Por Canuto  

Una investigación de Mozilla señala que Stardust compartió con RudderStack datos sensibles como fechas de nacimiento, anticonceptivos, objetivos reproductivos y síntomas, pese a sus promesas de privacidad.
***

  • Mozilla identificó a Stardust como la única de seis aplicaciones analizadas que compartía datos sensibles de salud con otra compañía.
  • La información se vinculaba a un identificador único, una práctica que no garantiza el anonimato ni evita su asociación con una persona.
  • RudderStack aseguró que tiene prohibido contractualmente vender los datos o utilizarlos para sus propios fines, pero ambas empresas operan en Estados Unidos.

 

La aplicación de seguimiento de períodos Stardust enfrenta nuevos cuestionamientos sobre sus prácticas de privacidad. Una investigación de Mozilla concluyó que el servicio compartía información sensible de salud de algunos usuarios con la empresa de análisis RudderStack.

El hallazgo, reportado por TechCrunch, contrasta con el mensaje central de Stardust en su sitio web: “Tus datos son privados. Punto”. La revisión sugiere que esa afirmación podría presentar una imagen más amplia de la protección ofrecida por la aplicación que la observada en su funcionamiento técnico.

Los datos enviados a RudderStack incluían la fecha de nacimiento del usuario, el tipo de anticonceptivo utilizado, los objetivos reproductivos y síntomas específicos. La información no estaba asociada directamente con el nombre de la persona, sino con un identificador único.

Mozilla advirtió que ese mecanismo no convierte automáticamente los registros en anónimos. La Comisión Federal de Comercio de Estados Unidos, conocida como FTC, ha señalado durante mucho tiempo que los identificadores pueden permitir vincular información con una persona concreta.

La investigación también puso el foco en una característica poco visible de las aplicaciones móviles. El intercambio de datos puede ocurrir en segundo plano, sin que el usuario observe con claridad qué información sale del dispositivo ni qué servicios externos la reciben.

Qué información puede salir de una app de salud

Las aplicaciones de seguimiento de períodos recopilan datos relacionados con el ciclo menstrual, la anticoncepción, los síntomas y las decisiones reproductivas. Por su naturaleza, esos registros pueden revelar aspectos íntimos de la vida de una persona, incluso cuando no incluyen su nombre.

El caso de Stardust muestra que la privacidad no depende únicamente de la pantalla que ve el usuario. También depende de las conexiones internas de la aplicación, de los proveedores que procesan la información y de las políticas que regulan cada transferencia.

Las empresas suelen compartir datos con terceros para funciones como almacenamiento, análisis y procesamiento de pagos. Mozilla destacó que esas prácticas no son inusuales, pero cada conexión adicional crea nuevos puntos de exposición.

Un proveedor externo puede sufrir una falla de seguridad, enfrentar una filtración o recibir una solicitud de información por parte de las autoridades. La existencia de un contrato comercial no elimina por sí sola esos riesgos operativos y legales.

En este caso, los registros compartidos no eran simples métricas de uso. Incluían elementos sobre anticoncepción, objetivos reproductivos y síntomas, categorías que pueden revelar decisiones médicas o personales de gran sensibilidad.

El análisis del tráfico y el antecedente de 2022

La investigadora de seguridad de Mozilla, Shoshana Wodinsky, utilizó una técnica de análisis del tráfico de red para estudiar el comportamiento de varias aplicaciones de seguimiento de períodos. El método permite observar las comunicaciones que ocurren cuando una aplicación envía o recibe información.

Wodinsky examinó seis aplicaciones para determinar cómo recopilaban datos y si los compartían con servicios externos. Stardust fue la única de las seis que, según los resultados, compartía datos sensibles de salud del usuario con otra compañía.

El análisis recuerda un episodio anterior relacionado con la aplicación. En 2022, TechCrunch informó sobre Stardust después de que el servicio registrara un aumento en sus descargas tras la anulación del derecho constitucional a buscar un aborto en Estados Unidos.

