su última actualización es de octubre de 2019. Lleva un tiempo sin recibir actualizaciones, ¿no?. Esto, sin que tenga que ser un problema, no es la mejor de las noticias. Cuanto más tiempo lleve sin recibir actualizaciones más probable es que su desarrollo esté parado (al menos en lo que se refiere a revisiones de seguridad). De hecho en el apartado sobre novedades de la versión se dice que la última actualización ha arreglado varios errores, sin especificar nada más.

En el apartado de permisos podemos ver que necesita acceso para leer, modificar y borrar contenido del almacenamiento del teléfono. También necesita permiso para hacer fotos y vídeos. Leyendo la descripción de la aplicación no se explica en ningún momento que lea códigos QR (que sospecho, y espero, que sea el motivo por el que accede a la cámara).

El resto de permisos que solicita me parecen razonables (he preguntado a un desarrollador amigo mío y por lo que me dice parece normal que se pidan esos permisos).

Y aquí viene una de las claves de este asunto. Esta app es software privativo. No podemos ver el código fuente de la aplicación. Y con esos permisos que requiere… pues hay que confiar en que solo haga lo que la descripción dice que hace. Que mal pensado soy, ¿no? ¿Será que hemos visto demasiados problemas y por eso desconfiamos? Bueno, sigamos investigando un poco.

Echemos un ojo a la licencia del programa, de tipo EULA (), como “buen” software privativo que es.

Lo primero que pone es que leamos cuidadosamente los términos y condiciones de la licencia antes de descargar o usar el programa:

“PLEASE READ THE FOLLOWING LICENSE TERMS AND CONDITIONS CAREFULLY BEFORE DOWNLOADING OR USING THE SOFTWARE.”

Este problema ya le conocemos, ¿verdad? Por mucho RGPD que tengamos en marcha seguimos aceptando condiciones de uso que ni leemos ni entendemos.

A ver si veo algo destacable.

Por un lado la relación contractual se establece no solo entre la empresa para que trabaja el trabajador que instala la aplicación sino también entre el propio trabajador y el proveedor del programa.

Dice que el programa no recopilará, usará, o revelará datos del usuario o del dispositivo a ningún tercero sin nuestro consentimiento previo.

El resto es típico de una EULA. Que si no se hacen responsables de ningún daño producido por la apliación y bla, bla, bla.

La fecha de redacción es de 2014. Esto tampoco es muy agradable. Recordar que el RGPD se aprobó en mayo de 2018. ¿Estará este texto adaptado? En todo caso el fabricante es una empresa estadounidense y muy probablemente sus servidores estén en territorio de los EE.UU. Eso hace que también tengan que cumplir los puntos pertinentes del RGPD, pero la protección no es la misma. Otra cosa que tener en cuenta, y ya van unas cuantas.

Siguiente asunto. Echar un ojo a la web del proveedor de servicios que proporciona la aplicación.

Enseguida parece claro que, si bien la aplicación es gratuita, muy probablemente se ha contratado un servicio de pago para tener acceso al servicio de segundo factor de autenticación.

En el apartado de declaración de privacidad de la empresa se dicen algunas cosas interesantes. En primer lugar la fecha de la última actualización del texto es de octubre de 2019, cosa que tiene mejor pinta. Pero vamos a ver qué pone.

Curiosamente hay un enlace para ver el texto en otros idiomas, pero solo se muestra en inglés. Detallitos a pulir.

En el texto se hace referencia a que se recopila información personal tal como: nombres, nombres de usuario, forma de acceso, tiempo de acceso y localización de acceso de aquellos que han visitado la página web.

El primer problema que veo aquí es que si bien esta es la política de privacidad enlazada desde la app en ella no se dice que información se recopila al utilizar la aplicación. Como el médico que conozco aún no la ha instalado (veremos si finalmente lo hace) no sé si para usarla tiene que crear un usuario. Pero entiendo que sí. Por tanto, parece bastante posible que toda la política de privacidad relativa a los datos personales se aplique a cada usuario de la aplicación móvil. En todo caso no se explica esto por ningún lado.

En cuanto al uso que se da a los datos recopilados, cito los más destacables únicamente:

• Para medir o entender la efectividad de la publicidad que te servimos a ti y a otros, y para enviarte publicidad relevante para ti.

