La “cookie” de Facebook que estaría recopilado información médica a través de las webs de varios hospitales norteamericanos.

  • Santiago Appdemecum
  • Salud Digital
El acceso al contenido completo es sólo para profesionales sanitarios registrados. El acceso al contenido completo es sólo para profesionales sanitarios registrados.

Dos prestigiosos medios informativos de Estados Unidos, los periódicos Stat News (de información sanitaria) y The Marckup (de información tecnológica), han coeditado un reportaje que puede tener una enorme relevancia en relación con los sistemas de salvaguarda de información clínica en Estados Unidos, y tal vez en otros países. Según lo publicado, Facebook estaría usando una técnica que se emplea para el seguimiento de la actividad publicitaria de las páginas web con la finalidad de extraer datos clínicos, que obtendría a través de los portales de varios hospitales norteamericanos.

La información, en los términos en que se ha publicado, indica que este fallo de seguridad afectaría a la confidencialidad de los pacientes, e incluiría detalles sobre sus condiciones clínicas, recetas y citas médicas, y habría sido enviada directamente a Facebook.

Qué hace el sistema Meta Píxel de Facebook.

Para entender el sistema que según estos medios se ha empleado, hay que entender antes qué es y qué hace la herramienta de Facebook denomina Meta Píxel, y que es utilizada en millones de webs de todo el mundo.

Se trata de un código que se inserta en las páginas web y funciona como una herramienta de análisis en tiempo real. Este código hace posible recolectar la información de los usuarios que se pueda utilizar posteriormente para optimizar los anuncios, construir audiencias segmentadas o reiterar los mensajes a determinados tipos de público, según la actividad de navegación que se halla realizado.

Según informa la propia Facebook a los desarrolladores, “puedes utilizar el píxel de Meta para hacer un seguimiento de las acciones de los visitantes de tu sitio web, un procedimiento también conocido como seguimiento de las conversiones”. 

 

meta1-1

 

 

Lo que revela la información.

En la investigación desarrollada por Stat News y The Markup, se testaron las webs de los 100 mayores hospitales en Estados Unidos, según una clasificación publicada anteriormente por la revista Newsweek. En 33 de ellas se encontró el rastreador Meta Pixel, y se comprobó de manera efectiva que enviaba a Facebook un paquete de datos cada vez que una persona interactuaba con un botón para programar una cita con el médico. 

Uno de los ejemplos que recoge la investigación es el del University Hospitals Cleveland Medical Center. Comprobaron que al hacer clic en el botón "Planificar cita" en la página correspondiente a un médico determinado, el Meta Pixel enviaba a Facebook el contenido de esa solicitud (planificar cita), el nombre del médico requerido, pero también el término de búsqueda que se utilizó para encontrarle y llegar hasta él, por ejemplo “interrupción del embarazo”. El sistema permite recopilar información exacta del trazado de navegación que ha llevado a un usuario hasta un determinado punto. De esta manera, se puede saber cuál es el origen de la necesidad del paciente, la que ha empleado en su semántica de búsqueda para encontrar a un profesional.

También se verificó que el código de Meta Pixel estaba instalado en varios portales para pacientes, a los que se accede sólo con contraseña, de siete organizaciones sanitarias que ofrecían atención primaria y especializada. En cinco de las páginas de esos sistemas, los investigadores usaron pacientes reales que se ofrecieron como voluntarios para realizar una prueba consistente en gestionar una determinada solicitud, y se pudo documentar que efectivamente se enviaban datos a Facebook. 

Para acreditar esto se empleó la herramienta Rally de Mozilla, que permite hacer una especie de desvío hacia otra página (en esta caso a la de The Markup) para acreditar el contenido que salió de su origen. Se puso en evidencia que los datos enviados a Facebook incluían los nombres de los medicamentos de los pacientes, descripciones de sus reacciones alérgicas o detalles sobre sus próximas citas médicas.

Los 33 hospitales que parecen implicados en esta fuga de información hacia Facebook realizaron más de 26 millones de admisiones de pacientes y visitas ambulatorias en 2020, según los datos más recientes de la Asociación Estadounidense de Hospitales. Hay que tener en cuenta que la investigación se limitó a esos 100 hospitales, de los que un tercio estaban afectados por el recolector de información. Es probable que el intercambio de datos afecte a muchos más pacientes e instituciones de las que fueron identificadas inicialmente.

Hay que tener en cuenta que Facebook es una empresa que vive de la publicidad, y que utiliza los sistemas de rastreo para ofrecer anuncios que encajen de manera muy precisa con las preferencias de los usuarios. Lo más probable es que la fuga de información se empleara sólo con la finalidad de mostrar anuncios. En principio, se descarta la utilización de la información para otras finalidades. Según The Markup, no se pudo determinar si Facebook usó los datos para orientar esos anuncios, entrenar sus algoritmos de recomendación u obtener ganancias de otras formas.  

 

meta2

  

 

 

¿Cómo se insertó el código en las páginas? 

La información publicada no explica cómo el código de Meta Píxel pudo llegar a instalarse en las webs de los hospitales, pero puede advertirse que seguramente se hizo por iniciativa de quienes las diseñaron y pusieron en funcionamiento, y con la pretensión de mejorar los datos de navegación. No obstante, los efectos han ido más allá, y han comprometido información de carácter clínico y del espacio privado de los pacientes, incluso los de sus áreas de acceso privado.

Los periódicos que han publicado este reportaje han hecho una consulta a varios expertos en ciberseguridad sanitaria, y hay una coincidencia general en que los hospitales podrían haber violado la Health Insurance Portability and Accountability Act (HIPAA), que prohíbe a las organizaciones sanitarias compartir información médica de identificación personal con terceros, como Facebook, excepto cuando el paciente haya dado su consentimiento expreso por adelantado o en virtud de ciertos contratos que se hayan suscrito libremente.

Estamos ante un caso relevante de ciberseguridad sanitaria, y que añade un nuevo capítulo en las amenazas que gravitan sobre la información clínica digital de los pacientes. Una gran “cookie” instalada, y que ha estado mandando información de forma sistemática sin que nadie lo advirtiera.