El caos que conlleva la fabricación
Una pregunta obvia sobre el software preinstalado es cómo puede ser que los fabricantes no controlen la cadena de producción de sus dispositivos. Parece increíble, pero es así. Hay elementos del hardware que incluyen su propio software. Las actualizaciones del sistema operativo pueden estar subcontratadas. Las operadoras que venden aparatos también añaden sus apps o librerías. Y estos son los fabricantes certificados por Google. Luego hay otros cientos de fabricantes que usan Android y que viven en un panorama parecido al salvaje oeste. Ese caos es quizá el mayor drama que desvela esta nueva investigación. Nadie realmente sabe qué traen de fábrica los móviles. en móviles se habían centrado en apps listadas en Google Play o en muestras de malware”, dice Vallina-Rodríguez. Ahora han analizado lo que los móviles traen de serie y parece fuera de control. Debido a la complejidad del ecosistema, las garantías de privacidad de la plataforma Android pueden estar en cuestión.
El artículo, que se publicará oficialmente el 1 de abril y al que EL PAÍS ha tenido acceso, ha sido ya aceptado por una de las principales conferencias de ciberseguridad y privacidad del mundo, el IEEE Symposium on Security & Privacy de California.
Falta de control
¿Por qué debe preocuparse un ciudadano que lleva un móvil Android? Sobre todo, por la falta de control y transparencia. Las apps que alguien se descarga voluntariamente y empieza a usar preguntan los permisos que el usuario quiere darles. ¿Permites que esta app use tu cámara? ¿Quieres darle acceso a los contactos? Cada cual puede preguntarse por qué una app que mide la distancia y las calorías de un ejercicio en bicicleta quiere entrar al micrófono del móvil. Y puede decir que no. Las apps preinstaladas pocas veces preguntan.
La privacidad es el problema principal en la Unión Europea o Estados Unidos. Pero en naciones con poca regulación hay otro peligro que en algunos casos puede llegar a ser mayor. Ya se han publicado casos de aplicaciones que usan apps preinstaladas para robar dinero o capturar algunas de las funciones del móvil y usarlas en beneficio de quien las ha colocado ahí. Es potencialmente probable que haya muchos más casos de los que han aparecido.
Los Gobiernos y la industria conocen desde hace años este entramado. Las agencias federales de Estados Unidos piden sus móviles con sistemas operativos libres de este software preinstalado y adaptado a sus necesidades. ¿Y los ciudadanos? Ahora despiertan. Sus datos no son tan secretos como los de un ministerio.
“Ejercer control regulatorio sobre todas las versiones de Android es casi inmanejable. Requeriría un análisis muy extenso y costoso”, explica Vallina, y añade que las agencias de protección de datos no pueden asumirlo.
cualquier falta de transparencia en las políticas de información de las aplicaciones respecto a los datos que están cogiendo de los usuarios.
P. Más allá de los problemas de privacidad, ¿cree que en estas apps puede haber problemas más graves de malware?
R. Es evidente que a través de ese software se pueden colar acciones de malware y todo tipo de programas que dan lugar sobre todo a casos de phishing y ransomware, que implican la esclavización o secuestro del móvil en remoto, y que siguen las órdenes de quienes han introducido esos programas en el software que viene preinstalado. Sin tener constancia de casos concretos, estos problemas podrían surgir en países de menos regulación.