Siete de cada 10 aplicaciones para m¨®viles comparten sus datos con otros proveedores

Nuestros m¨®viles pueden revelar muchas cosas sobre nosotros: d¨®nde vivimos y trabajamos; qui¨¦nes son nuestros familiares, amigos y conocidos; c¨®mo nos comunicamos con ellos (e incluso qu¨¦ comunicamos), as¨ª como nuestros h¨¢bitos personales. Con toda esta informaci¨®n almacenada en los dispositivos, no es de extra?ar que los usuarios tomen medidas para proteger su privacidad, como utilizar n¨²meros de identificaci¨®n personal o c¨®digos de acceso para desbloquear el tel¨¦fono.

Muy pocas aplicaciones hacen p¨²blica su pol¨ªtica de privacidad y, en caso de que lo hagan, suele ser mediante extensos documentos legales que una persona normal no lee y mucho menos entiende

Cuando los internautas instalan una nueva aplicaci¨®n Android o iOS, esta pide permiso al usuario antes de acceder a la informaci¨®n personal. En t¨¦rminos generales, esto es positivo. Adem¨¢s, parte de la informaci¨®n que recogen estas aplicaciones es necesaria para que funcionen correctamente. Por ejemplo, un mapa para m¨®vil ser¨ªa much¨ªsimo menos ¨²til si no pudiese utilizar los datos del GPS para encontrar una localizaci¨®n.

Pero, una vez que la app tiene permiso para recoger esa informaci¨®n, puede compartir tus datos con quien su creador quiera, permitiendo as¨ª que terceras empresas hagan un seguimiento de d¨®nde te encuentras, a qu¨¦ velocidad te mueves y qu¨¦ est¨¢s haciendo.

Las bibliotecas codificadas

Una aplicaci¨®n no solo recopila datos para utilizarlos en el propio tel¨¦fono m¨®vil. Por ejemplo, los mapas mandan tu localizaci¨®n a un servidor gestionado por el creador de la app para que calcule las direcciones desde el punto donde te encuentras hasta el destino deseado.

Asimismo, la aplicaci¨®n puede mandar datos a cualquier parte. Igual que las p¨¢ginas web, muchos programas para m¨®viles est¨¢n escritos combinando diversas funciones, precodificadas por otros fabricantes y empresas, en lo que se denomina ¡°bibliotecas de terceros¡±. Estas bibliotecas ayudan a los fabricantes a rastrea los intereses de los usuarios, conectar con las redes sociales y ganar dinero mostrando anuncios y otros elementos sin tener que escribirlos de cero.

Sin embargo, aparte de su valiosa ayuda, la mayor¨ªa de las bibliotecas tambi¨¦n recogen datos delicados y los env¨ªan a sus servidores o a otra empresa totalmente ajena. Los creadores de bibliotecas m¨¢s competentes son capaces de elaborar detallados perfiles digitales de los usuarios. Por ejemplo, puede que una persona d¨¦ permiso a una aplicaci¨®n para que sepa cu¨¢l es su localizaci¨®n, y que a otra le d¨¦ acceso a sus contactos. En principio, ambos son permisos separados, uno para cada aplicaci¨®n; pero si las dos utilizan la misma biblioteca de terceros y comparten fragmentos de informaci¨®n diferentes, el creador de la biblioteca puede conectar esos fragmentos.

Los usuarios nunca se enterar¨¢n, porque las aplicaciones no tienen que informarles de las bibliotecas de programas que utilizan. Adem¨¢s, muy pocas aplicaciones hacen p¨²blica su pol¨ªtica de privacidad y, en caso de que lo hagan, suele ser mediante extensos documentos legales que una persona normal no lee , y muchos menos entiende.

El desarrollo de Lumen

El objetivo de nuestro estudio es dar a conocer cu¨¢ntos datos se pueden estar recopilando sin que los usuarios lo sepan, y dar a estos ¨²ltimos m¨¢s control sobre sus datos. Para obtener una imagen de qu¨¦ datos se est¨¢n recogiendo y transmitiendo desde los tel¨¦fonos m¨®viles, hemos desarrollado nuestra propia app para Android gratis, llamada Lumen Privacy Monitor. La aplicaci¨®n analiza el tr¨¢fico que env¨ªan las apps con el fin de revelar qu¨¦ aplicaciones y servicios por Internet recopilan activamente datos personales.

