A diferencia de los sistemas de monitoreo de salud tradicionales, las apps de bienestar operan en una zona gris regulatoria. No se los consideran dispositivos médicos, pero capturan y procesan datos que, en términos técnicos y de riesgo, son equivalentes o incluso más peligrosos que los registros clínicos clásicos. Ritmos cardíacos, patrones de sueño, niveles de estrés inferidos, estados emocionales, hábitos de consumo, ciclos hormonales y, en algunos casos, información genética, se recopilan bajo la promesa de anonimato y consentimiento generalizado, pero con prácticas técnicas que contradicen esa narrativa.
Como advierte la Agencia de la Unión Europea para la Ciberseguridad (ENISA), el problema ya no es solo la filtración de datos, sino la capacidad de correlacionar y explotar información sensible en ecosistemas altamente interconectados, especialmente en sectores como el de la salud, donde los datos clínicos y personales son un objetivo central para ataques de ransomware y exfiltración de datos. El informe de Threat Landscape para el sector de la salud documenta que una proporción significativa de incidentes reportados implicó robo o exposición de información sanitaria, subrayando la criticidad de abordar riesgos más allá de la simple filtración superficial de datos. (https://www.enisa.europa.eu/publications/health-threat-landscape)
La falacia del anonimato en datos biométricos y conductuales
Desde un punto de vista matemático y estadístico, los datos biométricos y conductuales son inherentemente identificables. No se comportan como un nombre o un número de documento que pueda eliminarse sin más. Funcionan como huellas digitales de alta dimensionalidad.
Estudios académicos han demostrado que datos biométricos como los patrones de variabilidad de la frecuencia cardíaca (HRV) durante el sueño pueden capturar características fisiológicas distintivas y ser usados para inferir estados individuales. Por ejemplo, investigaciones sobre clasificación automática de etapas del sueño a partir de señales de HRV muestran que algoritmos de aprendizaje profundo pueden inferir patrones de sueño individuales con precisiones del orden del 77 % basándose únicamente en HRV y datos relacionados con el ritmo cardíaco, lo que demuestra la potencialidad de estos datos para diferenciar individuos incluso cuando la información primaria es reducida o “anonimizada” (https://pubmed.ncbi.nlm.nih.gov/31578345/). En términos de ciberseguridad, esto implica que la anonimización tradicional es insuficiente frente a técnicas modernas de machine learning y cross-dataset linkage.
El organismo regulador de los Estados Unidos, la Federal Trade Commission (FTC), ha documentado que múltiples apps y servicios de salud digital comparten información sensible con terceros (incluyendo redes publicitarias y plataformas de analítica) sin un consentimiento informado y explícito de los usuarios, e incluso en violación de normas como la Health Breach Notification Rule. La propia FTC señala que datos de salud recopilados por aplicaciones, como hábitos, indicadores fisiológicos y actividades de bienestar, pueden transmitirse a múltiples terceros, lo que plantea riesgos de privacidad significativos para los usuarios cuando esos datos se correlacionan o se reutilizan fuera del contexto original. (https://www.ftc.gov/business-guidance/resources/mobile-health-apps-interactive-tool)
Reidentificación avanzada: cuando los patrones hablan más que los nombres
Desde el punto de vista técnico, la reidentificación en apps de bienestar ocurre por tres vectores principales:
Primero, la unicidad de los patrones biométricos. La combinación de señales de sensores de dispositivos portátiles (incluyendo ritmo cardíaco, actividad y otros datos de series temporales) puede permitir la reidentificación de personas aun cuando los datasets han sido “anonimizados”. Una revisión sistemática publicada en The Lancet Digital Health encontró que, en múltiples estudios sobre datos de wearables (dispositivos electrónicos portátiles que se llevan puestos en el cuerpo y que recolectan datos biométricos o de actividad de forma continua), las tasas de identificación correctas (correct identification rates) alcanzaron entre 86 % y 100 %, y que tan solo 1 a 300 segundos de datos de sensores pueden ser suficientes para reidentificar sujetos cuando se aplican algoritmos avanzados de comparación de series de tiempo. (https://doi.org/10.1016/S2589-7500(22)00234-5)
Segundo, la correlación temporal y contextual. Los datos de bienestar no existen en el vacío. Se cruzan con información de localización, uso del dispositivo, patrones laborales y eventos externos. Un pico de estrés recurrente en determinadas franjas horarias puede correlacionarse con un tipo de trabajo, una ciudad o incluso una empresa específica.
