Así se fugan sus datos íntimos en las aplicaciones en Android
Situación es causada por los registros de actividad de las ‘apps’, señala estudio
Una de las grandes discusiones en tecnología es cuando se pregunta ¿cuál sistema operativo ofrece más privacidad iOS o Android?
La verdad es que hasta el momento ninguno es 100% confiable. Ambos tienen debilidades, pero también es importante recordar que nadie está a salvo en el ecosistema de Internet y el comportamiento de los usuarios es fundamental. Por más segura que sea una herramienta o sistema, si la persona actúa irresponsablemente en la red, se verá vulnerado.
No obstante, un reciente estudio realizado por investigadores de las universidades de Calgary, Berkeley y Carlos III de Madrid, demostró que Android deja un agujero por donde sale información privada de los usuarios y mediante el cual muchas empresas están sacando provecho.
Esa fuga es causada por los registros de actividad (logs, en inglés) de las aplicaciones en Android. Estos logs son una especie de diario que recopila de forma detallada todo lo que ocurre en una app. Su uso original es para detectar bugs (errores en el código) antes de que una plataforma sea lanzada al público.
Google pide a los desarrolladores que retiren los logs una vez que las aplicaciones salieron al aire, porque pueden contener información sensible. Sin embargo, la investigación demostró que siguen allí y que dejan expuesta mucha información personal.
“Encontramos que los logs no tienen información puramente técnica, sino que por descuido o de forma intencionada también pueden contener datos personales o información que revela la actividad del usuario”, dijo Juan Tapiador, catedrático de la Universidad Carlos III y uno de los autores del artículo, al medio de comunicación El País.
“Un ejemplo es el caso de Microsoft Teams o Discord, o las apps farmacéuticas CVS y Drug Mart, que tienen unas actividades que dan mucha información. En el caso de Teams es posible saber, por ejemplo, el momento exacto en que la persona ha realizado una llamada. En el caso de CVS y Drug Mart se almacenan, entre otros datos, las categorías de productos que se usan para filtrar los resultados de búsqueda. Así queda registrado el tipo de producto farmacéutico que alguien busca, desde anticonceptivos a pastillas para el colesterol”, añadió la publicación.
¿Cómo es que otras empresas acceden a esa información privilegiada? El permiso para entrar a esos “diarios” lo tiene Google, los fabricantes de los dispositivos y a las aplicaciones que los fabricantes desarrollaron y están en Android. En esa lista de estarían coladas empresas dedicadas a la publicidad y que tendrían acceso a esos detalles privados.
Por ejemplo, con esa información se puede determinar la ubicación de los usuarios, las relaciones amorosas, sus gustos, preferencias e intereses.
“De acuerdo a lo enunciado en el artículo (de El País)y a lo que sabemos de Android, desde aplicaciones que ya vienen instaladas en los celulares hasta aplicaciones que instalamos desde Play Store, pueden recopilar esta información del celular. Obviamente, hay información como banca que no recolectan información crítica”, recalcó Miguel Pérez, director de la escuela de Ciberseguridad de la Universidad Cenfotec.
Se trata de información personal, de uso del aparato, de acceso a sitios, de frecuencia de uso, de ubicación, mucha de la cual a veces el mismo usuario autoriza de forma explícita a las aplicaciones, porque así lo solicitan para su correcto funcionamiento.
Ante estas fragilidades que reveló la investigación, se demostró que la peor parte se la lleva el usuario, quien no sabe lo que ocurre mientras utiliza su teléfono. Es software que ya está instalado y donde se recopila muchísima información.
Ecosistemas frágiles
Android se basa en un proyecto de código abierto que es mantenido por Google, mientras que Apple trabaja con un ecosistema cerrado.
El diseño de Android permite que un amplio espectro de desarrolladores pueda contribuir al código y crear aplicaciones.
El especialista en ciberseguridad, Alex Vargas, especificó que esta flexibilidad, puede generar retrasos en la implementación de actualizaciones de seguridad, ya que su adaptación y distribución depende de cada fabricante de manera individual.
Otro punto a tomar en cuenta es que Android ofrece la posibilidad de instalar aplicaciones desde fuentes ajenas a Google Play Store, lo que incrementa el riesgo de incorporar apps maliciosas en el dispositivo si no se maneja con la debida precaución.
“Hoy para mí la exclusividad y la privacidad del código fuente del iOS es un punto extra a los parámetros de seguridad, así como la exclusividad para adquirir aplicaciones y los diferentes parámetros de seguridad a nivel físico ayudan a generar un ambiente más sano”, señaló Alonso Ramírez, de la comisión de Ciberseguridad del Colegio de Profesionales en Informática y Computación.
Cuando se habla de seguridad, se hace referencia al uso indebido de los dispositivos y de su información crítica, mientras que cuando se trata de privacidad, tiene que ver con el acceso y posible uso indebido, sin la autorización explícita del usuario de acceder a información personal como ubicación, sitios visitados, contactos, fotos, entre otros.
“En muchas de las aplicaciones, incluso en redes sociales, mucha de esta información, además de ser recolectada mediante esos logs, nosotros mismos autorizamos y la hacemos pública. La recomendación es que entre menos aplicaciones autoricemos a que tengan acceso a estos datos, mejor para nuestra seguridad”, agregó Pérez.
En medio de esta altísima conectividad, las fugas no solo suceden mediante sistemas operativos, sino también dentro de las aplicaciones que normalmente utiliza el usuario.
La naturaleza y la cantidad de información recopilada varían en función del propósito de la aplicación. Por ejemplo, TikTok, Instagram, Facebook y WhatsApp solicitan acceso a contenidos personales como fotos, videos, datos de geolocalización, datos de voz o audio. Este permiso se concede solo si el usuario lo aprueba durante la configuración inicial, sin embargo, muchas personas pasan por alto esta revisión de permisos.
Formas de blindarse
Según se concluye del estudio, a pesar de que Google advierte a los desarrolladores que no registren la información sensible, ellos lo hacen de todos modos. El problema es que el gigante tecnológico no lo vigila, lo que provoca que haya exposición de datos personales.
Google ya comenzó a trabajar para informarle a los usuarios de esos logs, pero especialistas en ciberseguridad consideran que es apenas un parche para este problema.
Lo que sí puede hacer el usuario es revisar los permisos que le otorga a las aplicaciones. Vargas recomendó que las personas entiendan y verifiquen los accesos que le da a cualquier herramienta antes de instalarla en su dispositivo. “Si una aplicación solicita acceso a información que no necesita para su funcionamiento, es mejor no instalarla”, aseveró.