Facebook ha sido capturada, otra vez, con las manos en la masa. Una reciente investigación de The Markup expone que la compañía ha estado usando rastreadores de internet —las famosas cookies— para redireccionar datos confidenciales de los pacientes a sus propios servidores. Entre esta información, se reporta que han recolectado prescripciones, citas médicas e incluso los padecimientos.
En la investigación, el citado medio tomó en cuenta a los 100 hospitales más importantes de los Estados Unidos. El resultado fue sorprendente, y es que un tercio de ellos estaban siendo rastreados por la compañía. Específicamente el rastreador fue encontrado en 33, bajo el nombre de Meta Pixel.
¿Qué hace Facebook exactamente? Crea una especie de "recibo" con la información suministrada por la persona. Por supuesto, dicho recibo viene adjunto a la dirección IP única del ordenador o dispositivo desde el que se emite la petición. De esta forma, Facebook no solo estaba extrayendo los datos de la cita, sino también los datos de ubicación de quien la solicitaba.
El rastreador de Facebook puesto a prueba
Desde The Markup comentan los resultados de una prueba usando la web del Centro Médico de los Hospitales Universitarios de Cleveland. El reporte indica que, al intentar ver el horario de disponibilidad de algún doctor en la plataforma, el rastreador de Meta Pixel se activaba de forma automática. Así, no solo enviaba los datos ingresados en el formulario de la cita, sino también el nombre del profesional médico, junto a los términos usado para encontrarlo en internet. Para el ejemplo, usaron las palabras "interrupción de embarazo".
Este mismo procedimiento se llevó a cabo usando la web del Hospital Froedtert, en Wisconsin. En esta ocasión, el rastreador envió a Facebook el texto del formulario, el nombre del profesional médico y la enfermedad reportada. Para este otro ejemplo se usó el Alzheimer.
En cinco de las páginas de esos sistemas, documentamos el envío de datos de Facebook por medio de píxeles sobre pacientes reales que se ofrecieron a participar en el proyecto Pixel Hunt, una colaboración entre The Markup y Mozilla Rally.
Los datos enviados a los hospitales incluían los nombres de los medicamentos de los pacientes, descripciones de sus reacciones alérgicas y detalles sobre sus próximas citas médicas.
The Markup
Meta Pixel también quiere contraseñas
Pero la historia no acaba aquí. Según informan, el rastreador de Facebook fue encontrado también dentro de las contraseñas supuestamente protegidas de los pacientes. De los 100 hospitales en revisión, esta vulnerabilidad fue encontrada en 7 de ellos.
Sin embargo, tanto los hospitales como Meta aseguraron no tener ningún tipo de contrato en pie. Además, The Markup no encontró ningún indicio que sugiriera un consentimiento por parte de los usuarios a ser rastreados con el Meta Pixel, por lo que todo apunta a que podría tratarse de una violación a la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA por sus siglas en inglés) de parte de los hospitales.
"Me preocupa profundamente lo que los hospitales están haciendo con la captación de los datos y el hecho de compartirlos. No puedo decir que compartir estos datos sea con seguridad una violación de la HIPAA, pero es muy probable que sea una violación."
David Holtzman, consultor en materia de privacidad en el ámbito de la salud.
Muchos hospitales no han respondido
Por supuesto, tras este descubrimiento, The Markup decidió notificar a los hospitales en cuestión sobre la existencia del rastreador Meta Pixel. No obstante, la mayoría de ellos se abstuvieron de ofrecer una respuesta.
Sin embargo, para el 15 de junio, seis hospitales habían retirado ya el rastreador de sus webs. Otros cinco de los siete sistemas de salud que contaban con el Meta Pixel de Facebook instalado también encontraron la forma de eliminarlos de sus plataformas.
Se trata de un ejemplo extremo de hasta dónde llegan los tentáculos de las grandes empresas tecnológicas en lo que consideramos un espacio de datos protegido. Creo que esto es espeluznante, problemático y potencialmente ilegal.
Nicholson Price, profesor de Derecho de la Universidad de Michigan
Desde 2020, los 33 hospitales infectados con el Meta Pixel han admitido una cifra aproximada a 26 millones de pacientes. El número, por supuesto, es espeluznante, considerando que gran parte de este número habrá insertado sus datos desde las webs de cada centro de salud.
Asimismo, The Markup hace hincapié en que su investigación se limitó a 100 hospitales, pero es bastante probable que encontremos el rastreador de Facebook en muchísimos más a nivel nacional —e incluso internacional—.