La recolección de datos por parte del software que usamos en las diversas plataformas móviles y de escritorio representa una de las principales amenazas a nuestra seguridad como usuarios, aunque parezca inofensivo. En principio, este envío de datos hacia los servidores de las empresas desarrolladoras se hacía bajo la figura y el concepto de mejorar la experiencia del usuario, sin embargo, en estos informes iba mucho más que simples datos sobre el funcionamiento del software.

Luego de los escándalos que destaparon todo el entramado que existe para la recolección, procesamiento y comercialización de los datos obtenidos por las apps, todo este asunto se hizo más claro y la población en general pudo tener una idea de lo que ocurría con su información. No obstante, aún lo vemos un poco lejano por lo que a continuación vamos a hablar sobre los mecanismos que usan las apps para robar nuestra información y qué hacen con ella posteriormente.

¿Cómo las aplicaciones obtienen nuestra información?

Como mencionamos anteriormente, este tema tiene sus inicios en aquellas inocentes peticiones de unirnos a un programa para mejorar la experiencia del usuario que enviará informes a los servidores de las empresas. Esto es algo que podíamos encontrar en Windows y también en Google Chrome, aunque existía la posibilidad de evitar el envío de estos informes. Sin embargo, programas como CCleaner, ampliamente ocupado en el mantenimiento de software de los equipos hacían caso omiso a nuestras decisiones en estos casos e igualmente se mantenía recolectando datos.

Los términos y condiciones

Distanciándonos un poco de estos orígenes, llegamos a nuestros días en donde podemos ver como de pronto se hace viral la publicación de fotografías nuestras, procesadas por una aplicación llamada FaceApp que nos aumenta la edad, pone barba o cambia el sexo. Sin duda resultan divertidos los resultados, sin embargo, esa área que nunca leemos llamada “Términos y Condiciones” hablaba sobre la reproducción, modificación y hasta publicación de cualquier dato proporcionado, lo que resulta sumamente oscuro y alarmante al ver la viralización de la app.

De esta manera, podemos ver como esta aplicación y muchas que siguen su ejemplo, aprovechan que realmente nadie lee los términos y condiciones de las aplicaciones e indican de la manera más explícita todo lo que están haciendo. En ese sentido, aplicaciones como FaceApp técnicamente no están robando nuestra información, sino que los usuarios proporcionamos el permiso al aceptar los términos y condiciones.

Aunque leer los términos y condiciones podría tomarnos un buen rato, también es posible hacer búsquedas en el texto con palabras claves como “datos”, “uso” o “reproducción” que nos permitan llegar al área en donde se habla del uso de nuestra información. Otra manera de evitar esta amenaza es instalar únicamente lo necesario, en lugar de probar cualquier app de la tienda, así, podrás reducir la exposición a este tipo de escenarios.

Permisos de acceso

En el ámbito de las aplicaciones móviles se maneja con frecuencia el concepto de los permisos de acceso, considerando que, al ser instaladas necesitarán acceder a determinadas áreas del dispositivo. Por ejemplo, si instalamos una aplicación que agrega filtros en tiempo real, entonces tendrá acceso directo al funcionamiento de la cámara. Sin embargo, esto no resulta un problema cuando los permisos hacen referencias a áreas que lógicamente son usadas por la app. El verdadero problema inicia con una enorme cantidad de apps que solicitan permisos de acceso a áreas que no son de su competencia.

Desde hace varios años se han venido retirando de la Playstore cientos de aplicaciones por aprovechar el acceso a los dispositivos para propósitos como el minado de criptomonedas o el acceso a datos. Pero si pensamos un poco en el proceso de instalación de una app, al presentarse la petición para conceder los permisos necesarios, simplemente los otorgamos sin darnos cuenta a qué está haciendo referencia la app. De esta forma acabamos dándole permisos a nuestras llamadas, cámara y micrófono a una aplicación de linterna, por ejemplo.

Si bien parece una práctica deshonesta, de nuevo se aprovechan de un vacío dentro del flujo de acciones de los usuarios que al instalar una aplicación mantienen la costumbre de presionar “Siguiente” tantas veces como sea necesario para culminar el proceso.