Tercero, el cross-dataset linkage. Cuando datasets de salud y bienestar se combinan con otra información de terceros (por ejemplo, redes sociales, historiales de consumo o repositorios clínicos), la reidentificación deja de ser un riesgo teórico y se convierte en una amenaza práctica, ya que la correlación entre fuentes múltiples puede reconstruir identidades y perfiles sensibles incluso cuando cada dataset fue “anonimizado” por separado. Esta complejidad y vulnerabilidad del ecosistema de datos sanitarios es un desafío real para la ciberseguridad del sector, como documenta la guía de buenas prácticas de seguridad emitida por la Agencia de la Unión Europea para la Ciberseguridad (ENISA) en el contexto de la creciente interconexión de sistemas y amenazas en el sector de la salud digital (https://www.enisa.europa.eu/publications/cyber-hygiene-in-the-health-sector)
APIs, SDKs y la superficie de ataque invisible
Un aspecto frecuentemente ignorado es la arquitectura técnica de estas aplicaciones. La mayoría de las apps de bienestar modernas no son sistemas cerrados. Funcionan como nodos dentro de un ecosistema de APIs, SDKs de terceros y servicios cloud.
Los dispositivos wearables exponen APIs para sincronizar datos con aplicaciones móviles y plataformas de terceros. Estas APIs, en muchos casos, utilizan modelos de autenticación débiles, tokens de larga duración y controles de acceso excesivamente amplios. Vulnerabilidades en este nivel permiten no solo la exfiltración de datos, sino también la manipulación de métricas biométricas, con implicancias serias para sistemas que alimentan modelos predictivos.
Investigaciones de seguridad han demostrado que múltiples mHealth (mobile health) y apps de bienestar presentan vulnerabilidades que afectan la seguridad de autenticación y autorización, incluyendo fallas en la implementación de protocolos de acceso como OAuth que pueden conducir a fugas de credenciales o exposición de datos. Un estudio de aplicaciones de salud y fitness reveló vulnerabilidades de seguridad generalizadas, tales como codificación insegura, configuración incorrecta de permisos y comunicación excesiva con dominios de terceros, que incrementan la superficie de ataque y la posibilidad de que mecanismos de acceso compartido como OAuth sean explotados para acceder indebidamente a datos de usuarios. (https://arxiv.org/abs/2409.18528).
A esto se suma el uso extendido de SDKs de analítica y publicidad en apps de meditación, sueño y bienestar emocional. Un análisis de más de 20.000 aplicaciones de salud móvil (mHealth apps) revela que la mayoría recolecta y puede compartir datos de usuarios con servicios externos de publicidad y tracking, dado que muchas aplicaciones integran bibliotecas de terceros para publicidad y analítica que facilitan este tipo de seguimiento sin transparencia completa. Esto demuestra que la presencia de rastreadores de terceros y la recolección de datos más allá de lo declarado en las políticas de privacidad es una práctica frecuente en el ecosistema de apps de salud y bienestar. (https://www.bmj.com/content/373/bmj.n1248).
Casos de mercado: más allá de la marca, el modelo
Plataformas como Fitbit (integrada en el ecosistema de Google), Oura Ring o aplicaciones como Calm y Headspace representan tendencias estructurales del mercado. No se trata de casos aislados ni de malas prácticas puntuales, sino de modelos de negocio basados en la explotación secundaria de datos.
