Resumen del hallazgo de Mozilla
Una investigación reciente llevada a cabo por el equipo de seguridad de Mozilla ha puesto bajo la lupa a Stardust, una popular aplicación de seguimiento menstrual. El estudio reveló que la herramienta, que se promociona como una solución que protege la intimidad de sus usuarias, está enviando información médica delicada a la empresa de análisis de datos RudderStack. Este intercambio ocurre sin que la mayoría de los usuarios lo perciban, lo que genera serias dudas sobre la veracidad de las promesas de privacidad que la propia app hace en su sitio web.
Tipos de información transmitida
Entre los datos que se comparten se encuentran la fecha de nacimiento, el método anticonceptivo utilizado, los objetivos reproductivos y los síntomas específicos que la persona ha registrado. Cada registro se asocia a un identificador único, sustituyendo el nombre real, pero la Comisión Federal de Comercio (FTC) advierte que este método no garantiza el anonimato y que la información podría volver a vincularse a la identidad del individuo.
Riesgos inherentes al intercambio con terceros
Cuando una aplicación de salud envía datos a proveedores externos, se abre la puerta a vulnerabilidades como brechas de seguridad, accesos no autorizados o solicitudes de autoridades judiciales. En el caso de Stardust, tanto la compañía como RudderStack están sujetas a la legislación estadounidense, lo que implica que podrían recibir requerimientos de entrega de datos por parte de la policía o de otras entidades gubernamentales.
Contexto y antecedentes
Stardust ganó notoriedad en 2022 después de que la Corte Suprema de EE. UU. revocara el derecho constitucional al aborto, lo que provocó un aumento masivo de descargas. En aquel entonces, la empresa afirmaba que sus comunicaciones estaban cifradas de extremo a extremo, asegurando que ni siquiera ella podía acceder a la información. Sin embargo, un análisis previo de TechCrunch demostró que esa afirmación era falsa, al interceptar el tráfico de red y observar la transmisión de datos a servidores externos.
Comparativa con otras aplicaciones
La investigadora de Mozilla, Shoshana Wodinsky, examinó seis rastreadores de ciclo menstrual. Stardust fue la única que compartió datos sensibles con un tercero. Como alternativa más segura, Mozilla recomendó la aplicación Euki, que no envía información fuera del dispositivo y mantiene los datos de salud completamente locales.
Respuesta de la empresa y conclusiones
Un portavoz de Stardust declaró que RudderStack está “contractualmente prohibido de vender o usar la información para sus propios fines”. No obstante, la realidad jurídica de EE. UU. permite que ambas compañías reciban demandas de entrega de datos. La fundadora de Stardust, Rachel Moranis, no respondió a los intentos de entrevista de TechCrunch, y el portavoz solo confirmó la recepción de un correo sin ofrecer más detalles.
Este caso subraya la necesidad de que los usuarios revisen detenidamente las políticas de privacidad de las apps de salud y consideren alternativas que mantengan la información estrictamente en el dispositivo. La confianza depositada en herramientas digitales para gestionar aspectos tan íntimos como la menstruación debe estar respaldada por garantías técnicas y legales sólidas.