Como la finalidad de Lumen es la transparencia, el usuario de un tel¨¦fono puede ver en tiempo real la informaci¨®n que recogen las aplicaciones que tiene instaladas y con qui¨¦n comparten esos datos. Intentamos mostrar los detalles del comportamiento oculto de las aplicaciones de una manera f¨¢cil de entender. La investigaci¨®n tambi¨¦n es importante, as¨ª que preguntamos a los usuarios si nos permiten recopilar algunos datos sobre lo que Lumen observa que est¨¢n haciendo sus aplicaciones, pero en ellos no se incluye ninguno personal ni delicado para la privacidad. Este acceso exclusivo nos permite estudiar c¨®mo las apps de los m¨®viles recopilan datos personales del usuario y con qui¨¦n los comparten a una escala sin precedentes.

En particular, Lumen hace un seguimiento de qu¨¦ aplicaciones est¨¢n en funcionamiento en el terminal del usuario, si est¨¢n transmitiendo desde el tel¨¦fono datos delicados para la privacidad, a qu¨¦ sitios de Internet los env¨ªan, el protocolo de red que utilizan y qu¨¦ clase de informaci¨®n personal manda cada aplicaci¨®n a cada sitio. Lumen analiza el tr¨¢fico de las apps en el mismo terminal y elimina cualquier informaci¨®n relacionada con la identidad de la persona antes de mand¨¢rnoslos para el estudio. Por ejemplo, si Google Maps registra la localizaci¨®n GPS de un usuario y manda la direcci¨®n espec¨ªfica a maps.google.com, Lumen nos dice ¡°Google Maps ha encontrado una localizaci¨®n GPS y la ha enviado a maps.google.com¡±, pero no d¨®nde se encuentra realmente esa persona.

Los rastreadores est¨¢n en todas partes

Desde octubre de 2015, m¨¢s de 1.600 personas han utilizado Lumen, lo cual nos ha permitido analizar m¨¢s de 5.000 aplicaciones. Hemos descubierto 598 sitios de Internet que probablemente estaban haciendo un seguimiento de los usuarios con fines publicitarios, incluidos proveedores de servicios de redes sociales como Facebook, grandes compa?¨ªas de Internet como Google y Yahoo, y empresas de marketing en la Red que operan bajo el paraguas de proveedores de servicios de Internet como Verizon y Wireless.

M¨¢s que un problema de los m¨®viles

El seguimiento de los usuarios a trav¨¦s de sus dispositivos m¨®viles no es m¨¢s que una parte de un problema mayor. M¨¢s de la mitad de las aplicaciones de seguimiento que hemos identificado tambi¨¦n act¨²an a trav¨¦s de las p¨¢ginas web. Gracias a esta t¨¦cnica, denominada seguimiento ¡°interdispositivos¡±, los proveedores de servicios pueden elaborar un perfil mucho m¨¢s completo de la imagen de uno en Internet.

Por otra parte, cada uno de los sitios que realizan seguimientos no tiene por qu¨¦ ser independiente de los dem¨¢s. Algunos son propiedad de la misma persona jur¨ªdica, mientras que cabe la posibilidad de que otros sean absorbidos en futuras fusiones. Por ejemplo, Alphabet, la empresa matriz de Google, es propietaria de varios de los dominios de seguimiento que investigamos, incluidos Google Analytics, DoubleClick o AdMob, y a trav¨¦s de ellos recopila datos de m¨¢s del 48% de las aplicaciones que analizamos.

Las leyes de los pa¨ªses de origen de los usuarios no protegen las identidades de estos en la Red. Hemos descubierto que los datos se transfieren m¨¢s all¨¢ de las fronteras nacionales, y que a menudo van a parar a pa¨ªses cuyas leyes sobre la privacidad son de dudosa confianza. M¨¢s del 60% de las conexiones con los sitios dedicados al seguimiento se realizan con servidores ubicados en Estados Unidos, Reino Unido, Francia, Singapur, China y Corea del Sur, seis pa¨ªses que han aplicado tecnolog¨ªas de vigilancia masiva. Es posible que en estos sitios los organismos gubernamentales tengan acceso a los datos, aunque los usuarios est¨¦n en pa¨ªses con leyes de protecci¨®n de la privacidad m¨¢s estrictas, como Alemania, Suiza o Espa?a.

