{"id":16929,"date":"2020-01-27T09:22:12","date_gmt":"2020-01-27T15:22:12","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=16929"},"modified":"2020-04-02T05:38:20","modified_gmt":"2020-04-02T11:38:20","slug":"36c3-period-apps","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/36c3-period-apps\/16929\/","title":{"rendered":"Filtraci\u00f3n de datos personales en las apps de smartphone"},"content":{"rendered":"

Algunas aplicaciones de smartphone<\/em><\/strong> recuerdan a los usuarios para que tomen sus medicamentos, monitorean<\/strong> la calidad del sue\u00f1o o cuentan los pasos y las calor\u00edas. De hecho, cada vez hay m\u00e1s aplicaciones que controlan nuestra salud y bienestar. A menudo este tipo de programas solicitan que los usuarios compartan datos muy personales sobre sus sentimientos, estados de \u00e1nimo, diagn\u00f3sticos y dem\u00e1s y, por desgracia, no todos tratan esa informaci\u00f3n privada en las apps<\/em><\/strong> con la precauci\u00f3n necesaria.<\/p>\n

En el 36C3<\/a><\/strong>, la organizaci\u00f3n de derechos humanos Privacy International comparti\u00f3 los resultados de un estudio<\/a> sobre las aplicaciones que ayudan a las mujeres a predecir su per\u00edodo, monitorear su salud reproductiva y planificar embarazos. El resultado fue que algunas de estas aplicaciones abusaban de la confianza de los usuarios hasta el punto de compartir informaci\u00f3n \u00edntima con Facebook<\/a><\/strong> y otros.<\/p>\n

\u00bfQu\u00e9 es lo que Facebook ha visto exactamente?<\/h2>\n

Para la realizaci\u00f3n de este informe sobre el uso de datos personales por las aplicaciones<\/strong>, los investigadores analizaron dos aplicaciones: Maya y MIA (5 millones y 1 mill\u00f3n de descargas en Google Play, respectivamente). El estudio fue muy directo: Privacy International solo comprob\u00f3 el tr\u00e1fico saliente de las aplicaciones, que ejecutaron en un sandbox<\/a>, y analizaron los datos transferidos, incluyendo su destino. Los resultados fueron como m\u00ednimo interesantes.<\/p>\n

Al principio, incluso antes de presentar a los usuarios su pol\u00edtica de privacidad, ambas aplicaciones contactaban con Facebook y los dem\u00e1s socios. Maya enviaba datos a la plataforma de anal\u00edtica CleverTap y MIA a AppsFlyer, que tambi\u00e9n ofrece servicios de anal\u00edtica a desarrolladores.<\/p>\n

Lo primero que MIA quer\u00eda saber era si el usuario hab\u00eda instalado la aplicaci\u00f3n con el objetivo de planificar un embarazo o simplemente para monitorear su ciclo menstrual (y de inmediato informaba a sus socios de las respuestas). Y lo mismo suced\u00eda con la informaci\u00f3n sobre el ciclo, como la fecha y la duraci\u00f3n. Despu\u00e9s, el programa intentaba descubrir todo lo posible sobre el usuario: sentimientos, m\u00e9todos anticonceptivos y consumo de cafe\u00edna, alcohol y tabaco. La aplicaci\u00f3n incluso intentaba recopilar informaci\u00f3n privada de los usuarios<\/a><\/strong> que no ten\u00eda nada que ver con la salud de las mujeres, como peinados y manicura.<\/p>\n

Con la informaci\u00f3n que recopilaban, adem\u00e1s de sus propias conclusiones sobre la fase del ciclo en la que se encontraba la mujer, la aplicaci\u00f3n ofrec\u00eda art\u00edculos de inter\u00e9s. Esto puede parecer inofensivo o incluso \u00fatil, pero la lista de art\u00edculos (con relaci\u00f3n a lo que la usuaria hab\u00eda informado a la aplicaci\u00f3n) se enviaba a Facebook y AppsFlyer.<\/p>\n

Por otro lado, la estrategia de Maya resultaba menos creativa. La aplicaci\u00f3n difund\u00eda toda la informaci\u00f3n que recib\u00eda sobre bienestar, estado de \u00e1nimo, m\u00e9todos anticonceptivos, productos de higiene personal, actividad sexual, etc. El programa no preguntaba sobre peinados o manicuras, pero ofrec\u00eda una funci\u00f3n de diario personal y todos sus contenidos acababan en Facebook y CleverTap.<\/p>\n

Adem\u00e1s de esa informaci\u00f3n, las aplicaciones transmiten tambi\u00e9n otros datos personales, como direcciones de correos electr\u00f3nicos o identificadores de dispositivos \u00fanicos<\/a><\/strong>. En el caso de los usuarios de Facebook, esa informaci\u00f3n bastar\u00eda para identificarlos, aunque no hayan instalado la aplicaci\u00f3n de Facebook en su tel\u00e9fono. Es decir, Facebook sabe perfectamente los datos que obtiene.<\/p>\n

