Las aplicaciones de sistema (las que están instaladas en tu smartphone por defecto y que normalmente no puedes eliminar) tienden a estar en segundo plano. Pero mientras que con otras aplicaciones y servicios los usuarios al menos pueden elegir, en este caso, las capacidades de rastreo y vigilancia están integradas desde fábrica en los dispositivos.
Lo anterior se concluyó a partir de un estudio conjunto de investigadores de la Universidad de Edinburgh, Reino Unido, y la Trinity College de Dublín, Irlanda. En este estudio se revisaron smartphones de cuatro distribuidores famosos para saber qué tanta información transmiten. Como punto de referencia, los investigadores compararon los resultados con los sistemas operativos de código abierto basados en Android, LineageOS y /e/OS. Esto es lo que descubrieron.
Método de investigación
A fin de preservar la pureza del experimento, los investigadores asignaron un escenario operativo bastante justo para los cuatro smartphones, uno que muy difícilmente los usuarios encontrarían en la vida real: Asumieron que cada smartphone sería utilizado solo para llamadas y mensajes de texto; los investigadores no añadieron aplicaciones, solo se quedaron las instaladas por el fabricante.
Además, el usuario imaginario respondió de manera negativa a todas las preguntas del tipo “¿Quieres reenviar datos para mejorar el servicio?”, que normalmente los usuarios deben contestar cada vez que encienden el dispositivo. No activaron ningún servicio opcional del fabricante, como el almacenamiento en nube o Encontrar mi dispositivo. En otras palabras, mantuvieron los smartphones lo más privados y limpios posible a lo largo del estudio.
La tecnología básica de “rastreo espía” es la misma en todas estas investigaciones. El smartphone se conecta a una minicomputadora Raspberry Pi, la cual actúa como punto de acceso de Wi-Fi. El software instalado en la Raspberry Pi intercepta y descifra el flujo de datos del teléfono. Después, los datos se vuelven a cifrar y se entregan al destinatario: el desarrollador del teléfono, la aplicación o el sistema operativo. Básicamente, los autores del artículo realizaron un ataque de tipo man-in-the-middle (aunque benigno).
La buena noticia es que todos los datos transmitidos están cifrados; parece que finalmente la industria superó está plaga de dispositivos, programas y servidores que se comunicaban en texto claro, sin ningún tipo de protección. De hecho, los investigadores dedicaron mucho tiempo y esfuerzo descifrando y analizando los datos para averiguar qué fue lo que se mandó exactamente.
Después de esto, la investigación se llevó a cabo de manera relativamente tranquila. Los investigadores borraron por completo los datos en cada dispositivo y realizaron una configuración inicial. Después, sin iniciar sesión en una cuenta de Google, dejaron cada smartphone encendido durante unos días y supervisaron la transferencia de datos desde este. A continuación, iniciaron sesión con una cuenta de Google, habilitaron temporalmente la geolocalización y pasaron a los ajustes del teléfono. En cada etapa, monitorearon los datos que se enviaban y a dónde se enviaban. Analizaron un total de seis smartphones: cuadro con el firmware del fabricante y dos con las versiones de código abierto de Android, LineageOS y /e/OS.
¿Quién recopila los datos?
Para sorpresa de nadie, los investigadores descubrieron que los fabricantes de los smartphones fueron los recopiladores principales. Los cuatro dispositivos con el firmware original (y un conjunto de programas preinstalados) reenviaron datos de telemetría, junto con identificadores persistentes como el número de serie del teléfono, al fabricante. Aquí, los autores del artículo delimitaron el firmware estándar de las versiones personalizadas.
Por ejemplo, LineageOS tiene una opción de enviar datos a los desarrolladores (para monitorear la estabilidad operativa de los programas, por ejemplo) pero al desactivar la opción se detiene la transmisión de datos. En los dispositivos con la configuración de fábrica estándar, sí se reduce la cantidad de datos que se envían cuando se bloquea el envío de datos durante la configuración inicial, pero esto no descarta por completo la transmisión de datos.
Los siguientes en recibir datos fueron los desarrolladores de las aplicaciones preinstaladas. Aquí también encontramos un matiz interesante: De acuerdo con las normas de Google, las aplicaciones instaladas desde Google Play deben utilizar un identificador determinado para rastrear la actividad del usuario: ID de publicidad de Google. Si quieres, puedes cambiar este identificador en los ajustes del teléfono. Sin embargo, este requisito no incluye a las aplicaciones que el fabricante preinstala, las cuales utilizan identificadores persistentes para recopilar muchos datos.
Por ejemplo, una aplicación de una red social preinstalada envía datos sobre el propietario del teléfono a sus propios servidores, incluso si ese propietario nunca la ha abierto. Un ejemplo más interesante: El teclado del sistema en uno de los smartphones envió datos sobre qué aplicaciones se estaban ejecutando en el teléfono. Varios dispositivos también incluían aplicaciones del operador que también recopilaban información del usuario.
