Siete de cada 10 aplicaciones para móviles comparten sus datos con otros proveedores

Nuestros móviles pueden revelar muchas cosas sobre nosotros: dónde vivimos y trabajamos; quiénes son nuestros familiares, amigos y conocidos; cómo nos comunicamos con ellos (e incluso qué comunicamos), así como nuestros hábitos personales. Con toda esta información almacenada en los dispositivos, no es de extrañar que los usuarios tomen medidas para proteger su privacidad, como utilizar números de identificación personal o códigos de acceso para desbloquear el teléfono.

El estudio que estamos llevando a cabo junto con nuestros compañeros ha identificado y está investigando un riesgo importante desconocido para la mayoría: más del 70% de las aplicaciones para móviles transmite datos personales a empresas de seguimiento como Google Analytics, la API Graph de Facebook o Crashlytics.

Cuando los internautas instalan una nueva aplicación Android o iOS, esta pide permiso al usuario antes de acceder a la información personal. En términos generales, esto es positivo. Además, parte de la información que recogen estas aplicaciones es necesaria para que funcionen correctamente. Por ejemplo, un mapa para móvil sería muchísimo menos útil si no pudiese utilizar los datos del GPS para encontrar una localización.

Pero, una vez que la app tiene permiso para recoger esa información, puede compartir tus datos con quien su creador quiera, permitiendo así que terceras empresas hagan un seguimiento de dónde te encuentras, a qué velocidad te mueves y qué estás haciendo.

Las bibliotecas codificadas

Una aplicación no solo recopila datos para utilizarlos en el propio teléfono móvil. Por ejemplo, los mapas mandan tu localización a un servidor gestionado por el creador de la app para que calcule las direcciones desde el punto donde te encuentras hasta el destino deseado.

Asimismo, la aplicación puede mandar datos a cualquier parte. Igual que las páginas web, muchos programas para móviles están escritos combinando diversas funciones, precodificadas por otros fabricantes y empresas, en lo que se denomina “bibliotecas de terceros”. Estas bibliotecas ayudan a los fabricantes a rastrea los intereses de los usuarios, conectar con las redes sociales y ganar dinero mostrando anuncios y otros elementos sin tener que escribirlos de cero.

Sin embargo, aparte de su valiosa ayuda, la mayoría de las bibliotecas también recogen datos delicados y los envían a sus servidores o a otra empresa totalmente ajena. Los creadores de bibliotecas más competentes son capaces de elaborar detallados perfiles digitales de los usuarios. Por ejemplo, puede que una persona dé permiso a una aplicación para que sepa cuál es su localización, y que a otra le dé acceso a sus contactos. En principio, ambos son permisos separados, uno para cada aplicación; pero si las dos utilizan la misma biblioteca de terceros y comparten fragmentos de información diferentes, el creador de la biblioteca puede conectar esos fragmentos.

Los usuarios nunca se enterarán, porque las aplicaciones no tienen que informarles de las bibliotecas de programas que utilizan. Además, muy pocas aplicaciones hacen pública su política de privacidad y, en caso de que lo hagan, suele ser mediante extensos documentos legales que una persona normal no lee , y muchos menos entiende.

El desarrollo de Lumen

El objetivo de nuestro estudio es dar a conocer cuántos datos se pueden estar recopilando sin que los usuarios lo sepan, y dar a estos últimos más control sobre sus datos. Para obtener una imagen de qué datos se están recogiendo y transmitiendo desde los teléfonos móviles, hemos desarrollado nuestra propia app para Android gratis, llamada Lumen Privacy Monitor. La aplicación analiza el tráfico que envían las apps con el fin de revelar qué aplicaciones y servicios por Internet recopilan activamente datos personales.

Como la finalidad de Lumen es la transparencia, el usuario de un teléfono puede ver en tiempo real la información que recogen las aplicaciones que tiene instaladas y con quién comparten esos datos. Intentamos mostrar los detalles del comportamiento oculto de las aplicaciones de una manera fácil de entender. La investigación también es importante, así que preguntamos a los usuarios si nos permiten recopilar algunos datos sobre lo que Lumen observa que están haciendo sus aplicaciones, pero en ellos no se incluye ninguno personal ni delicado para la privacidad. Este acceso exclusivo nos permite estudiar cómo las apps de los móviles recopilan datos personales del usuario y con quién los comparten a una escala sin precedentes.

En particular, Lumen hace un seguimiento de qué aplicaciones están en funcionamiento en el terminal del usuario, si están transmitiendo desde el teléfono datos delicados para la privacidad, a qué sitios de Internet los envían, el protocolo de red que utilizan y qué clase de información personal manda cada aplicación a cada sitio. Lumen analiza el tráfico de las apps en el mismo terminal y elimina cualquier información relacionada con la identidad de la persona antes de mandárnoslos para el estudio. Por ejemplo, si Google Maps registra la localización GPS de un usuario y manda la dirección específica a maps.google.com, Lumen nos dice “Google Maps ha encontrado una localización GPS y la ha enviado a maps.google.com”, pero no dónde se encuentra realmente esa persona.

