Las aplicaciones de sistema (aquellas que están instaladas por defecto en tu smartphone y que normalmente no puedes eliminar) tienden a estar en segundo plano. Y, mientras que con otras aplicaciones y servicios los usuarios tienen al menos alguna opción, en este caso, las habilidades de rastreo y vigilancia están integradas de fábrica en los dispositivos.
Esto se concluyó a partir de un estudio conjunto de investigadores de la Universidad de Edimburgo, el Reino Unido y la Trinity College de Dublín, Irlanda. En este estudio se analizaron smartphones de cuatro distribuidores famosos para saber cuánta información transmitían. Como punto de referencia, los investigadores compararon los resultados con los sistemas operativos de código abierto basados en Android, LineageOS y /e/OS. A continuación te contamos lo que descubrieron.
El método de investigación
Con el objetivo de preservar la pureza del experimento, los investigadores asignaron una situación operativa bastante justa para los cuatro smartphones, una con la que muy difícilmente pudieran encontrarse los usuarios en la vida real: Asumieron que cada smartphone sería utilizado solo para llamadas y mensajes de texto; los investigadores no añadieron aplicaciones, solo se quedaron con las instaladas por el fabricante.
Además, el usuario imaginario respondía de forma negativa a todas las preguntas del tipo “¿Quieres reenviar datos para mejorar el servicio?”, que normalmente los usuarios deben contestar cada vez que encienden el dispositivo. No activaron ningún servicio opcional del fabricante, como el almacenamiento en la nube o la función Encontrar mi dispositivo. En otras palabras, mantuvieron los smartphones lo más privados y limpios posible a lo largo del estudio.
La tecnología básica de “rastreo espía” es la misma en todas estas investigaciones. El smartphone se conecta a un miniordenador Raspberry Pi, que actúa como punto de acceso wifi. El software instalado en la Raspberry Pi intercepta y descifra el flujo de datos del teléfono. Después, los datos se vuelven a cifrar y se entregan al destinatario: el desarrollador del teléfono, la aplicación o el sistema operativo. Básicamente, los autores del artículo realizaron un ataque de tipo man-in-the-middle (aunque benigno).
La buena noticia es que todos los datos transmitidos estaban cifrados; parece que finalmente la industria ha superado esa plaga de dispositivos, programas y servidores que se comunicaban en texto en claro, sin ningún tipo de protección. De hecho, los investigadores dedicaron mucho tiempo y esfuerzo descifrando y analizando los datos para averiguar qué era lo que se había mandado exactamente.
Después de esto, la investigación se llevó a cabo de manera relativamente tranquila. Los investigadores borraron por completo los datos en cada dispositivo y realizaron una configuración inicial. Después, sin iniciar sesión en una cuenta de Google, dejaron cada smartphone encendido durante unos días y supervisaron la transferencia de datos desde este. A continuación, iniciaron sesión con una cuenta de Google, habilitaron temporalmente la geolocalización y pasaron a los ajustes del teléfono. En cada etapa, monitorizaron los datos que se enviaban y el lugar al que se enviaban. Analizaron un total de seis smartphones: cuatro con el firmware del fabricante y dos con las versiones de código abierto de Android, LineageOS y /e/OS_.
¿Quién recopila los datos?
Para sorpresa de nadie, los investigadores descubrieron que los fabricantes de los smartphones eran los principales recopiladores. Los cuatro dispositivos con el firmware original (y un conjunto de programas preinstalados) reenviaron al fabricante datos de telemetría, junto con identificadores persistentes como el número de serie del teléfono. Aquí, los autores del artículo delimitaron el firmware estándar de las versiones personalizadas.
Por ejemplo, LineageOS tiene una opción de enviar datos a los desarrolladores (para monitorizar la estabilidad operativa de los programas, por ejemplo), pero al desactivar la opción se detiene la transmisión de datos. En los dispositivos con la configuración de fábrica estándar, sí se reduce la cantidad de datos que se envían cuando se bloquea el envío de datos durante la configuración inicial, pero esto no descarta por completo la transmisión de datos.
Los siguientes en recibir datos son los desarrolladores de las aplicaciones preinstaladas. Aquí también encontramos un matiz interesante: de acuerdo con las normas de Google, las aplicaciones instaladas desde Google Play deben utilizar un identificador determinado para rastrear la actividad del usuario: ID de publicidad de Google. Si quieres, puedes cambiar este identificador en los ajustes del teléfono. Sin embargo, este requisito no incluye a las aplicaciones que el fabricante preinstala, las cuales utilizan identificadores persistentes para recopilar muchos datos.
Por ejemplo, una aplicación de una red social preinstalada envía datos sobre el propietario del teléfono a sus propios servidores, incluso aunque ese propietario nunca la haya abierto. Un ejemplo más interesante: el teclado del sistema en uno de los smartphones enviaba datos sobre qué aplicaciones se estaban ejecutando en el teléfono. Varios dispositivos también incluían aplicaciones del operador que también recopilaban información del usuario.
