C¨®mo saber cu¨¢ndo una ¡®app¡¯ accede a la ubicaci¨®n, la c¨¢mara o el micr¨®fono del m¨®vil
Los expertos en ciberseguridad insisten en instalar solo las aplicaciones estrictamente necesarias
"Oye @Aeromexico ?por qu¨¦ est¨¢n tratando de usar la c¨¢mara de mi celular?". Con este tuit, el periodista brit¨¢nico Duncan Tucker preguntaba hace unas semanas a la aerol¨ªnea porque hab¨ªa intentado acceder a la c¨¢mara del tel¨¦fono cuando, adem¨¢s, ten¨ªa el permiso pertinente desactivado. Pr¨¢cticamente todas las aplicaciones en el mercado recopilan datos de los usuarios y tienen acceso a determinados permisos. Pero en muchas ocasiones al usuario se le escapa en qu¨¦ momento las aplicaciones los utilizan y si lo hacen de forma l¨ªcita. ?Es posible saber cu¨¢ndo una aplicaci¨®n accede a la c¨¢mara, las fotograf¨ªas o el micr¨®fono de un tel¨¦fono m¨®vil?
Javier Tall¨®n, miembro del Grupo de Seguridad Inform¨¢tica y para la Defensa del Consejo de Colegios de Ingenier¨ªa Inform¨¢tica, explica en referencia al caso de Tucker que el acceso a la c¨¢mara por parte de la aerol¨ªnea mexicana podr¨ªa ser l¨ªcito en algunas situaciones. Por ejemplo, en el caso de que se estuviese usando para la lectura de c¨®digos de los billetes. Pero, a juzgar por el tuit del periodista, la aplicaci¨®n intent¨® acceder a este permiso en un momento en el que no correspond¨ªa.
Tucker descubri¨® las intenciones de la aerol¨ªnea mexicana porque ten¨ªa activado en su smartphone el ¡°monitor de permisos de aplicaciones". Se trata de una funci¨®n solo disponible para algunos terminales de Samsung que permite dar permisos a la carta a cada aplicaci¨®n y saber cu¨¢ndo hace uso de ellos. ¡°Recibe notificaciones cuando las aplicaciones que se est¨¦n ejecutando en segundo plano utilicen los permisos que has seleccionado¡±, se informa al ir a activar la funci¨®n en los ajustes del tel¨¦fono. Adem¨¢s, toda esta actividad queda registrada en un historial que el usuario puede revisar en cualquier momento.
El monitor de permisos en este caso alerta de la intenci¨®n y no tanto de la ejecuci¨®n, seg¨²n subraya Tall¨®n, que tambi¨¦n es cofundador y director t¨¦cnico y de operaciones de jtsec Beyond IT Security: ¡°Podemos pensar que, al tratar la aplicaci¨®n de usar la c¨¢mara, el monitor de permisos detecta que hay un comportamiento sospechoso y lanza la alerta. Sin embargo, la aplicaci¨®n nunca pudo llegar a acceder a la c¨¢mara del dispositivo al estar el permiso desactivado¡±.
A qu¨¦ informaci¨®n accede cada aplicaci¨®n
Normalmente, un usuario puede conocer el listado de permisos que necesita una app para funcionar en el momento de su instalaci¨®n. Las apps suelen solicitar al usuario una media de entre tres y cuatro permisos, seg¨²n afirma Tall¨®n. Los permisos m¨¢s solicitados, seg¨²n sostiene, son el acceso a archivos del usuario, a la c¨¢mara del dispositivo y a los servicios de localizaci¨®n. Y las aplicaciones que tienden a solicitar la mayor cantidad de permisos son las relacionadas con redes sociales y compras online.
¡°Una vez instalada la aplicaci¨®n, podemos conocer la primera vez que hace uso de cada permiso, ya que solicitar¨¢ su ejecuci¨®n al usuario¡±, explica Ismael Morales, miembro del Grupo de Seguridad Inform¨¢tica y para la Defensa del CCII y technical cybersecurity manager en Wellness TechGroup. Despu¨¦s, las aplicaciones no necesitar¨¢n consentimiento del usuario cada vez que usen los permisos anteriormente aceptados: ¡°A partir de este punto, el usuario ya no sabe cu¨¢ndo las aplicaciones hacen uso de los permisos¡±.
De hecho, la funci¨®n del m¨®vil de Tucker solo est¨¢ disponible en algunos m¨®viles de Samsung y no es com¨²n en el resto de terminales. ¡°Es dif¨ªcil para un usuario corriente saber a qu¨¦ informaci¨®n tiene acceso una aplicaci¨®n o el propio dispositivo m¨¢s all¨¢ del control de permisos¡±, asegura Tall¨®n. Para protegerse, los expertos consultados recomiendan instalar solo las apps que realmente se necesiten y fijarse antes de hacerlo en si los permisos solicitados pueden ser abusivos. Morales aconseja que en el caso de contar con varias alternativas al instalar una aplicaci¨®n que ofrece la misma funcionalidad, es preferible instalar la que menos permisos que consideremos abusivos solicite.
Herramientas
El investigador del ICSI Serge Egelman explica que existen muchos sitios web y herramientas que muestran qu¨¦ permisos son solicitados por una aplicaci¨®n, pero no informan de si esos permisos se usan realmente en la pr¨¢ctica ni del momento preciso en el que se utilizan: ¡°Saber que se solicita un permiso no es lo mismo que saber que realmente se us¨®¡±.
