Tu teléfono habla de ti a tus espaldas.

Siguen el rastro rastreando a los rastreadores que te rastrean.


Ilustración de una persona en medio de docenas de pantallas de computadora

Los rastreadores de datos están en todas partes en las aplicaciones. Los investigadores quieren saber qué información están transmitiendo.

imágenes falsas

Cuando descarga una aplicación, las solicitudes de permisos y la política de privacidad suelen ser las únicas advertencias que recibirá sobre los datos que está tomando. Por lo general, solo tiene que tomar la palabra de la aplicación de que está tomando solo los datos que acordó proporcionar.
Sin embargo, a menudo, hay más acaparamiento de lo que se te hizo creer, según han determinado los investigadores de seguridad. Se ha encontrado que más de 1,000 aplicaciones toman datos incluso después de que les haya denegado los permisos . Por ejemplo,  las aplicaciones de seguimiento menstrual han compartido información confidencial con Facebook, así como con otras compañías que no esperaba. Del mismo modo, las aplicaciones diseñadas para bloquear las llamadas automáticas han compartido los datos de su teléfono con empresas de análisis.
Cada vez que un dispositivo envía datos, el tráfico se captura y se registra. Su ubicación se utiliza cuando verifica el clima, pero esa misma información se puede enviar a los anunciantes. Los investigadores tienen herramientas para ver ese registro. Luego lo analizan para determinar cuántos datos se envían y hacia dónde van. 
Por lo general, ese tipo de análisis de tráfico de red se usaba para mirar hacia afuera , proporcionando una ventana de lo que estaba sucediendo en las redes públicas de Wi-Fi. Sin embargo, en los últimos años, los investigadores han convertido ese alcance en sus propios teléfonos para ver qué datos envían las aplicaciones en sus dispositivos.

Al echar un vistazo debajo del capó, descubrieron que muchas aplicaciones envían datos que van más allá de lo que las personas aceptan en virtud de las políticas de privacidad y las solicitudes de permisos. 
«Al final, te queda una política que esencialmente no tiene sentido porque no describe lo que está sucediendo con precisión», dijo Serge Egelman, director de investigación de seguridad y privacidad utilizable en el Instituto Internacional de Ciencias de la Computación. «La única forma de responder esa pregunta es entrando y viendo qué está haciendo la aplicación con esos datos». 
A veces, los datos se dirigen a los anunciantes, que creen que pueden usarlos para venderle productos. Los datos de ubicación del teléfono pueden ser una mina de oro para los anunciantes, que lo aprovechan para averiguar dónde están las personas en determinados momentos. Pero también puede ir a agencias gubernamentales que aprovechan la tecnología para vigilar a las personas que usan datos recopilados por aplicaciones que nunca revelaron lo que estaban haciendo. Recientemente, The Wall Street Journal informó que las agencias gubernamentales estaban utilizando dichos datos para rastrear a los inmigrantes .
Estos investigadores están arrojando luz sobre un mundo oculto de seguimiento de datos, y están planteando preocupaciones sobre la cantidad de información que la gente está dando sin saberlo. 

Seguimiento de la ubicación

Will Strafach comenzó a investigar el tráfico de red en 2017, cuando trabajaba en Guardian, una compañía de seguridad móvil que cofundó.
La compañía creó una herramienta de software que las empresas podrían usar para analizar las propias aplicaciones de sus clientes, incluido el tráfico de red. La cantidad de datos provenientes de estas diferentes aplicaciones sorprendió a Strafach.
Algunas aplicaciones regalaron datos de ubicación, enviando hasta 200 registros, cada uno meticulosamente marcado, en un lapso de 12 horas. Incluso cuando los servicios de GPS de un teléfono estaban apagados, Strafach encontró lagunas que permitían el seguimiento de datos, como recopilar información de ubicación cuando un teléfono se conectaba a una red Wi-Fi. 

Captura de pantalla de la aplicación AccuWeather

Aunque debe proporcionarle a la aplicación AccuWeather su ubicación para que pueda indicarle la temperatura donde se encuentra, también estaba brindando esa información confidencial a los anunciantes, descubrió Strafach en 2017.