Finalmente, las aplicaciones de sistema de Google merecen mención aparte. La gran mayoría de los teléfonos llegan con Google Play Services y Google Play Store, y usualmente también con YouTube, Gmail, Maps entre otras ya instaladas. Los investigadores observaron que las aplicaciones y servicios de Google recopilar mucho más información que cualquier otro programa preinstalado. La gráfica a continuación muestra la relación entre los datos enviados a Google (izquierda) y al resto de los destinatarios de telemetría (derecha):
¿Qué datos se envían?
En esta sección, los investigadores se centran nuevamente en los identificadores. Todos los datos tienen algún tipo de código único para identificar al remitente. Algunas veces este código es de un solo uso, lo cual es adecuado para preservar la privacidad al recolectar las estadísticas (por ejemplo, sobre la estabilidad operativa del sistema) que son útiles para los desarrolladores.
Pero también se recopilan identificadores a largo plazo, o incluso persistentes, que violan la privacidad del usuario. Por ejemplo, los propietarios pueden cambiar de forma manual el ya mencionado ID de publicidad de Google, pero muy pocos lo hacen, así que podemos decir que el identificador, el cual se envía tanto a Google como a los fabricantes del dispositivo, es casi persistente.
El número de serie del dispositivo, el código IMEI del módulo de radio, y el número de tarjeta SIM son identificadores persistentes. Con el número de serie del dispositivo y el código IMEI, es posible identificar al usuario incluso después de un cambio de número de teléfono y del restablecimiento completo del dispositivo.
La transferencia regular de información sobre el modelo del dispositivo, el tamaño del display y la versión de firmware del módulo de radio es menos riesgoso en términos de privacidad; los datos son los mismos para una gran cantidad de propietarios del mismo modelo de teléfono. Pero los datos de la actividad del usuario en algunas aplicaciones pueden revelar mucho sobre los usuarios. A este respecto, los investigadores hablan sobre la delgada línea entre los datos requeridos para la depuración de errores de la aplicación y la información que puede utilizarse para crear un perfil detallado del usuario, como para publicidad dirigida.
Por ejemplo, saber que una aplicación está consumiendo la vida de la batería puede ser importante para el desarrollador y resultar en un beneficio para el usuario. Los datos sobre las versiones de programas del sistema que se instalan pueden determinar cuándo descargar una actualización, lo cual también es útil. Pero todavía no sabemos si recopilar información sobre el momento exacto de inicio y finalización de las llamadas telefónicas vale la pena, o incluso si es ético.
La lista de aplicaciones instaladas es otro tipo de datos de usuario que se informa con frecuencia. Esta lista puede decir mucho sobre el usuario, incluidas, por ejemplo, sus preferencias políticas y religiosas.
Combinación de datos de usuario de distintas fuentes
A pesar de su trabajo minucioso, los investigadores no pudieron obtener un panorama completo de cómo varios teléfonos y distribuidores de software recopilan y procesan los datos del usuario. Tuvieron que desarrollar algunos supuestos:
Supuesto uno: los fabricantes de los smartphones que recopilan identificadores persistentes pueden rastrear la actividad del usuario, incluso si el usuario borra todos los datos del teléfono y reemplaza la tarjeta SIM.
Supuesto dos: todos los participantes del mercado tienen la capacidad de intercambiar datos y, al combinar los identificadores persistentes con los personales, además de otros tipos de telemetría, generan el panorama más completo posible de los hábitos y preferencias de los usuarios. Sin embargo, queda fuera del alcance del estudio la forma en la que esto sucede, y si los desarrolladores sí intercambian los datos, o los venden a agregadores terceros.
Lecciones
El ganador nominal en términos de privacidad resultó ser el teléfono con la variante de Android /e/OS, el cual utiliza su propio análogo de Google Play Services y no transmitió ningún dato. El otro teléfono con firmware de código abierto (LineageOS) no envío información a los desarrolladores, pero sí a Google, debido a que los servicios de este estaban instalados en el teléfono. Estos servicios son necesarios para que el dispositivo funcione de forma correcta; algunas aplicaciones y muchas funciones no podrían funcionar, o su funcionamiento sería deficiente, sin Google Play Services.
En cuando al firmware patentado de fabricantes populares, muy pocos elementos los distinguen. Todos recopilan una buena cantidad de datos, citando el cuidado de los usuarios como justificación. Básicamente ignoran la elección del usuario de omitir la recopilación y envío de “datos de uso”, observan los autores. Esta situación solo podría resolverse con normas adicionales para garantizar una mayor privacidad del usuario, y por ahora, solo los usuarios avanzados que puedan instalar sistemas operativos no estándar (con restricciones en el uso de software popular) pueden eliminar la telemetría por completo.
En cuanto a la seguridad, la recopilación de datos de telemetría no parece traer consigo riesgo directos. La situación es extremadamente diferente en los smartphones de tercer nivel, en los cuales se puede instalar malware directamente de fábrica.
La buena noticia de este estudio es que la transmisión de datos en bastante segura, por lo que al menos es difícil para alguien externo poder acceder. Sin embargo, los investigadores sí especificaron un advertencia importante: analizaron modelos de smartphones europeos con software localizado. En otras regiones, las situaciones podrían ser distintas dependiendo de las leyes y regulaciones de privacidad.