Esto sobra por completo e implica un estudio personal cuyas conclusiones están, cuanto menos, muy alejadas del entendimiento de los usuarios. Pero lo mejor viene a continuación.

¿Comparte y revela la empresa datos personales?

Traduzco a continuación solo los más relevantes para esta exposición:

• Podemos revelar o transferir tus datos personales a nuestras filiales y empresas asociadas.
• Podemos revelar o transferir tus datos personales a los socios de la compañía que venden nuestros productos y servicios y que podrían ser de tu interés.
• Podemos compartir tus datos personales terceras partes que te proveen servicios a ti. Esto incluye proveedores de servicios de pago, agencias de referencia de crédito, compañías de analítica web, y proveedores de servicio que operan, mantienen y dan soporte a nuestras páginas web, productos y servicios.
• Podemos revelar datos personales de forma agregada a otros, incluyendo socios estratégicos, anunciantes, inversores y clientes.

Pues menos mal que decía al principio “podemos compartir y revelar tus datos personales, pero solo en las siguientes circunstancias”. Y hay más, como digo solo he listado lo que considero absolutamente innecesario y por ello lo destaco.

Pero tranquilos que justo a continuación dice “Nuca venderemos o alquilaremos tu información a una tercera entidad”. Será sarcástico, ¿no? Nos quedamos más tranquilos sabiendo que se los dan gratis a un selecto grupo, ¿verdad?

¿Cuánto tiempo retendremos los datos personales?

La primera frase lo dice todo: “solo retendremos los datos personales por el tiempo necesario para el propósito por el han sido recopilados”.

Ojo aquí, que en el apartado anterior no he puesto que también hay un punto, más lógico éste, sobre que se revelarán datos si son requeridos por la justicia. Solo esto puede justificar retener los datos incluso algunos años (dependiendo del caso justificado).

Vamos, que los van a retener un tiempo claramente, o al menos podrían hacerlo justificando los puntos referentes a los propósitos que ponen en la página y que (¡ojo!) estamos aceptando al utilizar las aplicaciones y servicios de esta empresa.

El siguiente punto es de traca.

¿Dónde guardamos tus datos personales y cómo los protegemos?

De nuevo la primera frase es lapidaria: “toda la información que nos provees es almacenada en nuestros servidores internos y en los servidores de las terceras partes, todos ellos seguros”.

Si los datos salen a los servidores de otras partes (cosa que es normal viendo los supuestos en los que se revelarán los datos) podéis entender que el control y seguridad que pese sobre ellos es algo de muy difícil por no decir imposible. La parte sobre seguridad cuando hay varias empresas implicadas se complica sobre manera puesto que ahora se multiplica el número de servidores donde estarán nuestros datos y que podrían ser atacados con éxito.

Un poco más abajo hay un párrafo que menciona expresamente los acuerdos que tienen con terceras las partes para cumplir los requerimientos de la legislación cuando se transfieren datos a lugares diferentes del origen.

No os dejéis engañar. Aquí el problema que tenemos es que la legislación actual es todavía demasiado permisiva en materia de privacidad con este asunto.

El último párrafo de este apartado tiene una referencia “graciosa” sobre el hecho de que la protección de nuestros datos personales no depende solo de los mecanismos de seguridad de la compañía sino también de la seguridad de las comunicaciones con las que nos comuniquemos con la página de la compañía. Diciendo: “cualquier transmisión [de datos] es a tu propio riesgo”.

Por una parte podría parecer de perogrullo decir que hay que usar canales seguros para comunicarse a través de Internet. Sin embargo, por otro lado parece un poco excesivo que una empresa que comercializa productos de seguridad le diga eso a sus clientes.

Muy interesante es el siguiente apartado.

¿Qué derechos tienes con respecto a tus datos personales?

Se dice que dependiendo de la legislación de protección de datos de nuestro país de residencia (ojo al detalle) podemos tener derecho a ejercer diferentes derechos. En nuestro caso los que nos otorga el RGPD.

A continuación se dice que podemos oponernos al procesado de nuestros datos personales en algunas circunstancias. Y aquí se supone que nos podemos oponer a cualquier supuesto pues el texto solo expresa algunos ejemplos, citados como ejemplos y sin limitaciones. La exposición resulta poco clara.

