Pixel: una herramienta de Meta involucrada en casos de exposición de datos sensibles
La herramienta Pixel de Meta, utilizada para monitorear el rendimiento de anuncios de Facebook, permitió la recolección por error de datos sensibles de más de 1.3 millones de pacientes médicos.
Pixel es una herramienta de monitoreo que ofrece Meta a sus anunciantes bajo la forma de un fragmento de código en JavaScript. Llamada antes Facebook Pixel, este script de Meta permite recolectar datos sobre la actividad que realizan los visitantes a un sitio web. Si bien Pixel es legítima, en los últimos meses esta herramienta de monitoreo ha estado involucrada en casos de recolección indebida de datos sensibles.
Recientemente, la compañía Novant Health, proveedora de servicios de salud en Estados Unidos, reveló a través de un comunicado que debido a una mala configuración de Pixel recolectó por error datos personales de más de 1.3 millones de pacientes que se atendieron en alguna de sus clínicas o centros de atención médica durante los últimos dos años. La compañía utilizaba este script en su sitio para monitorear el rendimiento de los anuncios que la compañía había realizado en Facebook para una campaña de vacunación contra la COVID-19 que comenzó en noviembre de 2020. Toda la información recolectada era enviada a Meta.
Pero además de haberse añadido este script en el sitio web, también se añadió en el portal MyChart, que es una plataforma segura que utiliza Novant Health —y también muchas otros proveedores de salud en Estados Unidos— y que permiten a las personas sacar turnos médicos y coordinar citas, acceder a resultados, contactar a un especialista, entre otras acciones más.
Entre la información que la compañía podría haber recolectado indebidamente figura: dirección de correo electrónico, número de teléfono, dirección IP e información de contacto, datos del tipo de cita y fecha, especialista médico elegido u otra información añadida en una caja de comentarios. El comunicado aclara que no están en riesgo datos financieros de los pacientes ni detalles del número de seguro social.
En mayo de 2022 y tras dos años de utilizarlo, Novant finalmente eliminó Pixel del portal MyChart y de su sitio luego de darse cuenta del error de configuración. En su comunicado, la compañía manifestó que una vez que se dieron cuenta que la información recolectada estaba siendo enviada a Meta, decidieron quitar el script como medida preventiva y comenzaron una investigación que terminó en junio de este año. Luego de eso comenzaron a comunicarse con las personas afectadas. Además, manifestaron que se comunicaron con Meta en reiteradas oportunidades para que eliminen la información, pero no recibieron respuesta. Asimismo, tampoco hay evidencia de que Meta haya utilizado esta información y tampoco terceros.
Según explicó un vocero de Meta al medio The Markup, que también realizó una investigación que involucra al uso de Pixel en cientos de páginas de clínicas que realizan abortos en Estados Unidos para la aparente recolección de información sensible de pacientes, manifestó que va en contra de su política que los sitios que utilizan Pexel envíen información sensible de las personas a través de la herramienta. Asimismo, el vocero de Facebook agregó que Meta filtra los datos confidenciales si detecta que algún sitio la envía y advierte que recibe educa a quienes utilizan la herramienta para que la configuren adecuadamente.
La investigación que realizó The Markup analizó cerca de 2500 sitios de clínicas que realizan abortos y descubrió que 294 de estos sitios compartían información con Facebook. Muchos de estos sitios la información recolectada era extremadamente sensible, ya que por ejemplo, proporcionaba información acerca de si una persona estaba o no considerando realizar un aborto o un test de embarazo. Asimismo, se descubrió que al menos 39 de estos sitios envió a Facebook información como nombre, dirección de correo y número de teléfono.
Es importante mencionar que no se sabe qué sucede con esta información, ya que Meta no ha proporcionado mayores detalles cuando ha sido consultado por casos puntuales a los cuales se ha involucrado el uso de Pixel y la recolección de información que supuestamente no se debería recolectar.
Por otra parte, hace poco se realizó una demanda contra Meta y dos centros médicos en Estados Unidos que acusaba al gigante tecnológico y a sus clientes de recolectar información privada sin el consentimiento de las personas.
Fuente: www.welivesecurity.com