La adquisición de Fitbit por Google encendió alertas de privacidad y preocupaciones regulatorias dado que permitirá a Google acceder a datos sensibles de salud y actividad de millones de usuarios, lo que podría incrementar su capacidad de acumular perfiles detallados y correlacionarlos con otros datos dentro de su ecosistema. El European Data Protection Board (EDPB) advirtió que “la posible combinación y acumulación de datos personales sensibles sobre personas en Europa por parte de una gran empresa tecnológica podría implicar un alto nivel de riesgo para los derechos fundamentales de privacidad y protección de datos”, incluso cuando la empresa promete mantener los datos separados y no utilizarlos con fines publicitarios. (https://www.medianama.com/2020/02/223-google-fitbit-acquisition-edpb-privacy/).
A esto se suma el uso extendido de SDKs de analítica y publicidad en apps de meditación, sueño y bienestar emocional. Múltiples estudios académicos y análisis de privacidad han encontrado que una gran proporción de mobile health apps comparten datos de usuarios con servicios externos de terceros para publicidad y seguimiento, incluso cuando las políticas de privacidad no lo reflejan claramente. En una evaluación de 36 apps para depresión y cesación de fumar, por ejemplo, el 81 % transmitió datos a terceros como Google o Facebook para publicidad o análisis, con poca o ninguna divulgación adecuada en las políticas de privacidad. (https://pubmed.ncbi.nlm.nih.gov/31002321/).
El nuevo riesgo emergente: biometría sintética y deepfakes fisiológicos
Un vector de riesgo emergente, aún poco discutido fuera de círculos académicos, es el uso de datos biométricos reales para entrenar modelos capaces de generar biometría sintética. Ritmos cardíacos, patrones respiratorios y respuestas fisiológicas pueden ser replicados o simulados mediante modelos generativos.
Esto habilita escenarios de deepfake biometrics, donde sistemas de autenticación basados en señales fisiológicas pueden ser vulnerados: por ejemplo, ataques a autenticación biométrica basada en señales de PPG (técnica óptica no invasiva que usa luz Led y fotodetectores para medir cambios en el volumen de sangre en los tejidos) han demostrado que estas señales pueden ser extraídas o restauradas a partir de video y utilizadas para engañar sistemas de autenticación, poniendo de manifiesto vulnerabilidades prácticas en modelos biométricos que dependen de datos fisiológicos (https://arxiv.org/abs/2203.00928).
En un futuro cercano, la combinación de datos de bienestar, genómica directa al consumidor y modelos generativos plantea riesgos que exceden ampliamente el robo de datos tradicional. Se trata de la manipulación de identidades fisiológicas.
Consentimiento: un problema técnico, no solo legal
Uno de los errores conceptuales más frecuentes es tratar el consentimiento como una cuestión meramente jurídica. Desde la ciberseguridad, el consentimiento es un problema de arquitectura de sistemas. Si una plataforma no está diseñada para aplicar controles de acceso granulares, revocables y auditables, el consentimiento informado es técnicamente imposible.
La FTC (Federal Trade Commission de Estados Unidos) explicó cómo algunas aplicaciones de salud y bienestar no cumplen los compromisos de privacidad, compartiendo datos sensibles de usuarios con terceros incluso cuando esto contradice lo que se había afirmado a los usuarios. En su sitio de consejos al consumidor, la FTC describe casos en los que apps de salud prometieron mantener privada la información sensible, pero luego compartieron datos personales con redes de publicidad o plataformas de análisis, lo cual puede suponer prácticas engañosas y violaciones de la confianza del usuario. (https://consumer.ftc.gov/consumer-alerts/2024/04/when-companies-share-your-personal-information-without-your-permission).
Conclusión: bienestar digital en una era de vigilancia fisiológica
Las apps de bienestar no son inocuas. Constituyen sensores distribuidos de alta resolución sobre la vida biológica y emocional de millones de personas. Desde una perspectiva de ciberseguridad, el riesgo no reside únicamente en una posible filtración, sino en la acumulación silenciosa, la reidentificación algorítmica y el uso predictivo de datos que definen quiénes somos a nivel fisiológico.
El desafío para los próximos años no será solo proteger bases de datos, sino repensar la arquitectura misma de la salud digital. Sin mecanismos técnicos de minimización real, anonimización robusta y control efectivo por parte del usuario, el bienestar digital corre el riesgo de convertirse en una de las formas más sofisticadas de vigilancia contemporánea.