Eso sí, también se dice después que la empresa podría requerir la solicitud de información adicional nuestra para verificar nuestra identidad o entender el alcance de nuestra solicitud, aunque no se nos requerirá crear una cuenta con la empresa para enviar la solicitud o rellenarla.

Si alguien entiende esto que me lo explique, por favor. Se supone que se pondrán en contacto con nosotros por otro medio para ello, entiendo. Y luego no almacenarán información personal de esa conversación, ¿no? Que para eso estamos diciendo que no queremos que la procesen. ¿En serio tengo que decir por qué no quiero que procesen mis datos personales para ninguna de esas cosas que no me hacen falta para nada? Me parece increíble.

Después se añade que podrían enviarnos comercialización directa sin requerir nuestro consentimiento, basándose en su “legítimo” interés en comercializar sus productos con nosotros.

Pues muy bien, hombre, muy bien. Viva el interés legítimo en saltarse el consentimiento de los clientes… Menos mal que en el siguiente párrafo hay un enlace para renunciar al marketing directo. Lo que quiere decir que la única forma de evitarlo es ir a la página de la declaración de privacidad y seguir el enlace. Es una técnica bien conocida: escóndelo lo mejor que puedas. Lamentable.

Después de leer todo esto, me vienen a la cabeza son dos cosas.

La primera es preguntarme si el responsable que ha elegido esta aplicación y que a tenido a feliz idea de instalarla en los smartphones personales de los médicos es consciente de esta información y sus implicaciones. Si me la tuviera que jugar tendría claro a qué apostar en este sentido.

La segunda cosa que me pregunto es, ¿y no habrá otra app que haga lo mismo y nos dé más garantías?

Para ello, el recurso más rápido que tengo es buscar en F-Droid, un repositorio de aplicaciones para Android donde solo podemos encontrar Software Libre.

Buscando he encontrado 4 aplicaciones. Con una vista por encima deduzco rápidamente que solo una tiene pinta de poder encajar en este supuesto: Aegis.

Para empezar es Software Libre, es decir auditable puesto que su código fuente está disponible.

La última actualización es de finales de enero de 2020.

Los permisos que necesita son tan solo acceso a la cámara y el uso de software biométrico (que obviamente es opcional) puesto que se puede desbloquear la aplicación con la huella dactilar. Pero, como digo, es opcional puesto que podemos controlar el acceso a la app con una contraseña. (Por cierto, cuidado con la biometría es un arma de doble filo).

Y si esta app no necesita acceso al almacenamiento del teléfono no entiendo por qué la otra sí lo necesita para funcionar. Pero como soy mal pensado a consecuencia de todas las cosas que ya se han publicado esto me hace pensar mal. Recordad que estamos hablando de una aplicación que se va a instalar en el teléfono personal de un trabajador.

Además, en el caso de Aegis, si el funcionamiento de la app requiriese algún cambio se le podría pagar a su desarrollador por ello o incluso se podría hacer un fork (una copia del proyecto para desarrollarlo en paralelo, cosa permitida por la licencia) y modificarla a placer, sin tener que hacerla desde cero y por tanto optimizando recursos.

Después de ver todo esto, si yo fuese el médico intentaría no instalar la aplicación que le recomienda el servicio informático de su empresa en su móvil.

Lamentablemente, en Castilla y León tenemos una administración muy poco dada al uso de Software Libre. Páginas web de la Junta en las que hay que hacer trámites con Internet Explorer, centros educativos utilizando sistemas Windows y Microsoft Office (con lo que luego los alumnos en su casa se ven forzados a usarlos también, y ¡¡¡cuestan dinero!!!, un gasto innecesario para las familias).

¿Qué intereses habrá en la administración pública para hacer estas cosas? Y si no son intereses, ¿cómo es posible que a estas alturas haya tanta ignorancia?

Agradecimientos:

Me gustaría agradecer a mi amigo Guillermo Rodríguez su amabilidad y trabajo al revisar el borrador de este artículo y proporcionarme enlaces para complementarlo.

Muchas gracias también a Petar Georgiev Aleksandrov por compartir sus conocimientos sobre Android conmigo.