En ese momento, Stardust afirmó que utilizaba cifrado de extremo a extremo. Esa modalidad implica que ni siquiera la empresa debería poder acceder a los datos de sus usuarios, porque solo los extremos autorizados tendrían las claves necesarias.

Sin embargo, el análisis del tráfico de red realizado entonces por TechCrunch concluyó que esa afirmación era falsa. El antecedente resulta relevante porque muestra que las promesas de privacidad deben contrastarse con el comportamiento técnico observable de una aplicación.

La respuesta de Stardust y los riesgos legales

Un portavoz de Stardust declaró, según BBC News, que RudderStack está “contractualmente prohibido de vender o usar los datos para sus propios fines”. Esa respuesta se centra en las restricciones comerciales que existirían entre ambas empresas.

La prohibición contractual no responde por completo a la preocupación planteada por la investigación. Incluso si el tercero no puede vender la información, el simple almacenamiento o procesamiento externo puede ampliar la superficie de riesgo para los usuarios.

Stardust y RudderStack son empresas basadas en Estados Unidos. Por esa razón, ambas podrían recibir solicitudes de las fuerzas del orden relacionadas con información de salud almacenada en sus servidores.

La fundadora de Stardust, Rachel Moranis, no respondió a la solicitud de comentarios de TechCrunch el jueves. Tampoco respondió preguntas sobre si la compañía había recibido solicitudes de las autoridades para entregar datos de sus usuarios.

Un portavoz reconoció haber recibido un correo electrónico, pero no proporcionó comentarios. La ausencia de una explicación adicional deja abiertas preguntas sobre el alcance de los datos compartidos, los controles aplicados y las solicitudes que la empresa podría haber recibido.

Euki como alternativa destacada por Mozilla

Entre las seis aplicaciones probadas, Mozilla recomendó Euki como una opción “impecable”. La organización no observó que la aplicación compartiera datos con terceros en sus funciones principales.

Otro elemento destacado fue la ubicación de la información. En el caso de Euki, los datos de salud del usuario no abandonaban su dispositivo durante las funciones principales evaluadas.

La diferencia con Stardust no significa que todas las aplicaciones de salud deban funcionar de la misma manera. Sí muestra que existen modelos técnicos capaces de reducir la dependencia de servicios externos para manejar información íntima.

Para los usuarios, la comparación plantea una pregunta práctica: qué ocurre con los datos después de introducirlos en una aplicación. Revisar las políticas de privacidad puede ayudar, aunque el análisis técnico también resulta necesario para conocer las transferencias que ocurren en segundo plano.

El caso refuerza la importancia de evaluar las promesas de privacidad junto con la arquitectura del servicio. En aplicaciones que manejan información reproductiva, el control sobre el dispositivo y la limitación de terceros pueden ser factores decisivos.

Un problema que alcanza a todo el ecosistema móvil

La investigación de Mozilla no se limita a una aplicación específica. También ilustra cómo las aplicaciones móviles pueden integrar proveedores de análisis sin que el intercambio sea evidente para quienes las utilizan.

En los mercados digitales, las herramientas de análisis ayudan a las empresas a medir el uso de sus productos. Sin embargo, el valor comercial de esos sistemas debe equilibrarse con la sensibilidad de los datos que reciben.

El riesgo aumenta cuando la información se relaciona con salud, sexualidad o decisiones reproductivas. Un identificador único puede parecer menos revelador que un nombre, pero aún puede servir para conectar distintos registros sobre la misma persona.

La advertencia de la FTC resulta relevante en este contexto. La sustitución del nombre por un identificador no garantiza que una base de datos sea anónima ni impide necesariamente que terceros reconstruyan la identidad del usuario.

El caso Stardust deja una lección para consumidores y desarrolladores. La privacidad debe evaluarse mediante políticas claras, controles técnicos verificables y límites estrictos sobre qué información puede abandonar el dispositivo.


Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.

Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.


ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.

Suscríbete a nuestro boletín