Filtración de datos personales en las apps de smartphone

Privacy International habla sobre las aplicaciones para monitorizar el período y los peligros de compartir tus secretos con estas aplicaciones.

Algunas aplicaciones de smartphone recuerdan a los usuarios para que tomen sus medicamentos, monitorean la calidad del sueño o cuentan los pasos y las calorías. De hecho, cada vez hay más aplicaciones que controlan nuestra salud y bienestar. A menudo este tipo de programas solicitan que los usuarios compartan datos muy personales sobre sus sentimientos, estados de ánimo, diagnósticos y demás y, por desgracia, no todos tratan esa información privada en las apps con la precaución necesaria.

En el 36C3, la organización de derechos humanos Privacy International compartió los resultados de un estudio sobre las aplicaciones que ayudan a las mujeres a predecir su período, monitorear su salud reproductiva y planificar embarazos. El resultado fue que algunas de estas aplicaciones abusaban de la confianza de los usuarios hasta el punto de compartir información íntima con Facebook y otros.

¿Qué es lo que Facebook ha visto exactamente?

Para la realización de este informe sobre el uso de datos personales por las aplicaciones, los investigadores analizaron dos aplicaciones: Maya y MIA (5 millones y 1 millón de descargas en Google Play, respectivamente). El estudio fue muy directo: Privacy International solo comprobó el tráfico saliente de las aplicaciones, que ejecutaron en un sandbox, y analizaron los datos transferidos, incluyendo su destino. Los resultados fueron como mínimo interesantes.

Al principio, incluso antes de presentar a los usuarios su política de privacidad, ambas aplicaciones contactaban con Facebook y los demás socios. Maya enviaba datos a la plataforma de analítica CleverTap y MIA a AppsFlyer, que también ofrece servicios de analítica a desarrolladores.

Lo primero que MIA quería saber era si el usuario había instalado la aplicación con el objetivo de planificar un embarazo o simplemente para monitorear su ciclo menstrual (y de inmediato informaba a sus socios de las respuestas). Y lo mismo sucedía con la información sobre el ciclo, como la fecha y la duración. Después, el programa intentaba descubrir todo lo posible sobre el usuario: sentimientos, métodos anticonceptivos y consumo de cafeína, alcohol y tabaco. La aplicación incluso intentaba recopilar información privada de los usuarios que no tenía nada que ver con la salud de las mujeres, como peinados y manicura.

Con la información que recopilaban, además de sus propias conclusiones sobre la fase del ciclo en la que se encontraba la mujer, la aplicación ofrecía artículos de interés. Esto puede parecer inofensivo o incluso útil, pero la lista de artículos (con relación a lo que la usuaria había informado a la aplicación) se enviaba a Facebook y AppsFlyer.

Por otro lado, la estrategia de Maya resultaba menos creativa. La aplicación difundía toda la información que recibía sobre bienestar, estado de ánimo, métodos anticonceptivos, productos de higiene personal, actividad sexual, etc. El programa no preguntaba sobre peinados o manicuras, pero ofrecía una función de diario personal y todos sus contenidos acababan en Facebook y CleverTap.

Además de esa información, las aplicaciones transmiten también otros datos personales, como direcciones de correos electrónicos o identificadores de dispositivos únicos. En el caso de los usuarios de Facebook, esa información bastaría para identificarlos, aunque no hayan instalado la aplicación de Facebook en su teléfono. Es decir, Facebook sabe perfectamente los datos que obtiene.

¿Por qué quieren las empresas tantos datos personales?

Con esta información y datos personales recogidos por las aplicaciones sobre la salud, el estado de ánimo y la vida íntima del usuario, las redes publicitarias, incluido Facebook, pueden vender sus bienes y servicios de forma más rentable a los publicistas. Por ejemplo, los anuncios dirigidos a las mujeres embarazadas cuestan diez veces más que un anuncio no dirigido, ya que tienen más probabilidades de terminar en una compra (las necesidades de una embarazada son predecibles hasta cierto punto y, además, es muy probable que se trate de una primeriza que no conoce las marcas, por lo que los anunciantes que lleguen primero influirán en su elección).