Como señala la Agencia de la Unión Europea para la Ciberseguridad (ENISA), en el entorno actual de salud digital el desafío ya no es solo prevenir la filtración de datos, sino garantizar quién controla los datos sensibles y bajo qué garantías técnicas, especialmente cuando sistemas y servicios están altamente interconectados y expuestos a amenazas complejas como ransomware, fugas de información y ataques dirigidos. El sector sanitario ha sido identificado como uno de los más afectados por incidentes de ciberseguridad y la interconexión de sistemas implica riesgos significativos para la protección de datos de los pacientes y la resiliencia general de la infraestructura digital de salud. (https://www.enisa.europa.eu/topics/cybersecurity-of-critical-sectors/health)
Caso Real: ManageMyHealth (Nueva Zelanda) – Exposición Masiva de Datos de Salud
Qué ocurrió
A fines de diciembre de 2025, la plataforma ManageMyHealth, un portal de salud digital ampliamente utilizado en Nueva Zelanda para acceder a historial clínico, documentos médicos, diagnósticos, recetas y otros datos de pacientes, sufrió una violación de seguridad importante. La intrusión no fue un incidente menor: hubo acceso no autorizado a documentos médicos sensibles de cientos de miles de usuarios.
Según informes públicos y documentación recolectada:
- El incidente fue reportado el 30 de diciembre de 2025 y confirmado por la propia empresa y por medios especializados.
- La brecha afectó el módulo denominado Health Documents, mediante el cual se almacenan y gestionan historiales clínicos y otros documentos de salud.
- Se estima que aproximadamente el 6 a 7 % de los aproximadamente 1,8 millones de usuarios registrados resultaron impactados, es decir, entre 120.000 y 127.000 pacientes cuyas historias médicas y datos sensibles pudieron haber sido accedidos.
- El grupo identificado como “Kazu” reclamó la responsabilidad y afirmó haber exfiltrado más de 400 000 documentos y haber exigido un rescate monetario bajo amenaza de liberación pública de la información.
- En respuesta, la empresa solicitó medidas legales urgentes para frenar el uso o difusión de los datos, mientras continúan las investigaciones forenses y la revisión de controles de seguridad.
Este caso ha generado reacciones regulatorias y demandas de revisión de políticas de seguridad, no solo a nivel corporativo sino también gubernamental, dado el carácter extremadamente sensible de los datos implicados.
Por qué este caso importa desde una perspectiva técnica de ciberseguridad
Este incidente no es un ejemplo aislado de “pérdida de datos personales”: ilustra vectores de riesgo profundos y emergentes en salud digital que ya no pueden tratarse como marginales:
- Exposición de PHI (Protected Health Information): no son solo nombres o emails; son historiales clínicos, condiciones médicas, diagnósticos y otros datos biomédicos sensibles que no pueden ser revocados o modificados si se filtran.
- Atacantes usando datos para extorsión y presión: las demandas de rescate y la publicación de muestras de datos (típicas de ransomware y exfiltración) muestran que estos activos tienen valor de mercado.
- Impacto en la confianza del usuario y obligaciones regulatorias: el sector salud se asienta sobre la confidencialidad y consentimiento informado; una brecha de este tipo pone en entredicho las arquitecturas de acceso y control de datos.
- Fallos en controles de acceso y segmentación interna: el hecho de que sólo un módulo comprometido, no toda la plataforma, bastara para exponer datos críticos, pone de relieve fallas de diseño en segmentación, least privilege, y pruebas de seguridad.
Desde una visión técnica, este caso va más allá de la estadística de brechas: demuestra claramente cómo los datos de salud digital se convierten en activos afectados de manera irreversible, y cómo las arquitecturas actuales no están diseñadas con la resiliencia que la sensibilidad de estos datos exige.
Leer más
- Ciberseguridad: Microsoft sigue siendo la marca más imitada en ataques de phishing
- Ciberseguridad empresarial: qué decisiones tomar hoy para no quedar expuesto en 2026
- Entel Digital presenta su unidad de Servicios de Ciberseguridad en Perú con una propuesta basada en operación avanzada e inteligencia regional
