Livity LogoLivity
Back to blog
privacidad datos de saludpulsera de actividadprivacidad de datosHIPAAen el dispositivoapple watch

Tu pulsera de actividad lo sabe todo sobre ti. ¿Quién más lo sabe?

En 2021, un investigador de seguridad descubrió una base de datos sin protección que contenía 61 millones de registros de pulseras de actividad de usuarios de Apple y Fitbit: nombres, fechas de nacimiento, peso, altura y datos de ubicación, todo almacenado en texto plano sin contraseña.

Person looking at health data on smartphone with data flowing to the cloud

La base de datos pertenecía a GetHealth, una empresa intermediaria de la que la mayoría de esos usuarios nunca habían oído hablar. Sus datos habían sido recopilados, agregados y almacenados por un servicio enterrado en los términos y condiciones de las apps en las que confiaban.

Esto no fue un incidente aislado. Así es como funciona la industria de las pulseras de actividad.

Lo que tu pulsera de actividad realmente recopila

Las pulseras de actividad y apps de salud modernas recopilan una media de 12 tipos de datos diferentes — más de un tercio de todas las categorías que Apple define en sus etiquetas de privacidad del App Store. Esto es lo que se registra normalmente:

  • Frecuencia cardíaca — monitorización continua 24/7, incluyendo frecuencia en reposo, durante la actividad y durante el sueño
  • Patrones de sueño — cuándo te duermes, cuánto duermes, por qué fases de sueño pasas
  • Ubicación GPS — tus rutas de entrenamiento, por dónde corres, caminas y montas en bici
  • Métricas corporales — peso, altura, composición corporal, niveles de oxígeno en sangre
  • Datos del ciclo menstrual — fechas de menstruación, síntomas, ventanas de fertilidad
  • Estrés y recuperación — puntuaciones de estrés basadas en VFC, estado de recuperación
  • Datos brutos de sensores — lecturas de acelerómetro y giroscopio que revelan patrones de movimiento a lo largo del día

Un estudio de Surfshark descubrió que Fitbit recopila hasta 24 tipos de datos únicos — el máximo de cualquier app de fitness. Strava usa 21 tipos de datos para fines que van más allá de la funcionalidad básica de la app.

Combinados, estos datos dibujan un retrato extraordinariamente detallado de tu vida diaria: a dónde vas, cuándo duermes, cuánto estrés tienes, tu condición física y tu salud reproductiva.

La brecha de HIPAA: por qué tus datos no están protegidos

Aquí viene lo que la mayoría de la gente desconoce: los datos de tu pulsera de actividad casi con toda seguridad no están protegidos por las leyes de privacidad médica.

HIPAA — la ley que los estadounidenses asumen que protege todos los datos de salud — solo se aplica a "entidades cubiertas": hospitales, planes de seguro médico, cámaras de compensación sanitaria y sus socios comerciales. Las empresas tecnológicas de consumo como Fitbit, Garmin, Oura, WHOOP y Strava no son entidades cubiertas.

Esto significa que legalmente pueden:

  • Compartir tus métricas de salud con socios publicitarios
  • Vender datos agregados (y a veces individuales) a intermediarios de datos
  • Transferir tus datos a nuevos propietarios si la empresa es adquirida
  • Proporcionar datos a aseguradoras o empleadores a través de acuerdos

Y muchas de ellas lo hacen. Un estudio de la Universidad de Duke descubrió que el 79% de las apps populares de salud y fitness comparten datos de los usuarios con terceros. Solo el 28% de los usuarios eran conscientes de que esto sucedía.

La diferencia entre lo que la gente espera y lo que realmente ocurre es enorme. Nunca aceptarías que un médico entregara tu historial clínico a un anunciante, pero tu pulsera de actividad podría estar haciendo algo funcionalmente similar.

El historial de filtraciones

El historial de la industria de fitness y tecnología de salud en materia de seguridad de datos es desolador:

Incidentes principales

GetHealth (2021) — 61 millones de registros de pulseras de actividad (usuarios de Apple y Fitbit) expuestos en una base de datos sin protección. Sin contraseña, sin cifrado, en texto plano.