Finalmente, las aplicaciones de sistema de Google merecen mención aparte. La gran mayoría de los teléfonos llegan con Servicios de Google Play y Google Play Store, y normalmente también con YouTube, Gmail o Maps entre otras ya instaladas. Los investigadores observaron que las aplicaciones y servicios de Google recopilan mucha más información que cualquier otro programa preinstalado. El siguiente gráfico muestra la relación entre los datos enviados a Google (izquierda) y al resto de los destinatarios de telemetría (derecha):
¿Qué datos se envían?
En esta sección, los investigadores se centran nuevamente en los identificadores. Todos los datos tienen algún tipo de código único para identificar al remitente. A veces este código es de un solo uso, lo cual es adecuado para preservar la privacidad al recolectar las estadísticas (por ejemplo, sobre la estabilidad operativa del sistema) que son útiles para los desarrolladores.
Pero también se recopilan identificadores a largo plazo, o incluso persistentes, que violan la privacidad del usuario. Por ejemplo, los propietarios pueden cambiar de forma manual el ya mencionado ID de publicidad de Google, pero muy pocos lo hacen, así que podemos decir que el identificador, que se envía tanto a Google como a los fabricantes del dispositivo, es casi persistente.
El número de serie del dispositivo, el código IMEI del módulo de radio, y el número de tarjeta SIM son identificadores persistentes. Con el número de serie del dispositivo y el código IMEI, es posible identificar al usuario incluso después de un cambio de número de teléfono y del restablecimiento completo del dispositivo.
La transferencia regular de información sobre el modelo del dispositivo, el tamaño de la pantalla y la versión de firmware del módulo de radio es menos arriesgado en términos de privacidad; los datos son los mismos para una gran cantidad de propietarios del mismo modelo de teléfono. Pero los datos de la actividad del usuario en algunas aplicaciones pueden revelar mucho sobre los usuarios. En cuanto a esto, los investigadores hablan sobre la delgada línea entre los datos requeridos para la depuración de errores de la aplicación y la información que puede utilizarse para crear un perfil detallado del usuario, por ejemplo, para publicidad dirigida.
Por ejemplo, saber que una aplicación está consumiendo la vida de la batería puede ser importante para el desarrollador y resultar en un beneficio para el usuario. Los datos sobre las versiones de programas del sistema que se instalan pueden determinar cuándo descargar una actualización, lo cual también resulta útil. Pero todavía no sabemos si recopilar información sobre el momento exacto de inicio y finalización de las llamadas telefónicas vale la pena, o incluso si es ético.
La lista de aplicaciones instaladas es otro tipo de datos de usuario que se envía con frecuencia. Esta lista puede decir mucho sobre el usuario, incluidas, por ejemplo, sus preferencias políticas y religiosas.
La combinación de datos de usuario de distintas fuentes
A pesar de su trabajo minucioso, los investigadores no pudieron obtener un panorama completo de cómo varios teléfonos y distribuidores de software recopilan y procesan los datos del usuario. Tuvieron que desarrollar algunos supuestos:
Primer supuesto: Los fabricantes de los smartphones que recopilan identificadores persistentes pueden rastrear la actividad del usuario, incluso aunque el usuario borre todos los datos del teléfono y reemplace la tarjeta SIM.
Segundo supuesto: Todos los participantes del mercado tienen la capacidad de intercambiar datos y, al combinar los identificadores persistentes con los personales, además de otros tipos de telemetría, generar el panorama más completo posible de los hábitos y preferencias de los usuarios. Sin embargo, queda fuera del alcance del estudio la forma en la que esto sucede, y si los desarrolladores sí intercambian los datos, o los venden a agregadores terceros.
Conclusiones
El ganador nominal en términos de privacidad resultó ser el teléfono con la variante de Android /e/OS, que utiliza su propio análogo de Servicios de Google Play y no transmitió ningún dato. El otro teléfono con firmware de código abierto (LineageOS) no envío información a los desarrolladores, pero sí a Google, debido a que los servicios de este estaban instalados en el teléfono. Estos servicios son necesarios para que el dispositivo funcione de forma correcta; algunas aplicaciones y muchas funciones no podrían funcionar, o su funcionamiento sería deficiente, sin Servicios de Google Play.
En cuanto al firmware patentado de los fabricantes más populares, muy pocos elementos los distinguen. Todos recopilan una buena cantidad de datos, citando el cuidado de los usuarios como justificación. Básicamente ignoran la elección del usuario de omitir la recopilación y el envío de “datos de uso”. Esta situación solo podría resolverse con normas adicionales para garantizar una mayor privacidad del usuario y, por ahora, solo los usuarios avanzados que puedan instalar sistemas operativos no estándar (con restricciones en el uso del software popular) pueden eliminar la telemetría por completo.
En cuanto a la seguridad, la recopilación de datos de telemetría no parece traer consigo riesgos directos. La situación es extremadamente diferente en los smartphones de tercer nivel, en los cuales se puede instalar malware directamente de fábrica.
La buena noticia de este estudio es que la transmisión de datos en bastante segura, por lo que al menos es difícil para alguien externo poder acceder. Sin embargo, los investigadores sí especificaron una advertencia importante: Analizaron modelos de smartphones europeos con software localizado. En otras regiones, las situaciones podrían ser distintas dependiendo de las leyes y regulaciones de privacidad.