Captura de pantalla por Sarah Mitroff / CNET

La magnitud del problema llegó a casa cuando descubrió que AccuWeather, una aplicación meteorológica popular, estaba enviando datos de ubicación del usuario incluso cuando la ubicación compartida estaba desactivada. «Cuando era una aplicación real donde la usaba, y conocía a las personas que la usaban, eso era una alarma», dijo Strafach. «Fue entonces cuando se volvió real para mí. Pasó de ‘Esto es un problema’ a ‘Esto debe detenerse de inmediato'».
AccuWeather no respondió a una solicitud de comentarios. 
Strafach ha encontrado que los rastreadores de ubicación ocultos como AccuWeather’s son uno de los mayores problemas de privacidad para las aplicaciones móviles. Las personas dan permiso a las aplicaciones para su propósito previsto, como encontrar el gas más barato cerca, pero no se dan cuenta de que detrás de escena la información se comparte con los corredores de datos. 
A diferencia del malware, que Strafach también investiga, estas aplicaciones están permitidas en los mercados de Google y Apple, y en algunos casos vienen preinstaladas en los dispositivos. Es por eso que investigar estas aplicaciones utilizando el tráfico de red que generan se ha convertido en un nuevo enfoque para Strafach. 
«El tráfico de red es simple», dijo. «Si los datos van desde el teléfono, puedes verlos. Es así de simple». 

Persistencia

Bill Budington, tecnólogo senior de personal de la Electronic Frontier Foundation, ha estado haciendo análisis de red durante más de una década, creando herramientas como Panopticlick para mostrar qué tan seguido se rastrea su navegación web. 
En el último año, Budington comenzó a centrarse en las aplicaciones móviles. Rápidamente encontró una red interconectada de aplicaciones que compartían información sobre personas. 

Bill Budington

Bill Budington, un tecnólogo superior del personal del EFF, ha estado analizando el tráfico de red durante la última década.

Cortesía de Bill Budington.

En enero, lanzó un informe sobre la compañía de videoporteros de Amazon, Ring, revelando que su aplicación de Android estaba repleta de rastreadores de terceros , enviando información de identificación personal a los anunciantes y Facebook. 
A menudo, no es una sola aplicación lo que preocupa. Es cómo están todos unidos, una red de datos oculta en el código que ayuda a los rastreadores a construir una imagen integral de usted y lo que está haciendo. 
Incluso si las empresas dicen que los datos son anónimos, se necesita poco esfuerzo para determinar quién es una persona en función de la ubicación, el tiempo y la actividad, todo lo cual se puede recopilar. 
«Si una aplicación es para ver ESPN, y tiene un rastreador de terceros, y también tiene uno en la aplicación Nest, entonces tienen una muy buena vista de usted en su dispositivo», dijo Budington. «Cuanto más sucede, más pueden los terceros descubrir qué estás haciendo en tu dispositivo». 
La principal preocupación de Budington con los rastreadores es un concepto conocido como «huella digital del dispositivo». Es entonces cuando un rastreador busca una forma única y persistente de identificar a un usuario, incluso cuando se supone que los datos son anónimos. 
Este es un problema que los gigantes tecnológicos han intentado abordar. En 2018, Apple dijo que iba a comenzar a bloquear las huellas digitales del dispositivo en su navegador Safari .
Las huellas digitales pueden funcionar de muchas maneras. Algunos rastreadores recopilarán datos sobre su configuración, fuentes y aplicaciones para usar como huella digital. Funciona porque es poco probable que alguien más tenga exactamente las mismas configuraciones. 
En las aplicaciones móviles, es aún más fácil porque Apple y Google proporcionan identificación publicitaria para sus dispositivos. A menudo puede cambiar esta ID, pero los rastreadores aún pueden obtener datos. Y debido a que ya tienen la dirección IP o el número de hardware de su dispositivo, es bastante fácil hacer coincidir el dispositivo con la nueva ID de publicidad. 

Un esfuerzo de equipo

En el Instituto Internacional de Ciencias de la Computación de la Universidad de California Berkeley, Egelman lidera un equipo de unos 10 investigadores en un laboratorio que utiliza múltiples teléfonos Android personalizados programados para buscar nuevas aplicaciones en Google Play y descubrir qué datos toma cada aplicación de los dispositivos. 
Ha estado investigando la privacidad móvil durante los últimos ocho años, y comenzó a buscar análisis de tráfico de red en los últimos cinco años. 

Serge Egelman

Serge Egelman lidera un equipo de investigadores en UC Berkeley y utiliza dispositivos Android personalizados para rastrear cómo las aplicaciones proporcionan datos sobre sus usuarios.

