SAS
Algunas aplicaciones móviles rastrean tu ubicación y la envían en secreto a los servicios que venden estos datos. Y es casi seguro que usas al menos una de estas aplicaciones sin apenas darte cuenta. ¿Cómo puedes determinar qué aplicaciones pueden representar un problema y qué puedes hacer al respecto?
¿Qué aplicaciones móviles te rastrean?
Cuando Costin Raiu, director de Kaspersky GReAT, visualizó a los springbreakers de una playa en Florida dispersarse por los EE.UU. durante la pandemia de COVID-19, no pensó en el coronavirus, sino en las aplicaciones que rastrean la ubicación de sus usuarios. El informe utilizó la investigación que incluía los datos de ubicación de X-Mode. ¿Pero de dónde obtuvo los datos X-Mode?
Pues bien, X-Mode distribuye un SDK, un componente que los desarrolladores pueden insertar en sus aplicaciones, y, dependiendo del número de usuarios frecuentes de la aplicación, les paga a los desarrolladores mensualmente para que lo incluyan. A cambio, el SDK recopila los datos de ubicación, así como datos de los sensores del smartphone, como los del giroscopio, y los envía a los servidores de X-Mode. Posteriormente, X-Mode vende los datos, supuestamente ya anonimizados, a todo aquel que desee adquirirlos.
X-Mode afirma que el SDK no tiene un gran impacto en la vida de la batería, pues solo usa cerca del 1%–3% de la carga, de modo que los usuarios ni siquiera notarán el SDK ni los importunará. X-Mode también afirma que recopilar datos de este modo es “definitivamente legal” y que cumple a cabalidad con el GDPR (Reglamento general de protección de datos de la Unión Europea, por sus siglas en inglés).
¿Cuántas aplicaciones de rastreo existen?
Raiu se preguntó: ¿A él también lo estaban rastreando? El modo más sencillo de saberlo es identificar la dirección de los servidores de comando y control que usan los SDK de rastreo, e inspeccionar el tráfico de red de salida en su dispositivo. Si una aplicación en su smartphone se estaba comunicando con al menos uno de dichos servidores, eso significaría que de hecho lo estaban rastreando. Para completar la tarea, Raiu tuvo que determinar las direcciones del servidor. Su investigación se convirtió en el tema para su charla en la SAS@home conference de este año.
Después de cierto trabajo de ingeniería inversa, intuición y descifrado, así como mover los ajustes aquí y allá, pudo determinar y escribir una secuencia de código que le ayudaba a detectar si una aplicación intentaba tener acceso a sus datos. Básicamente, halló que, si una aplicación presenta cierta línea del código, entonces utiliza el SDK de rastreo.
Raiu descubrió que más de 240 aplicaciones diferentes tienen insertado el SDK. En total, esas aplicaciones se han instalado más de 500 millones de veces. Si optamos por una estimación general en la que el usuario promedio instala una sola vez una aplicación de ese tipo, esto significaría que 1 de cada 16 personas en todo el mundo tiene una aplicación de rastreo instalada en su dispositivo. Y eso es muchísimo. La probabilidad de ser una de ellas, es, bueno, 1/16.
Además, X-Mode es solo una entre las docenas de empresas en este ramo.
Por si fuera poco, cualquier aplicación puede contener más de un SDK. Por ejemplo, mientras Raiu analizaba una aplicación que incluía el SDK de X-Mode en cuestión, asimismo halló otros cinco componentes de otras empresas que también recopilaban los datos de ubicación. Obviamente, el desarrollador intentaba exprimir cada centavo posible de su aplicación, la cual ni siquiera era gratuita. Pagar por una aplicación no significa, por desgracia, que sus creadores no estén intentando obtener más dinero de la transacción.
¿Qué puedes hacer para evitar que te rastreen?
El problema con los SDK de rastreo consiste en que, cuando descargas una aplicación, simplemente no sabes si contiene dichos componentes de rastreo de ubicación. La aplicación podría tener razones legítimas para preguntarte tu ubicación; muchas aplicaciones se basan en ella para funcionar adecuadamente. Pero dicha aplicación también podría vender tus datos de ubicación. La verdad no es fácil determinarlo.
Para ayudar a los usuarios expertos en tecnología a minimizar las probabilidades de que los rastreen, Raiu confeccionó una lista de los servidor de comando y control que los SDK usan. La encontrarás en su página personal en GitHub. Una computadora RaspberryPi, con Pi-hole y el software de WireGuard instalado, puede ayudarte a vigilar el tráfico en tu red doméstica y exponer a las aplicaciones que intentan entrar en contacto con dichos servidores.
Lo anterior probablemente sobrepase las competencias tecnológicas de la mayoría de las personas, pero al menos puedes reducir la posibilidad de que dichas aplicaciones y servicios te rastreen al limitar los permisos de las aplicaciones.
- Revisa qué aplicaciones tienen permiso para usar tu ubicación. Puedes encontrar información sobre cómo hacer eso en Android 8 en este enlace; las versiones posteriores no difieren mucho. Y he aquí cómo desactivar el rastreo de ubicación en iOS. Si crees que una aplicación realmente no necesita dicho permiso, no vaciles en revocarlo.
- Otorga el permiso de usar tu ubicación a las aplicaciones solamente cuando las uses. La mayoría de las aplicaciones no necesita conocer tu ubicación al funcionar de fondo, lo cual hace que este ajuste sea ideal para muchas de ellas.
- Borra las aplicaciones que ya no uses. Si no has usado una aplicación, digamos, hace más de un mes, entonces es seguro que no la necesitas para nada. Y si la necesitas en el futuro, siempre puedes reinstalarla.
- Ten en cuenta que los componentes de rastreo de ubicación ciertamente no son lo peor que puedas encontrar en una aplicación, incluso tratándose de aplicaciones legítimas distribuidas a través de tiendas oficiales. Algunas aplicaciones pueden ser claramente maliciosas, y algunas pueden volverse peligrosas después de adquirirlas o simplemente actualizarlas. Es por ello que recomendamos usar una solución de seguridad confiable, como Kaspersky Internet Security para Android, la cual te protege contra toda suerte de amenazas móviles.
