(Actualización: a última hora del lunes Grindr ha declarado que va a dejar de compartir información sobre el estado de VIH con otras empresas.)
La aplicación de contactos gay Grindr, con más de 3,6 millones de usuarios activos a diario en todo el mundo, ha estado proporcionando el estado de VIH de sus usuarios a otras dos empresas, según ha averiguado BuzzFeed.
Ambas empresas, Apptimize y Localytics, que ayudan a optimizar aplicaciones, reciben parte de la información que los usuarios de Grindr optan por incluir en sus perfiles, incluyendo si tienen VIH y "la última fecha de prueba realizada".
Dado que la información acerca del VIH se envía junto con los datos de GPS, número de identificación telefónica y correo electrónico de los usuarios, se puede identificar a usuarios específicos y su estado de VIH. Así lo ha indicado Antoine Pultier, investigador de la empresa noruega sin ánimo de lucro SINTEF, la primera en identificar est problema.
"El estado de VIH está vinculado al resto de la información. Ese es el problema principal", declaró Pultier a BuzzFeed News. "Creo que esto se debe a la incompetencia de algunos desarrolladores que lo envían todo, incluyendo información sobre el VIH".
Grindr se fundó en 2009 y ha ido cobrando fama como la aplicación de referencia para contactos saludables y contenidos culturales gay. En diciembre la empresa lanzó una revista online dedicada a temas culturales en la comunidad LGTB+. La aplicación ofrece publicidad gratuita para sitios web donde se realizan pruebas de VIH. La semana pasada estrenó una característica opcional que recordaba a los usuarios hacerse la prueba de VIH cada tres o seis meses.
Pero el nuevo análisis, confirmado por expertos en ciberseguridad que analizaron los datos de SINTEF independientemente verificados por BuzzFeed News, pone en duda la seriedad con la que la empresa se toma la privacidad de sus usuarios.
"Supone un incumplimiento extremadamente flagrante de las normas básicas , algo que no es de esperar de una empresa que se define como defensora de la comunidad 'queer'".
"Grindr es un lugar relativamente único en lo que respecta a la transparencia con respecto al estado de VIH", dijo James Krellenstein, miembro del grupo defensor del SIDA ACT UP New York, en declaraciones a BuzzFeed News.
"Que estos datos sean compartidos con terceras partes sin previo aviso, y que esto pueda poner en peligro tu salud o tu seguridad, supone un incumplimiento extremadamente flagrante de las normas básicas, algo que no es de esperar de una empresa que se define como defensora de la comunidad LGBT+".
El análisis de SINTEF también mostraba que Grindr compartia la posición GPS precisa de sus usuarios, su "tribu" (con qué subcultura gay se identifican), su sexualidad, su situación sentimental, su etnicidad y su identificación telefónica con otras empresas de publicidad de terceras partes. Y esta información, al contrario de los datos sobre VIH, a veces se compartía como "texto simple", lo cual puede hackearse fácilmente.
"Permite ver tu ubicación a cualquier persona que dirija o monitorice la red, como por ejemplo un hacker o criminal con algo de conocimiento tecnológico, o bien tu proveedor de servicios de Internet o tu gobierno", declaró a BuzzFeed News Cooper Quintin, tecnólogo principal de personal e investigador de seguridad en Electronic Frontier Foundation.
"Cuando combinas todo esto con una aplicación como Grindr, principalmente enfocada a personas que pueden estar en situación de riesgo, y especialmente dependiendo de lo homófoba que sea la población, el resultado es una mala praxis que puede suponer un riesgo para su seguridad", añadió Quintin.
Grindr indicó que los servicios que obtienen de Apptimize y Localytics ayudan a mejorar la aplicación.
"Miles de empresas utilizan estas plataformas altamente valoradas. Esta es una práctica habitual en el ecosistema de aplicaciones móbiles", indicó el director tecnológico de Grindr Scott Chen en unas declaraciones a BuzzFeed News. "No se vende información sobre usuarios de Grindr a terceras partes. Pagamos a estos proveedores de software para utilizar sus servicios".
Apptimize y Localytics no han respondido a las solicitudes de comentarios. Chen añadió que estas empresas no comparten los datos de sus usuarios: "La información limitada se comparte con estas plataformas mediante términos contractuales estrictos que aportan el más alto nivel de confidencialidad, seguridad de datos y privacidad para el usuario".
Aun así, según los expertos en seguridad, cualquier acuerdo con terceras partes hace que la información confidencial sea más vulnerable.
"Incluso si Grindr tiene un buen contrato con las terceras partes indicando que no pueden hacer nada con esta información, sigue siendo otro lugar donde se ubica esta información altamente confidencial sobre su salud", dijo Quintin. "Si alguien con intenciones maliciosas quisiera hacerse con esta información, ahora en vez de un solo lugar (Grindr) hay tres lugares donde esta información podría llegar a hacerse pública".
Bajo la categoría "Estado de VIH" de la aplicación, los usuarios pueden elegir entre varios estados que incluyen si dicho usuario es seropositivo, positivo y en tratamiento contra el VIH, negativo o negativo y tomando PrEP, la pastilla diaria que ha demostrado evitar eficazmente contraer el VIH. (La aplicación también está enlazada a una serie de preguntas frecuentes sobre salud sexual relacionadas con el VIH y cómo conseguir PrEP).
Pero el mero hecho de que los usuarios se sientan cómodos al compartir información personal en su perfil o en los chats no significa que quieran que esta información se comparta más extensamente.
"Podría peligrar el puesto de empleo de algunas personas si las personas equivocadas descubren su estado, o tal vez puede que estén en una situación familiar difícil", dijo Chris Taylor de Seattle, que utiliza Grindr pero ya no muestra su estado de seropositivo en su perfil. Resulta "desconcertante", dijo, que Grindr esté compartiendo esta información con otras empresas. "Puede suponer un peligro para las personas, y te produce la sensación de que invaden tu privacidad·.
La divulgación de información sobre el estado de VIH también plantea preguntas sobre la política de privacidad de la empresa, que indica: "También puedes tener la opción de aportar información sobre características de salud, tal como tu estado de VIH o la fecha en la que te hiciste la última prueba. Recuerda que si optas por incluir información en tu perfil y hacer tu perfil público esta información también será pública".
Pero el usuario medio puede que no conozca o comprenda con qué ha indicado estar de acuerdo en la letra pequeña. Algunos expertos argumentan que Grindr debería ser más específico en sus acuerdos con los usuarios con respecto al uso que hace de sus datos.
"Lo que la ley comprende como consentimiento informado es casi siempre un consentimiento no informado", declaró a BuzzFeed News Ben Wizner, director del Proyecto de Expresión, Privacidad y Tecnología de ACLU (la Unión Americana de Libertades Civiles).
"Espero que haya un pequeño aspecto positivo de todo esto: que los usuarios y los ciudadanos se den cuenta de las enormes lagunas reglamentarias que hay en el régimen de privacidad", indicó, "y que la información personal se compra y vende libremente en un mercado global".
Este artículo ha sido traducido del inglés.