Tomado de: http://tecnologia.elpais.com/tecnologia/2017/06/01/actualidad/1496311868_473587.html
Si das a la app permiso para recoger información, puede compartir tus datos con quien su creador quiera
Nuestros móviles pueden revelar muchas cosas sobre nosotros: dónde vivimos y trabajamos; quiénes son nuestros familiares, amigos y conocidos; cómo nos comunicamos con ellos (e incluso qué comunicamos), así como nuestros hábitos personales. Con toda esta información almacenada en los dispositivos, no es de extrañar que los usuarios tomen medidas para proteger su privacidad, como utilizar números de identificación personal o códigos de acceso para desbloquear el teléfono.
El estudio que estamos llevando a cabo junto con nuestros compañeros ha identificado y está investigando un riesgo importante desconocido para la mayoría: más del 70% de las aplicaciones para móviles transmite datos personales a empresas de seguimiento como Google Analytics, la API Graph de Facebook o Crashlytics.
Muy pocas aplicaciones hacen pública su política de privacidad y, en caso de que lo hagan, suele ser mediante extensos documentos legales que una persona normal no lee y mucho menos entiende
Cuando los internautas instalan una nueva aplicación Android o iOS, esta pide permiso al usuario antes de acceder a la información personal. En términos generales, esto es positivo. Además, parte de la información que recogen estas aplicaciones es necesaria para que funcionen correctamente. Por ejemplo, un mapa para móvil sería muchísimo menos útil si no pudiese utilizar los datos del GPS para encontrar una localización.
Pero, una vez que la app tiene permiso para recoger esa información, puede compartir tus datos con quien su creador quiera, permitiendo así que terceras empresas hagan un seguimiento de dónde te encuentras, a qué velocidad te mueves y qué estás haciendo.
Las bibliotecas codificadas
Una aplicación no solo recopila datos para utilizarlos en el propio teléfono móvil. Por ejemplo, los mapas mandan tu localización a un servidor gestionado por el creador de la app para que calcule las direcciones desde el punto donde te encuentras hasta el destino deseado.
Asimismo, la aplicación puede mandar datos a cualquier parte. Igual que las páginas web, muchos programas para móviles están escritos combinando diversas funciones, precodificadas por otros fabricantes y empresas, en lo que se denomina “bibliotecas de terceros”. Estas bibliotecas ayudan a los fabricantes a rastrea los intereses de los usuarios, conectar con las redes sociales y ganar dinero mostrando anuncios y otros elementos sin tener que escribirlos de cero.
Sin embargo, aparte de su valiosa ayuda, la mayoría de las bibliotecas también recogen datos delicados y los envían a sus servidores o a otra empresa totalmente ajena. Los creadores de bibliotecas más competentes son capaces de elaborar detallados perfiles digitales de los usuarios. Por ejemplo, puede que una persona dé permiso a una aplicación para que sepa cuál es su localización, y que a otra le dé acceso a sus contactos. En principio, ambos son permisos separados, uno para cada aplicación; pero si las dos utilizan la misma biblioteca de terceros y comparten fragmentos de información diferentes, el creador de la biblioteca puede conectar esos fragmentos.
Los usuarios nunca se enterarán, porque las aplicaciones no tienen que informarles de las bibliotecas de programas que utilizan. Además, muy pocas aplicaciones hacen pública su política de privacidad y, en caso de que lo hagan, suele ser mediante extensos documentos legales que una persona normal no lee , y muchos menos entiende.
Más que un problema de los móviles
El seguimiento de los usuarios a través de sus dispositivos móviles no es más que una parte de un problema mayor. Más de la mitad de las aplicaciones de seguimiento que hemos identificado también actúan a través de las páginas web. Gracias a esta técnica, denominada seguimiento “interdispositivos”, los proveedores de servicios pueden elaborar un perfil mucho más completo de la imagen de uno en Internet.
Por otra parte, cada uno de los sitios que realizan seguimientos no tiene por qué ser independiente de los demás. Algunos son propiedad de la misma persona jurídica, mientras que cabe la posibilidad de que otros sean absorbidos en futuras fusiones. Por ejemplo, Alphabet, la empresa matriz de Google, es propietaria de varios de los dominios de seguimiento que investigamos, incluidos Google Analytics, DoubleClick o AdMob, y a través de ellos recopila datos de más del 48% de las aplicaciones que analizamos.
Las leyes de los países de origen de los usuarios no protegen las identidades de estos en la Red. Hemos descubierto que los datos se transfieren más allá de las fronteras nacionales, y que a menudo van a parar a países cuyas leyes sobre la privacidad son de dudosa confianza. Más del 60% de las conexiones con los sitios dedicados al seguimiento se realizan con servidores ubicados en Estados Unidos, Reino Unido, Francia, Singapur, China y Corea del Sur, seis países que han aplicado tecnologías de vigilancia masiva. Es posible que en estos sitios los organismos gubernamentales tengan acceso a los datos, aunque los usuarios estén en países con leyes de protección de la privacidad más estrictas, como Alemania, Suiza o España.
Todavía más preocupante es que hemos observado la presencia de rastreadores en aplicaciones destinadas a los niños. Al analizar 111 apps infantiles en el laboratorio, vimos que 11 de ellas filtraban la dirección MAC, un identificador exclusivo del router inalámbrico al cual estaban conectados. Esto es un problema, porque es fácil buscar a través de Internet las localizaciones físicas asociadas con unas direcciones MAC concretas. Recopilar información privada sobre menores de edad, incluido el lugar donde se encuentran, sus cuentas y otros identificadores exclusivos constituye una posible infracción de las normas de protección de la privacidad de los menores de la Comisión Federal de Comercio.
Un simple atisbo
Aunque incluyan muchas de las apps Android más utilizadas, nuestros datos son una pequeña muestra de usuarios y aplicaciones y, por lo tanto, probablemente representen un conjunto reducido de todos los rastreadores posibles. Es posible que nuestros hallazgos solamente estén arañando la superficie de lo que cabe pensar que es un problema mucho mayor que abarca múltiples jurisdicciones normativas, dispositivos y plataformas.
Los datos se transfieren más allá de las fronteras nacionales, y que a menudo van a parar a países cuyas leyes sobre la privacidad son de dudosa confianza
Es difícil saber qué pueden hacer los usuarios al respecto. Impedir que la información delicada salga del teléfono puede afectar al funcionamiento de la aplicación o a la experiencia del usuario. Una aplicación puede negarse a funcionar si no puede cargar publicidad. De hecho, bloquear los anuncios es perjudicial para los creadores de aplicaciones al privarlos de una fuente de ingresos para apoyar su trabajo con los programas que, por lo general, son gratuitos para los usuarios.
Que la gente estuviese más dispuesta a pagar a los creadores por usar las aplicaciones podría ser de ayuda, pero no lo soluciona todo. Hemos descubierto que, aunque las aplicaciones de pago suelen contactar con menos sitios de rastreo, también hacen un seguimiento de los usuarios y conectan con servicios de seguimiento de terceros.
La clave reside en la transparencia, la educación y un marco legal fuerte. Los usuarios tienen que saber qué información relacionada con ellos se está recopilando, quién la está recopilando, y para qué se está utilizando. Solo entonces podremos decidir como sociedad qué protecciones son necesarias y llevarlas a la práctica. Nuestros hallazgos, así como los de muchos otros investigadores, pueden ayudar a volver las tornas y rastrear a los rastreadores.