{"id":20461,"date":"2020-11-09T14:45:50","date_gmt":"2020-11-09T20:45:50","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=20461"},"modified":"2020-11-09T14:45:50","modified_gmt":"2020-11-09T20:45:50","slug":"location-tracking-sdks","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/location-tracking-sdks\/20461\/","title":{"rendered":"Las aplicaciones m\u00f3viles te vigilan"},"content":{"rendered":"

Algunas aplicaciones m\u00f3viles rastrean tu ubicaci\u00f3n y la env\u00edan en secreto a los servicios que venden estos datos. Y es casi seguro que usas al menos una de estas aplicaciones sin apenas darte cuenta. \u00bfC\u00f3mo puedes determinar qu\u00e9 aplicaciones pueden representar un problema y qu\u00e9 puedes hacer al respecto?<\/p>\n

\u00a0<\/p>\n

\u00bfQu\u00e9 aplicaciones m\u00f3viles te rastrean?<\/h2>\n

Cuando Costin Raiu, director de Kaspersky GReAT, visualiz\u00f3<\/a> a los springbreakers<\/em> de una playa en Florida dispersarse por los EE.UU. durante la pandemia de COVID-19, no pens\u00f3 en el coronavirus, sino en las aplicaciones que rastrean la ubicaci\u00f3n de sus usuarios. El informe utiliz\u00f3 la investigaci\u00f3n que inclu\u00eda los datos de ubicaci\u00f3n de X-Mode. \u00bfPero de d\u00f3nde obtuvo los datos X-Mode?<\/p>\n

Pues bien, X-Mode distribuye un SDK, un componente que los desarrolladores pueden insertar en sus aplicaciones, y, dependiendo del n\u00famero de usuarios frecuentes de la aplicaci\u00f3n, les paga a los desarrolladores mensualmente para que lo incluyan. A cambio, el SDK recopila los datos de ubicaci\u00f3n, as\u00ed como datos de los sensores del smartphone<\/em>, como los del giroscopio, y los env\u00eda a los servidores de X-Mode. Posteriormente, X-Mode vende los datos, supuestamente ya anonimizados, a todo aquel que desee adquirirlos.<\/p>\n

X-Mode afirma que el SDK no tiene un gran impacto en la vida de la bater\u00eda, pues solo usa cerca del 1%\u20133% de la carga, de modo que los usuarios ni siquiera notar\u00e1n el SDK ni los importunar\u00e1. X-Mode tambi\u00e9n afirma que recopilar datos de este modo es \u201cdefinitivamente legal\u201d y que cumple a cabalidad con el GDPR (Reglamento general de protecci\u00f3n de datos de la Uni\u00f3n Europea, por sus siglas en ingl\u00e9s).<\/p>\n

\u00a0<\/p>\n

<\/strong><\/p>\n

\u00a0<\/p>\n

\u00bfCu\u00e1ntas aplicaciones de rastreo existen?<\/h2>\n

Raiu se pregunt\u00f3: \u00bfA \u00e9l<\/em> tambi\u00e9n lo estaban rastreando? El modo m\u00e1s sencillo de saberlo es identificar la direcci\u00f3n de los servidores de comando y control<\/a> que usan los SDK de rastreo, e inspeccionar el tr\u00e1fico de red de salida en su dispositivo. Si una aplicaci\u00f3n en su smartphone<\/em> se estaba comunicando con al menos uno de dichos servidores, eso significar\u00eda que de hecho lo estaban rastreando. Para completar la tarea, Raiu tuvo que determinar las direcciones del servidor. Su investigaci\u00f3n se convirti\u00f3 en el tema para su charla en la SAS@home conference<\/a> de este a\u00f1o.<\/p>\n

Despu\u00e9s de cierto trabajo de ingenier\u00eda inversa, intuici\u00f3n y descifrado, as\u00ed como mover los ajustes aqu\u00ed y all\u00e1, pudo determinar y escribir una secuencia de c\u00f3digo que le ayudaba a detectar si una aplicaci\u00f3n intentaba tener acceso a sus datos. B\u00e1sicamente, hall\u00f3 que, si una aplicaci\u00f3n presenta cierta l\u00ednea del c\u00f3digo, entonces utiliza el SDK de rastreo.<\/p>\n

Raiu descubri\u00f3 que m\u00e1s de 240 aplicaciones diferentes tienen insertado el SDK. En total, esas aplicaciones se han instalado m\u00e1s de 500 millones de veces. Si optamos por una estimaci\u00f3n general en la que el usuario promedio instala una sola vez una aplicaci\u00f3n de ese tipo, esto significar\u00eda que 1 de cada 16 personas en todo el mundo tiene una aplicaci\u00f3n de rastreo instalada en su dispositivo. Y eso es much\u00edsimo. La probabilidad de ser una de ellas, es, bueno, 1\/16.<\/p>\n

Adem\u00e1s, X-Mode es solo una entre las docenas de empresas en este ramo.<\/p>\n

Por si fuera poco, cualquier aplicaci\u00f3n puede contener m\u00e1s de un SDK. Por ejemplo, mientras Raiu analizaba una aplicaci\u00f3n que inclu\u00eda el SDK de X-Mode en cuesti\u00f3n, asimismo hall\u00f3 otros cinco componentes de otras empresas que tambi\u00e9n recopilaban los datos de ubicaci\u00f3n. Obviamente, el desarrollador intentaba exprimir cada centavo posible de su aplicaci\u00f3n, la cual ni siquiera era gratuita. Pagar por una aplicaci\u00f3n no significa, por desgracia, que sus creadores no est\u00e9n intentando obtener m\u00e1s dinero<\/em> de la transacci\u00f3n.<\/p>\n

\u00bfQu\u00e9 puedes hacer para evitar que te rastreen?<\/h2>\n

El problema con los SDK de rastreo consiste en que, cuando descargas una aplicaci\u00f3n, simplemente no sabes si contiene dichos componentes de rastreo de ubicaci\u00f3n. La aplicaci\u00f3n podr\u00eda tener razones leg\u00edtimas para preguntarte tu ubicaci\u00f3n; muchas aplicaciones se basan en ella para funcionar adecuadamente. Pero dicha aplicaci\u00f3n tambi\u00e9n podr\u00eda vender tus datos de ubicaci\u00f3n. La verdad no es f\u00e1cil determinarlo.<\/p>\n

Para ayudar a los usuarios expertos en tecnolog\u00eda a minimizar las probabilidades de que los rastreen, Raiu confeccion\u00f3 una lista de los servidor de comando y control que los SDK usan. La encontrar\u00e1s en su p\u00e1gina personal en GitHub<\/a>. Una computadora RaspberryPi, con Pi-hole y el software<\/em> de WireGuard instalado, puede ayudarte a vigilar el tr\u00e1fico en tu red dom\u00e9stica y exponer a las aplicaciones que intentan entrar en contacto con dichos servidores.<\/p>\n

Lo anterior probablemente sobrepase las competencias tecnol\u00f3gicas de la mayor\u00eda de las personas, pero al menos puedes reducir la posibilidad de que dichas aplicaciones y servicios te rastreen al limitar los permisos de las aplicaciones.<\/p>\n