Todav¨ªa m¨¢s preocupante es que hemos observado la presencia de rastreadores en aplicaciones destinadas a los ni?os. Al analizar 111 apps infantiles en el laboratorio, vimos que 11 de ellas filtraban la direcci¨®n MAC, un identificador exclusivo del router inal¨¢mbrico al cual estaban conectados. Esto es un problema, porque es f¨¢cil buscar a trav¨¦s de Internet las localizaciones f¨ªsicas asociadas con unas direcciones MAC concretas. Recopilar informaci¨®n privada sobre menores de edad, incluido el lugar donde se encuentran, sus cuentas y otros identificadores exclusivos constituye una posible infracci¨®n de las normas de protecci¨®n de la privacidad de los menores de la Comisi¨®n Federal de Comercio.

Un simple atisbo

Aunque incluyan muchas de las apps Android m¨¢s utilizadas, nuestros datos son una peque?a muestra de usuarios y aplicaciones y, por lo tanto, probablemente representen un conjunto reducido de todos los rastreadores posibles. Es posible que nuestros hallazgos solamente est¨¦n ara?ando la superficie de lo que cabe pensar que es un problema mucho mayor que abarca m¨²ltiples jurisdicciones normativas, dispositivos y plataformas.

Los datos se transfieren m¨¢s all¨¢ de las fronteras nacionales, y que a menudo van a parar a pa¨ªses cuyas leyes sobre la privacidad son de dudosa confianza

Es dif¨ªcil saber qu¨¦ pueden hacer los usuarios al respecto. Impedir que la informaci¨®n delicada salga del tel¨¦fono puede afectar al funcionamiento de la aplicaci¨®n o a la experiencia del usuario. Una aplicaci¨®n puede negarse a funcionar si no puede cargar publicidad. De hecho, bloquear los anuncios es perjudicial para los creadores de aplicaciones al privarlos de una fuente de ingresos para apoyar su trabajo con los programas que, por lo general, son gratuitos para los usuarios.

Que la gente estuviese m¨¢s dispuesta a pagar a los creadores por usar las aplicaciones podr¨ªa ser de ayuda, pero no lo soluciona todo. Hemos descubierto que, aunque las aplicaciones de pago suelen contactar con menos sitios de rastreo, tambi¨¦n hacen un seguimiento de los usuarios y conectan con servicios de seguimiento de terceros.

La clave reside en la transparencia, la educaci¨®n y un marco legal fuerte. Los usuarios tienen que saber qu¨¦ informaci¨®n relacionada con ellos se est¨¢ recopilando, qui¨¦n la est¨¢ recopilando, y para qu¨¦ se est¨¢ utilizando. Solo entonces podremos decidir como sociedad qu¨¦ protecciones son necesarias y llevarlas a la pr¨¢ctica. Nuestros hallazgos, as¨ª como los de muchos otros investigadores, pueden ayudar a volver las tornas y rastrear a los rastreadores.

Narseo Vallina-Rodriguez es profesor adjunto de investigaci¨®n, Instituto IMDEA Networks, Madrid, Espa?a; Investigador principal de Redes y Seguridad del Instituto Internacional de Ciencias de la Computaci¨®n de la Universidad de California en Berkeley. Srikanth Sundaresan es becario de investigaci¨®n de Ciencias de la Computaci¨®n de la Universidad de Princeton

Cl¨¢usula de divulgaci¨®n

Narseo Vallina-Rodriguez recibe financiaci¨®n de NSF y de DataTransparencyLab.

Srikanth Sundaresan recibe financiaci¨®n de la Fundaci¨®n Hewlett y del Consorcio CITP para la Seguridad y la Privacidad del Internet de las Cosas. Antes la hab¨ªa recibido de la Fundaci¨®n Nacional para la Ciencia de Estados Unidos.

Este art¨ªculo fue publicado originalmente en ingl¨¦s en la web The Conversation.

Traducci¨®n de News Clips.