UnitedHealth / Change Healthcare (2024) — 190 millones de registros médicos robados en el mayor robo digital de historiales clínicos de EE. UU. El atacante obtuvo acceso usando credenciales robadas sin autenticación multifactor. UnitedHealth pagó un rescate de 22 millones de dólares.

MyFitnessPal (2018) — 150 millones de cuentas de usuario comprometidas, exponiendo nombres de usuario, direcciones de correo electrónico y contraseñas.

Garmin (2020) — El grupo de hackers ruso Evil Corp desplegó el ransomware WastedLocker, dejando fuera de servicio todos los servicios online de Garmin durante días. Según informes, Garmin pagó un rescate de 10 millones de dólares a través de un intermediario.

Peloton (2021) — Una vulnerabilidad en la API expuso datos personales de aproximadamente 3 millones de usuarios, incluyendo nombres completos, correos electrónicos, edades y estadísticas de entrenamiento. Peloton tardó más de 90 días en solucionarlo tras ser notificado.

El problema militar de Strava

Los fallos de privacidad de datos de Strava son quizás el ejemplo más impactante de lo que puede salir mal. En 2018, el Mapa de Calor Global de Strava — construido con los datos de entrenamiento de los usuarios — reveló inadvertidamente las ubicaciones de bases militares secretas de EE. UU. y sus aliados en Siria, Afganistán y Yibuti. Los soldados habían estado registrando sus carreras en la base sin darse cuenta de que sus rutas se estaban publicando.

El problema ha continuado. En 2022, una ONG israelí creó segmentos falsos de Strava dentro de seis instalaciones militares ultrasecretas e identificó a más de 100 personas, incluido personal del Mossad. En 2025, miembros de la tripulación de submarinos nucleares franceses filtraron posiciones de patrulla a través de entrenamientos en Strava. En marzo de 2026, un marinero del portaaviones francés Charles de Gaulle reveló la ubicación del buque al registrar una carrera en cubierta.

Los datos de ubicación de las pulseras de actividad tienen consecuencias de seguridad en el mundo real.

📱 Livity mantiene todos tus datos de salud en tu dispositivo — nada se sube a servidores externos. Pruébalo gratis →

¿Quién compra tus datos de salud y por qué?

Cuando las empresas de fitness comparten tus datos con "terceros", ¿quiénes son esos terceros?

Anunciantes

Una investigación de 2023 descubrió que el 78% de las apps de fitness compartían datos con Meta y Google, incluso cuando los usuarios tenían sus cuentas configuradas como "privadas". Estos datos alimentan la publicidad personalizada. ¿Buscaste zapatillas de correr recientemente? Tu app de fitness puede haberle dicho a Meta que eres corredor antes de que tú se lo contaras a nadie.

Compañías de seguros

Las aseguradoras de salud han comenzado a usar datos de wearables para ajustar las primas. Algunas ofrecen descuentos por cumplir objetivos de pasos — lo cual suena positivo hasta que consideras lo contrario: los datos que muestran baja actividad, mal sueño o alto estrés podrían acabar usándose para aumentar las primas. No existe ninguna ley que lo impida para datos obtenidos fuera de los canales cubiertos por HIPAA.

Un informe de la Kaiser Family Foundation descubrió que el 21% de los empleadores que ofrecen seguro médico ya recopilaban datos de los dispositivos wearables de sus empleados.

Intermediarios de datos

Tus datos de fitness pueden acabar en manos de intermediarios de datos que los agregan y revenden. A diferencia de los historiales clínicos, los datos de pulseras de actividad no tienen protección legal específica contra la reventa. Una vez que salen de la app, rastrear a dónde van es casi imposible.

Nuevos propietarios corporativos

Cuando Google adquirió Fitbit por 2.100 millones de dólares en 2019, obtuvo acceso a los datos de salud de 28 millones de usuarios activos. Google se comprometió a no usar los datos de Fitbit para publicidad. Pero el precedente es preocupante: cuando Google adquirió Nest en 2014, inicialmente mantuvo los datos separados, pero los conectó al ecosistema más amplio de Google en menos de un año.