Para detectar qu¨¦ permisos usa una aplicaci¨®n y en qu¨¦ momento lo hace, seg¨²n se?ala, debe de modificarse el sistema operativo. ?l lo ha hecho con un grupo de investigadores y ha creado AppCensus, una compa?¨ªa que se encarga de verificar el comportamiento de diferentes apps de Android. ¡°Durante varios a?os, hemos estado construyendo nuestra propia versi¨®n personalizada de Android que incluye instrumentaci¨®n para monitorear el acceso de las aplicaciones a los datos personales. Debido a que esto requiere modificaciones del sistema operativo, no se puede hacer en una aplicaci¨®n que se instala desde Play Store¡±, afirma.
AppCensus facilita en su web informaci¨®n sobre los comportamientos de diferentes apps en el mercado para que el usuario pueda saber a qu¨¦ datos acceden y si son compartidos con terceros. Se trata, seg¨²n Egelman, de una de las pocas formas de que los consumidores entiendan las implicaciones de privacidad de las aplicaciones que usan¡±. Subraya que antes solo hab¨ªa dos formas de saberlo: leer las pol¨ªticas de privacidad y examinar el tr¨¢fico de la red. ¡°Todos conocemos los problemas con las pol¨ªticas de privacidad. Son ambiguas, requieren mucho tiempo y son dif¨ªciles de leer. En segundo lugar, esperar que el usuario promedio monitoree y analice el tr¨¢fico de la red es simplemente absurdo, adem¨¢s de que significa que para cuando detecta un mal comportamiento, este ya ha pasado¡±, a?ade.
Joel Reardon, profesor asociado de la Universidad de Calgary y otro de los art¨ªfices de AppCensus, cuestiona la usabilidad de una herramienta que constantemente le informe al usuario de que una app va a utilizar su permiso. Para ¨¦l, ser¨ªa ¨²til que el usuario pudiera, por ejemplo, negar el acceso a la ubicaci¨®n, el micr¨®fono o la c¨¢mara cuando la pantalla o el audio del terminal estuvieran apagados.
Tanto Egelman como Reardon hacen hincapi¨¦ en que algunas aplicaciones buscan la forma de acceder a determinada informaci¨®n aunque el usuario les haya denegado el permiso de forma expl¨ªcita. Ambos han participado en una investigaci¨®n llevada a cabo por un equipo de expertos en ciberseguridad, que ha revelado que hasta 12.923 apps han encontrado la forma de seguir recopilando informaci¨®n privada pese a haberles negado los permisos expl¨ªcitamente. El n¨²mero de usuarios potenciales afectados por estos hallazgos, seg¨²n se?alan, es de ¡°cientos de millones¡±.
Consejos para protegerse como usuario
Desarrolladores de aplicaciones e incluso fabricantes de terminales recopilan frecuentemente informaci¨®n de los usuarios sin su consentimiento. As¨ª lo afirma Tall¨®n, que se?ala que existe una diferencia considerable en la calidad de los smartphones de diferentes fabricantes: ¡°Aunque, la tendencia es a pensar que los fabricantes m¨¢s conocidos son los m¨¢s confiables, resulta evidente que el tr¨¢fico de informaci¨®n de usuarios a gran escala es un negocio muy lucrativo y en el que participan, muy probablemente, la mayor¨ªa de las grandes empresas del mundo de los smartphones¡±.
Por ello, se?ala que lo ideal es tratar de usar dispositivos cuya seguridad haya sido verificada y certificada por profesionales del sector independientes de los fabricantes. ¡°Por ejemplo, en Espa?a tenemos la certificaci¨®n LINCE, que ha sido publicado recientemente por el Centro Criptol¨®gico Nacional y que est¨¢ orientada a garantizar un nivel b¨¢sico de seguridad y a comprobar este tipo de comportamientos en diferentes productos¡±.
Por su parte, Morales advierte de que "uno de los puntos m¨¢s d¨¦biles de un smartphone es la carga del mismo". Seg¨²n explica, existen cables para cargar el m¨®vil que no permiten el intercambio de datos cuando, por ejemplo, se conecta el m¨®vil a un ordenador. "En este caso, una de las medidas principales es intentar evitar la carga de m¨®vil con un cable que no sea exclusivamente de carga en lugares p¨²blicos", afirma.
Tu suscripci¨®n se est¨¢ usando en otro dispositivo
?Quieres a?adir otro usuario a tu suscripci¨®n?
Si contin¨²as leyendo en este dispositivo, no se podr¨¢ leer en el otro.
FlechaTu suscripci¨®n se est¨¢ usando en otro dispositivo y solo puedes acceder a EL PA?S desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripci¨®n a la modalidad Premium, as¨ª podr¨¢s a?adir otro usuario. Cada uno acceder¨¢ con su propia cuenta de email, lo que os permitir¨¢ personalizar vuestra experiencia en EL PA?S.
En el caso de no saber qui¨¦n est¨¢ usando tu cuenta, te recomendamos cambiar tu contrase?a aqu¨ª.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrar¨¢ en tu dispositivo y en el de la otra persona que est¨¢ usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aqu¨ª los t¨¦rminos y condiciones de la suscripci¨®n digital.
Sobre la firma