\u00bfPor qu\u00e9 quieren las empresas tantos datos personales?<\/h2>\n

Con esta informaci\u00f3n y datos personales recogidos por las aplicaciones<\/a><\/strong> sobre la salud, el estado de \u00e1nimo y la vida \u00edntima del usuario, las redes publicitarias, incluido Facebook, pueden vender sus bienes y servicios de forma m\u00e1s rentable a los publicistas. Por ejemplo, los anuncios dirigidos a las mujeres embarazadas cuestan diez veces m\u00e1s que un anuncio no dirigido, ya que tienen m\u00e1s probabilidades de terminar en una compra (las necesidades de una embarazada son predecibles hasta cierto punto y, adem\u00e1s, es muy probable que se trate de una primeriza que no conoce las marcas, por lo que los anunciantes que lleguen primero influir\u00e1n en su elecci\u00f3n).<\/p>\n

Pero la publicidad no es lo peor que te puede pasar con los datos personales recogidos por las aplicaciones. Por ejemplo, si llegara a manos equivocadas informaci\u00f3n sobre el estado de salud del usuario, esto podr\u00eda afectar al costo del seguro m\u00e9dico. Y si en un proceso de selecci\u00f3n el jefe sabe que una de las solicitantes de empleo est\u00e1 planeando quedarse embarazada, \u00e9l podr\u00eda dar preferencia a otra candidata. Es m\u00e1s, puede que la mujer no pudiera embarcar en un vuelo internacional<\/a>. Adem\u00e1s, seguramente no quieras que Facebook est\u00e9 al tanto de informaci\u00f3n que no contar\u00edas ni a tu mejor amigo.<\/p>\n

Los desarrolladores de Maya afirman que todos los datos que solicita la aplicaci\u00f3n son necesarios para su funcionamiento<\/a>. Y en parte es verdad: los tratamientos hormonales, el estr\u00e9s y h\u00e1bitos como fumar<\/a> pueden alterar el ciclo menstrual y los cambios de humor, el dolor abdominal y otros s\u00edntomas pueden indicar que la menstruaci\u00f3n est\u00e1 de camino. No obstante, gran parte de la informaci\u00f3n solicitada tiene poco o ning\u00fan efecto en la precisi\u00f3n del diagn\u00f3stico.<\/p>\n

Los desarrolladores abandonan Facebook Analytics<\/h2>\n

Pero tenemos buenas noticias: ni Maya ni MIA transmiten ya informaci\u00f3n a Facebook. Los investigadores contactaron a los desarrolladores de las aplicaciones y estos r\u00e1pidamente eliminaron la herramienta Facebook Analytics, responsable del env\u00edo de los datos personales de los usuarios<\/strong>. Eso s\u00ed, ambas aplicaciones siguen usando CleverTap y AppsFlyer.<\/p>\n

Por tanto, no hab\u00eda una necesidad real de transferir los datos personales a Facebook<\/a><\/strong>; los desarrolladores simplemente hab\u00edan integrado un sistema de an\u00e1lisis adicional sin considerar qu\u00e9 datos saldr\u00edan y a d\u00f3nde.<\/p>\n

Los creadores de Maya afirman que las terceras partes no tienen acceso a la informaci\u00f3n<\/a> de los servidores de CleverTap. Los desarrolladores de la plataforma declaran que la soluci\u00f3n cumple con el Reglamento General de Protecci\u00f3n de Datos (RGPD)<\/a> y que sus algoritmos anal\u00edticos procesan grupos de datos de forma an\u00f3nima. Si esto es cierto, entonces podemos considerar que la amenaza a la privacidad<\/strong> de esta aplicaci\u00f3n es m\u00ednima.<\/p>\n

La situaci\u00f3n de MIA, que utiliza las anal\u00edticas de AppsFlyer, es m\u00e1s sutil. En respuesta a la consulta de los investigadores, la empresa afirm\u00f3 que no permite que sus clientes recopilen datos personales de los usuarios<\/a>, incluida la informaci\u00f3n sobre la salud. AppsFlyer afirma haber contactado con los desarrolladores de la aplicaci\u00f3n de MIA para que comprueben su estrategia anal\u00edtica. Pero como se\u00f1alan los investigadores, AppsFlyer tiene una vaga noci\u00f3n sobre los datos que deber\u00eda recopilar de las aplicaciones que funcionan espec\u00edficamente con informaci\u00f3n sobre la salud.<\/p>\n

C\u00f3mo evitar el abuso de datos personales<\/h2>\n

A la hora de comunicar datos (sobre todo los \u00edntimos) a una aplicaci\u00f3n de cualquier tipo, recuerda que esta podr\u00eda compartir tus datos con terceros. Si no puedes vivir sin un servicio en particular, toma en cuenta las siguientes recomendaciones de seguridad para evitar la filtraci\u00f3n de datos personales<\/a><\/strong>:<\/p>\n