Los rastreadores están en todas partes

Desde octubre de 2015, más de 1.600 personas han utilizado Lumen, lo cual nos ha permitido analizar más de 5.000 aplicaciones. Hemos descubierto 598 sitios de Internet que probablemente estaban haciendo un seguimiento de los usuarios con fines publicitarios, incluidos proveedores de servicios de redes sociales como Facebook, grandes compañías de Internet como Google y Yahoo, y empresas de marketing en la Red que operan bajo el paraguas de proveedores de servicios de Internet como Verizon y Wireless.

Hemos descubierto que más del 70% de las aplicaciones que analizamos conectaron al menos con un rastreador, y que el 15% lo hicieron con cinco o más. Uno de cada cuatro rastreadores recopiló al menos un identificador propio del dispositivo, como el número de teléfono o el número IMEI de 15 dígitos exclusivo del terminal. Los identificadores exclusivos son cruciales para los servicios de seguimiento por Internet porque permiten conectar los diferentes tipos de datos personales proporcionados por distintas aplicaciones con una persona o un dispositivo concretos. La mayoría de los usuarios, incluidos los que dominan el tema de la privacidad, desconocen estas prácticas ocultas.

Más que un problema de los móviles

El seguimiento de los usuarios a través de sus dispositivos móviles no es más que una parte de un problema mayor. Más de la mitad de las aplicaciones de seguimiento que hemos identificado también actúan a través de las páginas web. Gracias a esta técnica, denominada seguimiento “interdispositivos”, los proveedores de servicios pueden elaborar un perfil mucho más completo de la imagen de uno en Internet.

Por otra parte, cada uno de los sitios que realizan seguimientos no tiene por qué ser independiente de los demás. Algunos son propiedad de la misma persona jurídica, mientras que cabe la posibilidad de que otros sean absorbidos en futuras fusiones. Por ejemplo, Alphabet, la empresa matriz de Google, es propietaria de varios de los dominios de seguimiento que investigamos, incluidos Google Analytics, DoubleClick o AdMob, y a través de ellos recopila datos de más del 48% de las aplicaciones que analizamos.

Las leyes de los países de origen de los usuarios no protegen las identidades de estos en la Red. Hemos descubierto que los datos se transfieren más allá de las fronteras nacionales, y que a menudo van a parar a países cuyas leyes sobre la privacidad son de dudosa confianza. Más del 60% de las conexiones con los sitios dedicados al seguimiento se realizan con servidores ubicados en Estados Unidos, Reino Unido, Francia, Singapur, China y Corea del Sur, seis países que han aplicado tecnologías de vigilancia masiva. Es posible que en estos sitios los organismos gubernamentales tengan acceso a los datos, aunque los usuarios estén en países con leyes de protección de la privacidad más estrictas, como Alemania, Suiza o España.

Todavía más preocupante es que hemos observado la presencia de rastreadores en aplicaciones destinadas a los niños. Al analizar 111 apps infantiles en el laboratorio, vimos que 11 de ellas filtraban la dirección MAC, un identificador exclusivo del router inalámbrico al cual estaban conectados. Esto es un problema, porque es fácil buscar a través de Internet las localizaciones físicas asociadas con unas direcciones MAC concretas. Recopilar información privada sobre menores de edad, incluido el lugar donde se encuentran, sus cuentas y otros identificadores exclusivos constituye una posible infracción de las normas de protección de la privacidad de los menores de la Comisión Federal de Comercio.

Un simple atisbo

Aunque incluyan muchas de las apps Android más utilizadas, nuestros datos son una pequeña muestra de usuarios y aplicaciones y, por lo tanto, probablemente representen un conjunto reducido de todos los rastreadores posibles. Es posible que nuestros hallazgos solamente estén arañando la superficie de lo que cabe pensar que es un problema mucho mayor que abarca múltiples jurisdicciones normativas, dispositivos y plataformas.

Es difícil saber qué pueden hacer los usuarios al respecto. Impedir que la información delicada salga del teléfono puede afectar al funcionamiento de la aplicación o a la experiencia del usuario. Una aplicación puede negarse a funcionar si no puede cargar publicidad. De hecho, bloquear los anuncios es perjudicial para los creadores de aplicaciones al privarlos de una fuente de ingresos para apoyar su trabajo con los programas que, por lo general, son gratuitos para los usuarios.

Que la gente estuviese más dispuesta a pagar a los creadores por usar las aplicaciones podría ser de ayuda, pero no lo soluciona todo. Hemos descubierto que, aunque las aplicaciones de pago suelen contactar con menos sitios de rastreo, también hacen un seguimiento de los usuarios y conectan con servicios de seguimiento de terceros.

La clave reside en la transparencia, la educación y un marco legal fuerte. Los usuarios tienen que saber qué información relacionada con ellos se está recopilando, quién la está recopilando, y para qué se está utilizando. Solo entonces podremos decidir como sociedad qué protecciones son necesarias y llevarlas a la práctica. Nuestros hallazgos, así como los de muchos otros investigadores, pueden ayudar a volver las tornas y rastrear a los rastreadores.

Narseo Vallina-Rodriguez es profesor adjunto de investigación, Instituto IMDEA Networks, Madrid, España; Investigador principal de Redes y Seguridad del Instituto Internacional de Ciencias de la Computación de la Universidad de California en Berkeley. Srikanth Sundaresan es becario de investigación de Ciencias de la Computación de la Universidad de Princeton