Pero la publicidad no es lo peor que te puede pasar con los datos personales recogidos por las aplicaciones. Por ejemplo, si llegara a manos equivocadas información sobre el estado de salud del usuario, esto podría afectar al costo del seguro médico. Y si en un proceso de selección el jefe sabe que una de las solicitantes de empleo está planeando quedarse embarazada, él podría dar preferencia a otra candidata. Es más, puede que la mujer no pudiera embarcar en un vuelo internacional. Además, seguramente no quieras que Facebook esté al tanto de información que no contarías ni a tu mejor amigo.

Los desarrolladores de Maya afirman que todos los datos que solicita la aplicación son necesarios para su funcionamiento. Y en parte es verdad: los tratamientos hormonales, el estrés y hábitos como fumar pueden alterar el ciclo menstrual y los cambios de humor, el dolor abdominal y otros síntomas pueden indicar que la menstruación está de camino. No obstante, gran parte de la información solicitada tiene poco o ningún efecto en la precisión del diagnóstico.

Los desarrolladores abandonan Facebook Analytics

Pero tenemos buenas noticias: ni Maya ni MIA transmiten ya información a Facebook. Los investigadores contactaron a los desarrolladores de las aplicaciones y estos rápidamente eliminaron la herramienta Facebook Analytics, responsable del envío de los datos personales de los usuarios. Eso sí, ambas aplicaciones siguen usando CleverTap y AppsFlyer.

Por tanto, no había una necesidad real de transferir los datos personales a Facebook; los desarrolladores simplemente habían integrado un sistema de análisis adicional sin considerar qué datos saldrían y a dónde.

Los creadores de Maya afirman que las terceras partes no tienen acceso a la información de los servidores de CleverTap. Los desarrolladores de la plataforma declaran que la solución cumple con el Reglamento General de Protección de Datos (RGPD) y que sus algoritmos analíticos procesan grupos de datos de forma anónima. Si esto es cierto, entonces podemos considerar que la amenaza a la privacidad de esta aplicación es mínima.

La situación de MIA, que utiliza las analíticas de AppsFlyer, es más sutil. En respuesta a la consulta de los investigadores, la empresa afirmó que no permite que sus clientes recopilen datos personales de los usuarios, incluida la información sobre la salud. AppsFlyer afirma haber contactado con los desarrolladores de la aplicación de MIA para que comprueben su estrategia analítica. Pero como señalan los investigadores, AppsFlyer tiene una vaga noción sobre los datos que debería recopilar de las aplicaciones que funcionan específicamente con información sobre la salud.

Cómo evitar el abuso de datos personales

A la hora de comunicar datos (sobre todo los íntimos) a una aplicación de cualquier tipo, recuerda que esta podría compartir tus datos con terceros. Si no puedes vivir sin un servicio en particular, toma en cuenta las siguientes recomendaciones de seguridad para evitar la filtración de datos personales:

  • Elige las aplicaciones con prudencia. Lee las opiniones en Google Play y la App Store y comprueba lo que dicen los usuarios sobre los desarrolladores por Internet: quizás el programa que te interese haya sido acusado de compartir datos con quien no debería, o puede que goce de una reputación impecable. Ambos escenarios son posibles.
  • Si una aplicación quiere datos confidenciales sobre ti, echa un vistazo a su política de privacidad. Es probable que afirme abiertamente que tus datos se compartirán con empresas de terceros y eso sí es una mala señal. Pero, aunque no aparezca una cláusula específica, si la política es incomprensible o difusa, los desarrolladores podrían estar intentando ocultar algo.
  • Si necesitas una aplicación que controle tu período, al menos ya sabes que dos (Maya y MIA) han dejado de colaborar con Facebook. El informe de Privacy International también menciona otros programas que no demuestran prácticas infames que ponen en peligro la privacidad de los usuarios.
  • No ofrezcas a las aplicaciones más información de la necesaria. Piensa bien qué es lo que necesitan y qué pueden hacer sin estos datos. Pero, tranquilo, no estamos sugiriendo que vuelvas al papel y al lápiz, solo te aconsejamos que seas consciente de que es poco probable que la información que entregas a las aplicaciones quede en privado.

Consejos