Aplicaciones falsas y trampas reales

La desincorporación de aplicaciones maliciosas en la Playstore es una situación que no ha parado desde hace varios años y la noticia más reciente de este caso tiene menos de un mes. Así es como se han eliminado 25 aplicaciones de la tienda por robar los datos de Facebook de los usuarios. Para lograrlo, las apps en cuestión se mantenían funcionando en segundo plano y al detectar la ejecución de Facebook, se encargaban de presentar una página de inicio falsa que robaba nuestras credenciales al intentar iniciar sesión.

Estamos hablando de aplicaciones de todo tipo, desde linternas hasta editores de video y gestores de archivos. En ese sentido, entramos en un área en donde a todas luces están robando nuestra información a través de aplicaciones que nos engañan mostrando una utilidad que resulta una máscara para sus funciones de robar datos de Facebook.

¿Qué tipo de datos están obteniendo las aplicaciones?

En los casos que mencionamos anteriormente hemos visto como las empresas buscan recopilar desde tus credenciales de Facebook, hasta las fotos de tu galería. Cualquier pieza de información, desde la más clara hasta aquella que piensas que es inútil, resulta funcional para los fines de las empresas que comercial con nuestros datos. En ese sentido, no solo podrían encontrar valor en la metadata de una imagen, sino también en datos como el IMEI del dispositivo. Este representa un código único e irrepetible en cada dispositivo, por lo que podemos verlo como que a través de esta información las empresas obtienen el dato de identidad de uno o miles de móviles. Lo mismo ocurre con las direcciones MAC tanto de computadores, smartphone como de routers y otros dispositivos de red.

¿Qué hacen las empresas con mis datos?

Entiendo las diferentes técnicas aplicadas para obtener nuestros datos y el tipo de información que buscan, nace la pregunta del millón ¿para qué? O ¿qué están haciendo con estos datos? La respuesta es tan simple como que la información es el oro de nuestros tiempos. Partiendo de esto, así como en la antigüedad existían piratas que iban por su cuenta y corsarios al servicio de diversos países en busca de botines de oro por todo el mar, en nuestros días existen las mismas figuras intentando obtener botines de datos por toda la red.

En ese sentido, estás aplicaciones que toman los diversos tipos de datos que existen en nuestros dispositivos, son puestas a las órdenes de todo tipo de compañías, para usos que van desde el análisis y la publicidad hasta la venta de likes y seguidores. El escándalo de Cambrigde Analytica representa uno de los ejemplos más palpables de lo que se hace con la información recolectada de un universo de usuarios.

Si seguimos el caso de las últimas 25 aplicaciones eliminadas de la Playstore, veremos como las credenciales robadas eran usadas para servicios de venta de likes y seguidores. De modo que, nuestras  propias redes sociales pueden acabar formando parte de enormes granjas en donde se comercia con el tráfico de las cuentas.

Otras formas de monetización usada por estas empresas involucran la minería de criptomonedas con el acceso a nuestros dispositivos. Asimismo, aquellas como FaceApp que están obteniendo millones de fotografías de personas de todo el mundo, podrían usarlas no solo para entrenar su inteligencia artificial sino para venderlas a empresas de anuncios publicitarios, por lo que si has usado este app, no será extraño verte en algún banner de internet.

¿Entonces no estamos a salvo?

La realidad de este asunto es que en general, nos encontramos a merced de las empresas con el acceso a nuestra información. Sin embargo, es posible controlar las aplicaciones que usamos y saber en manos de quién estamos poniendo nuestros datos. Por ejemplo, existen aplicaciones orientadas a las finanzas que manejan muchos datos sensibles de sus usuarios, por lo que antes de hacer esto, lo mejor es conocer quien se encuentra detrás de su desarrollo en incluso ver si es de código abierto.

Las aplicaciones de código abierto resultan un oasis en estos casos, siendo mucho más amigables con el tratamiento de la información que ingresamos. En ese sentido, nuestras recomendaciones se enfocan en instalar solo aquellas apps que usamos con frecuencia, evitar probar alternativas de empresas poco conocidas y promover el uso de soluciones de código abierto.