La asociación de Oura Ring con Palantir en 2024 para un "análisis poblacional de riesgo y preparación" — dirigido al Departamento de Defensa de EE. UU. — provocó la indignación de usuarios que no se habían apuntado para contribuir a análisis de salud militar.

En el dispositivo vs. la nube: por qué la arquitectura importa

Shield icon with health data symbols representing on-device privacy

La pregunta fundamental sobre privacidad es: ¿dónde viven tus datos de salud y quién puede acceder a ellos?

La mayoría de las pulseras de actividad siguen un modelo centrado en la nube. Tu reloj o pulsera recopila datos brutos de los sensores, los envía a tu teléfono, que los sube a los servidores de la empresa para su procesamiento. La información que ves en la app fue calculada en su infraestructura, con tus datos, bajo sus condiciones.

Este modelo crea múltiples puntos de vulnerabilidad:

  • Los datos en tránsito pueden ser interceptados (captura de Bluetooth, WiFi no segura)
  • Los servidores en la nube pueden estar mal configurados o ser vulnerados (GetHealth, UnitedHealth)
  • Los datos en el servidor pueden ser accedidos por empleados, subcontratistas o las autoridades
  • Los términos del servicio pueden cambiar, ampliando cómo se usan los datos después de que ya los hayas compartido

La alternativa es el procesamiento en el dispositivo. Apple demostró la viabilidad de este enfoque con Apple Health: todas las métricas de salud — tendencias, destacados, predicciones del ciclo, análisis de frecuencia cardíaca en reposo — se calculan en tu iPhone o Apple Watch. Los datos sincronizados a través de iCloud usan cifrado de extremo a extremo que ni siquiera Apple puede descifrar.

Los números lo respaldan. La investigación sobre IA en el borde en wearables muestra que el procesamiento en el dispositivo reduce la transmisión de datos en un 97,4% — de 4,2 GB de datos brutos de sensores diarios a solo 217 kilobytes de información procesada. Los datos brutos nunca salen de tu muñeca.

Esto no es solo una función de privacidad. Es una arquitectura fundamentalmente diferente. Los datos que nunca salen de tu dispositivo no pueden ser:

  • Expuestos en una filtración de servidores
  • Vendidos a intermediarios de datos
  • Entregados a anunciantes
  • Requeridos judicialmente sin acceso físico a tu dispositivo
  • Transferidos a un nuevo propietario corporativo

¿Qué leyes están poniéndose al día?

El panorama regulatorio está evolucionando, pero lentamente:

FTC Health Breach Notification Rule (actualizada en 2024) — Ahora cubre explícitamente pulseras de actividad, apps de salud y dispositivos conectados. Las empresas deben notificar a los usuarios en un plazo de 60 días tras una filtración que afecte a más de 500 personas.

Washington My Health My Data Act (2024) — La primera ley estatal de EE. UU. que protege específicamente los datos de salud fuera de HIPAA. Requiere consentimiento explícito antes de compartir datos de salud y una autorización firmada por separado antes de venderlos.

Illinois BIPA — La Ley de Privacidad de Información Biométrica se ha utilizado para demandar a empresas de fitness por recopilar datos biométricos sin consentimiento. Solo en 2025 se presentaron más de 107 demandas colectivas bajo BIPA, con multas de hasta 5.000 dólares por infracción intencionada.

WHOOP, Fitbit y Oura han enfrentado acciones legales bajo estos marcos normativos. Pero todavía no existe una ley federal integral que proteja los datos de salud de los consumidores procedentes de pulseras de actividad en Estados Unidos.

Hasta que eso cambie, tu mejor protección es elegir herramientas que no recopilen tus datos en primer lugar.

Cómo proteger tus datos de salud

Si usas una pulsera de actividad, esto es lo que puedes hacer ahora mismo:

  1. Revisa la etiqueta de privacidad — Antes de descargar cualquier app de salud, lee la etiqueta de privacidad del App Store. Busca "Datos no recopilados" o "Datos no vinculados a ti". Si la app indica "Datos utilizados para rastrearte", piénsalo dos veces.