Cortesía de Serge Egelman.

Su equipo modificó una versión del sistema operativo de código abierto de Android para que registrara todos los datos brutos que se envían desde un dispositivo y hacia dónde se envían. 
La versión personalizada permite a Egelman y su equipo ver todo lo que hace una aplicación, no solo su tráfico de red. En algunos casos, las aplicaciones han intentado acceder a los datos de ubicación pero no los han enviado a través de la red. Ha encontrado instancias de datos de ubicación que se recopilan pero se ocultan antes de que se envíen a través de la red. 
La herramienta busca nuevas aplicaciones y las agrega a una base de datos, que verifica cada dos semanas para ver si se han agregado nuevos rastreadores al código de una aplicación. 
Al igual que Budington, Egelman dijo que la mayor preocupación que ha encontrado al investigar aplicaciones móviles son los identificadores persistentes. En 2019, Egelman publicó una investigación que describía cómo unas 17,000 aplicaciones de Android estaban creando un registro permanente de la actividad del dispositivo al vincular una identificación publicitaria a identificadores únicos que no se podían cambiar, como el número de hardware de su dispositivo. 
Más de un año después, dijo, nada ha cambiado. 
«Es completamente impactante, y nadie se lo toma en serio», dijo Egelman. «Los consumidores reciben una política de privacidad y tal vez algunas solicitudes de permiso. Las solicitudes no cubren los identificadores persistentes que se utilizan. No tienen forma de saber si está ocurriendo y cuándo».  

Lo que puedes hacer

No hay mucho que pueda hacer para protegerse de estos rastreadores más allá de no descargar aplicaciones problemáticas para empezar. Pero a menos que sepa qué aplicaciones debe vigilar, es solo una oportunidad en la oscuridad.
«Esa es la cosa número 1», dijo Budington. «Hay tanta confusión en este espacio y no hay una respuesta clara para ‘cómo me protejo'».
Hay formas de resolver esto. Pero no son perfectos.

Huella dactilar

La huella digital del dispositivo es uno de los problemas más persistentes que los investigadores han encontrado con las aplicaciones que comparten sus datos con terceros.

Andrew Brookes / Getty Images

Egelman ha tomado la herramienta de investigación de su laboratorio y la ha convertido en un método que las personas pueden usar para buscar aplicaciones problemáticas en sus propios dispositivos.
No espera que todas las personas aprendan repentinamente a hacer análisis de tráfico de red, ni quiere que las personas lo hagan. 
«Si se necesita un equipo de investigadores que escriben sus propias herramientas e inspeccionan el tráfico de la red para determinar qué aplicaciones están haciendo exactamente, ciertamente no es razonable esperar que el consumidor promedio haga eso», dijo Egelman. «En cambio, necesitamos grupos de vigilancia y reguladores. Deberían estar haciendo esto para que los consumidores no lo necesiten».
Ofreció sus herramientas a través de una startup llamada AppCensus que le permite buscar aplicaciones y ver qué datos se envían, así como a dónde se envían. El equipo también está trabajando en una aplicación que le avisará cada vez que se envíen datos de identificación a los rastreadores. 
Si desea profundizar más, es posible que tenga que aprender algunos conceptos básicos del análisis de tráfico de red. Por ejemplo, el análisis de AppCensus de Noonlight , una aplicación de seguridad, descubrió que estaba enviando datos solo a Crashlytics. Una mirada más profunda de una investigación de Gizmodo descubrió que Noonlight estaba enviando datos a los anunciantes.    
Herramientas como CharlesProxy están disponibles para descargar e interceptar el tráfico de red desde su dispositivo. Sin embargo, aprender a usarlos es más complejo. 
Guardian’s Strafach dijo que su compañía está trabajando en una actualización de su aplicación de firewall que notificaría a las personas cada vez que una aplicación esté tomando más datos de los que se supone que deberían ser. 
Él no ve el análisis del tráfico de red como una práctica convencional. Aún así, algunas personas con la capacidad técnica para llevar a cabo la investigación podrían estar interesadas. 
«Hay muchas personas a las que les gustaría poder encontrar estas cosas y encontrar algo fácil de usar», dijo Strafach. Si ese día llega, espera que las personas estén mucho más preocupadas por la privacidad.
Fuente: www.cnet.com