Un equipo de investigadores de la Universidad de Massachusetts Lowell ha descubierto una nueva modalidad de infracción a la privacidad centrada en los datos de salud recogidos por los dispositivos móviles. Este método, denominado Ataque de Reidentificación de Persona (PRI-Attack), emplea información publica y conforme a los requerimientos de la HIPAA extraída de dispositivos de salud móviles para deducir la identidad de los individuos. Se utilizan parámetros como frecuencia cardíaca, respiratoria y gestos de manos entre otros.
Este tipo de vulnerabilidad se presenta en Estados Unidos debido a que la Ley de Responsabilidad y Portabilidad de Seguro de Salud (HIPAA), a pesar de solicitar que la información médica se mantenga anónima, no considera los datos crudos de los sensores (como temperatura de la piel y datos del acelerómetro) como sensibles en cuanto a privacidad. Por ende, no requiere que estos datos, si son compartidos públicamente, sean encriptados o sujetos a las mismas protecciones que ofrece a las formas tradicionales de datos de pacientes, como por ejemplo los registros médicos.
Desde el vector hasta la visualización
El PRI-Attack emplea imágenes interpretadas con datos para discernir patrones comunes que se correlacionan con otro tipo de datos de salud. Por ejemplo, puede evaluarse la respuesta cutánea de una persona a partir de un video (fotopletismografía) y correlacionarlo con lo que idealmente sería información vectorial completamente anónima originada en dispositivos de seguimiento de salud, como relojes y otros dispositivos de monitoreo. La fotopletismografía genera datos de frecuencia cardíaca que pueden ser combinados con datos de corazón no identificados de dispositivos portátiles.
El reconocimiento de gestos es otra “llave” que puede ser trasladada trivialmente de datos vectoriales a una matriz visual que, a su vez, permite correlacionar datos de imágenes/video interpretadas con información aparentemente anónima del acelerómetro en los datos de salud.
Información sobre gestos manuales extraída de datos de dispositivos móviles. Fuente: https://arxiv.org/pdf/2106.11900.pdf
Datos del sensor como Información de Identificación Personal
De acuerdo a la investigación realizada por el profesor asistente de UML, Mohammad Arif Ul Alam, los datos de detección fisiológica pueden constituir Información de Identificación Personal (PII) y, de hecho, son un análogo biológico de las técnicas actuales a modo de huellas dactilares del navegador. Se cree que estas técnicas socavan nuevas iniciativas para proteger la privacidad del usuario en la web.
Para examinar esta hipótesis, el investigador desarrolló un marco para ubicar y reconocer gestos de manos que interpreta los datos de los gestos (movimientos registrados en vector) de un acelerómetro portátil y traduce dichos movimientos en un registro visual que puede ser correlacionado con los movimientos grabados por los dispositivos portátiles de salud.
Una Red Neuronal Siamesa Multimodal (mm-SNN) fue construida para interpretar la información de los gestos clasificados mediante una Máquina de Soporte Vectorial (SVM). Una red trata con la información vectorial (interpretada como información de imagen en un espacio 3D) y la segunda red se ocupa de los datos fisiológicos registrados a partir de los datos del sensor.
Ensayos
El sistema fue sometido a prueba aplicándolo en varios conjuntos de datos, entre los que se incluyó un conjuto de datos de ‘Fatiga de Jugador’ que se creó mediante la recopilación de datos de cinco estudiantes voluntarios, con edades comprendidas entre 19 y 25 años, que jugaron videojuegos durante siete días mientras usaban la pulsera Empatica E4. Dicha pulsera posee sensores ACC, electrodo galvánico de respuesta cutánea, temperatura de piel y fotopletismografía (PPG).
La E4 también fue utilizada para un novedoso conjunto de datos denominado ‘datos de restaurantes’, donde ocho voluntarios realizaron y consumieron sándwiches durante veinte minutos, así como para un conjunto de datos de ‘adultos mayores’, que contaba con la participación de 22 sujetos de 75 a 95 años de edad, quienes llevaron a cabo 13 actividades programadas mientras portaban el dispositivo.
Finalmente, los investigadores usaron el conjunto de datos públicamente disponible denominado ‘Conjunto de datos de fatiga en adultos saludables’ que rastreó a 28 hombre y mujeres con una edad promedio de 42 años durante un período de 1 a 219 días seguidos. Los sujetos portaban un dispositivo multisensor muy parecido al E4 en términos de capacidad de recolección de datos, inclusive un sensor ACC de 3 ejes, electrodo galvánico de respuesta cutánea, fotosensores y temperatura, y un barómetro.
Los resultados demostraron que la frecuencia cardíaca y la frecuencia respiratoria son las maneras más efectivas para lograr la reidentificación, con un promedio de tasa de precisión de >66%.
Resultados de las pruebas de la metodología PRI-Attack. Cuna: PPG: fotopletismografía; FC: frecuencia cardíaca; BR: frecuencia respiratoria; PVP: Pulso de Volumen Sanguíneo (obtenido de PPG); IBI: Inter Beat Interval (obtenido de PPG); TC: Componente tónico de la señal EDA; Componente fásico de datos EDA (Ibid); Temp: Temperatura.
La investigación concluye:
«Si bien la tecnología moderna de visión por computadora se puede utilizar fácilmente para aprender los gestos de las manos y las señales fisiológicas correspondientes (frecuencia cardíaca, frecuencia respiratoria) de las cámaras de vigilancia públicas, los atacantes pueden utilizar fácilmente esta enorme cantidad de videos grabados para aprender datos biométricos específicos del usuario para revelar La identidad del servicio compatible con HIPAA almacena datos de detección portátiles.»
HIPAA da por ‘anonimizados por defecto’ los PHR
El gobierno de EE. UU. ha reconocido el crecimiento de los registros médicos personales (PHR) y clasifica dicho registro (incluidos datos de dispositivos de salud móviles) como «un registro electrónico de información de salud de un individuo que controla el acceso a la información y puede ser capaz de administrar, seguir y participar en su propio cuidado de la salud».
No obstante, dado que es un fenómeno originado en el sector privado, el gobierno no concede una supervisión oficial de dichos datos, ya que se ha establecido que no contienen Información de Identificación Personal (PII). Un informe emitido en junio de 2016 por el Departamento de Salud y Servicios Humanos de Estados Unidos (HHS) sobre entidades no cubiertas por el HIPAA establece:
«Persisten (grandes) brechas en las políticas de acceso, seguridad y privacidad y continua la confusión tanto entre los consumidores como entre los innovadores. Los rastreadores de actividad física portátiles, las redes sociales de salud y las aplicaciones de salud móviles se basan en la idea de la participación del consumidor. Sin embargo, nuestras leyes y regulaciones no han seguido el ritmo de estas nuevas tecnologías.»
LEE MÁS ARTÍCULOS SOBRE: Ciencia de Datos con IA.
LEE LA ENTRADA ANTERIOR: Protegiendo el Futuro: El Papel Esencial de las Barreras de Seguridad en la IA.