  2. Audita tus permisos — Ve a Ajustes → Privacidad → Salud en tu iPhone. Comprueba qué apps tienen acceso a tus datos de salud y revoca el acceso de las que ya no uses.

  3. Desactiva la ubicación para los entrenamientos — Si no necesitas el seguimiento GPS, desactívalo. Los datos de ubicación son el tipo de dato de fitness más sensible (pregúntale a la Marina francesa).

  4. Usa herramientas que procesan en el dispositivo — Elige apps que procesen los datos localmente en lugar de subirlos a servidores en la nube. La arquitectura de Apple Health es el estándar de referencia.

  5. Lee los términos — Busca específicamente las secciones sobre "compartir datos", "socios terceros" y "retención de datos". Si una empresa se reserva el derecho de compartir tus datos de salud con socios no especificados, eso es una señal de alarma.

  6. Piensa en lo que estás intercambiando — Una app de fitness "gratuita" que monetiza tus datos de salud en realidad no es gratuita. Estás pagando con los datos más íntimos que generas.

Preguntas frecuentes

¿Los datos de las pulseras de actividad están protegidos por HIPAA?

No, en la mayoría de los casos. HIPAA solo cubre a proveedores de atención médica, planes de salud y sus socios comerciales. Las empresas de fitness de consumo como Fitbit, Garmin, Oura y WHOOP no son entidades cubiertas por HIPAA. Los datos de tu pulsera de actividad tienen menos protecciones legales que tus historiales clínicos.

¿Las compañías de seguros pueden usar los datos de mi pulsera de actividad?

Sí. Algunas aseguradoras ya ofrecen programas donde los datos de wearables influyen en las primas — normalmente presentados como descuentos por comportamiento saludable. Actualmente no existe ninguna ley federal que impida a las aseguradoras usar datos de fitness obtenidos fuera de HIPAA para ajustar tarifas.

¿Qué pasa con mis datos de salud si una empresa de fitness es adquirida?

Tus datos normalmente se transfieren al nuevo propietario bajo los términos de servicio existentes. La adquisición de Fitbit por parte de Google, por ejemplo, le dio a Google acceso a los datos de salud de 28 millones de usuarios. Aunque las empresas suelen hacer promesas de privacidad durante las adquisiciones, estas promesas generalmente no son legalmente vinculantes a largo plazo.

¿Qué pulseras de actividad mantienen los datos en el dispositivo?

Apple Health procesa todos los datos de salud en el dispositivo y usa cifrado de extremo a extremo para la sincronización con iCloud. Livity sigue el mismo enfoque — todas las métricas de salud se calculan en tu iPhone usando datos de Apple Health, y nada se sube a servidores externos. La mayoría de las demás plataformas principales (Fitbit, Garmin Connect, WHOOP, Oura) dependen del procesamiento en la nube.

¿Los datos de pulseras de actividad pueden usarse en un juicio?

Sí. Los datos de pulseras de actividad se han utilizado como prueba en casos penales, disputas de seguros y reclamaciones por lesiones personales. En 2023, los datos de Fitbit de un sospechoso de asesinato se usaron para establecer su ubicación y actividad en el momento del crimen. Los datos almacenados en servidores de empresas pueden obtenerse mediante citaciones judiciales.

Empieza a hacer seguimiento sin renunciar a tu privacidad

Tus datos de salud son de la información más personal que generas. Dónde se almacenan y quién puede acceder a ellos importa.

Livity hace seguimiento de tu sueño, VFC, recuperación, estrés y edad de fitness completamente en tu dispositivo — sin servidores en la nube, sin intermediarios de datos, sin compartir con terceros. Tus datos de salud se quedan en tu iPhone, donde deben estar. Pruébalo gratis en el App Store.

¿Listo para optimizar
tu salud?

Únete a miles de usuarios que ya han mejorado su bienestar con Livity. Descarga ahora y comienza tu viaje hacia una vida más saludable.

Descargar la aplicación
Seguro y privado
Back to blog