El lado oscuro de las máquinas de apnea: espían para aseguradoras
Las máquinas que tratan la apnea del sueño salvan la vida de miles de personas, pero algunas envían información personal a fabricantes y aseguradoras
Miles de personas sufren apnea del sueño, un problema de salud en el que los músculos de la laringe se relajan e impiden que el aire circule provocando la asfixia parcial e impidiendo que los pacientes puedan descansar adecuadamente. Para solucionarlo existen máquinas que salvan literalmente vidas, pero detrás de algunas máquinas hay una captación de información personal.
Las máquinas de apnea del sueño, o CPAP, empujan aire caliente hacia la nariz para que se mantenga el flujo de oxigeno, pero nadie diría que es el típico producto que cuando se conecta a internet, sirve para recolectar información personal muy valiosa para muchas empresas, sobre todo aseguradoras y fabricantes según muestra una investigación de ProPublica.
Algunos pacientes con una máquina CPAP, que puede costar entre 500 y 1.000 euros, recopilan información que sería de gran utilidad para el cuerpo médico al monitorizar la evolución de los pacientes. Pero estos datos también pueden servir para hacer más caros los tratamientos.
Conocer si el paciente utiliza la máquina
En mercados donde la sanidad es privada, como en el caso de Estados Unidos, las aseguradoras pueden usar los datos recopilados para conocer si los pacientes no están usando correctamente las máquinas o si no las usan cuando deben.
Si una aseguradora determina que su cliente hace un mal uso de una de estas máquinas, podría pedirle que pague más por su alquiler o subirle las cuotas para compensar la inversión.
Fotografía: ResMed
Algunos fabricantes de CPAP usan mecánicas como recompensas digitales cuando los usuarios las usan. Una máquina fabricada por ResMed envió un correo electrónico tras la primera noche de uso de un paciente, pese a que este optó por no recibir ninguna notificación.
Un problema de seguridad e intimidad
Las máquinas más antiguas pueden almacenar información en tarjetas de memoria que después pueden llevarse al médico para su estudio, pero como es el caso de todos los productos conectados a internet, se teme que un problema de seguridad o de transferencia de los datos acabe siendo robada y a la venta en le mercado negro.
¿Es esta información cifrada en el aparato y transmitida a los servidores del fabricante? Las empresas no lo indican.
Hemos revisado la documentación de productos como la máquina ResMed Airsense 10 Elite (PDF) y no se indica en ningún momento que la transferencia se hace de forma segura usando cifrado de extremo a extremo, de vital importancia al tratarse de datos médicos.
‘Hackeando’ las máquinas de apnea
Pacientes con síntomas de apnea del sueño difíciles de curar suelen tener problemas con sus máquinas CPAP porque no funcionan correctamente según sus necesidades. Esto ha llevado a muchas personas a hackear sus propias máquinas, con la eliminación de la garantía y problemas que podría causar modificar una máquina médica.
Existe un programa de ordenador de código abierto llamado SleepyHead que permite modificar máquinas CPAP según las necesidades de los pacientes, como comentan en Motherboard.
Fotografía: ResMed
Este programa, desarrollado por un australiano llamado Mark Watkins, permite extraer los datos que las máquinas generan para poder leerse de forma humana. Muchas de estas máquinas usan un formato propietario que requiere de un programa concreto para médicos o empresas como aseguradoras.
Con SleepyHead se puede leer esta información y mostrarla en una serie de gráficas para que los pacientes puedan conocer qué pasa mientras duermen.
Máquinas conectadas que se reprograman en remoto
Las máquinas conectadas pueden ser reprogramadas de forma remota, cambiando ajustes que mejorarían el sueño de los pacientes. Pero para aquellos con problemas y con médicos que no dan con la solución, acceder a estos cambios pueden ayudarles a tener una noche de sueño.
Los fabricantes han luchado contra intentos para que usuarios de estas máquinas puedan acceder a estos datos y a su configuración, incluso llegando a pelear un intento para que este tipo de información no esté protegida por derechos de autor.
Una organización de presión de empresas médicas explicó su motivo para bloquear este tipo acciones: “los pacientes que acceden directamente a los datos de sus dispositivos pueden no entender el formato de los datos o malinterpretarlos.” Muchos usuarios creen que si los fabricantes creasen programas o si los datos fuesen fáciles de leer, nadie tendría que hackear sus máquinas.