El rastreo digital fue uno de los éxitos efímeros de la pandemia. En España, Radar Covid nació, creció, falló y murió rápido. La idea nunca cuajó por muchos motivos, pero uno que le dio la puntilla fue que, a pesar de todas las promesas iniciales de seguridad y privacidad, un error de Google provocaba que los datos se escaparan en móviles Android por un lugar insospechado: los registros de actividad (logs, en inglés) de las apps. Ahora una nueva investigación ha descubierto que por ese agujero se sigue escapando información privada de los usuarios de Android, a la que tienen acceso más empresas de las que deberían.

“Esta investigación descubre un agujero muy importante, que no está bien regulado ni estudiado”, dice Carmela Troncoso, investigadora de la Escuela Politécnica Federal de Lausana (Suiza) que lideró un grupo europeo encargado de la creación de las aplicaciones de rastreo en 2020. “Pero es un problema general, en las apps de rastreo y en todo. La conclusión es que no puedes hacer algo privado por diseño en una plataforma como Android, que es defectuosa por definición”.

Los logs son un largo y exhaustivo diario que recopila lo que ocurre en una app. Su uso original y aceptado es detectar bugs (errores en el código) antes de lanzar las apps al público. Pero, en realidad, no es eso lo único que ocurre. Google pide a los desarrolladores de apps que retiren los logs una vez que las aplicaciones están publicadas, porque pueden contener información sensible. Y la reciente investigación demuestra que siguen ahí, y que en ellos puede encontrarse de todo.

“Encontramos que los logs no tienen información puramente técnica, sino que por descuido o de forma intencionada también pueden contener datos personales o información que revela la actividad del usuario”, dice Juan Tapiador, catedrático de la Universidad Carlos III y uno de los autores del artículo. “Un ejemplo es el caso de Microsoft Teams o Discord, o las apps farmacéuticas CVS y Drug Mart, que tienen unas actividades que dan mucha información. En el caso de Teams es posible saber, por ejemplo, el momento exacto en que has realizado una llamada. En el caso de CVS y Drug Mart se almacenan, entre otros datos, las categorías de productos que se usan para filtrar los resultados de búsqueda”. Así queda registrado el tipo de producto farmacéutico que alguien busca, desde anticonceptivos a pastillas para el colesterol.

El permiso para acceder a esa extensa información privada personal en Android está limitado a Google, a los fabricantes de los dispositivos y a las apps preinstaladas que esos fabricantes han querido colocar ahí. Entre ellas, hay empresas que se dedican a la publicidad. El botín al que tienen acceso en las tripas de los móviles Android es difícil de calcular. Por ahí corren todas las apps, y puede haber desde nuestra localización a nuestros intereses o nuestras relaciones amorosas.

Android se basa en un proyecto de código abierto mantenido por Google. Pero no es un ecosistema cerrado como el de los iPhone de Apple. “Cualquier fabricante de teléfonos puede introducir cambios en el sistema operativo y apps de otras organizaciones con las que tenga acuerdos comerciales, incluso apps de empresas que forman parte de la industria basada en la comercialización de datos personales y publicidad”, dice Narseo Vallina-Rodríguez, investigador de Imdea Networks y cofundador de AppCensus, dedicada al análisis de la privacidad en las aplicaciones móviles. “El gran problema es que esas apps preinstaladas son parte del sistema operativo y pueden acceder de forma privilegiada a datos y recursos sensibles a los que una app normal no puede acceder, como es el caso de los logs del sistema desde la versión Android 4.1″.

Una jungla de ‘hardware’ y ‘software’

Es un equilibrio complejo en un panorama anárquico. Los dispositivos Android viven en un ambiente afín a una jungla, donde docenas de empresas tratan de extraer datos y beneficios sin el conocimiento del usuario. “Los peligros de seguridad y privacidad derivados de la cadena de suministro son complejos de solucionar. En la fabricación de un producto y de todo el software que incluye intervienen muchas partes, en ocasiones con relaciones complejas entre sí, y donde los peligros de una entidad pueden ser heredados sencillamente por otras”, afirma Juan Tapiador.

A preguntas de Forbes Hispano, una portavoz de Google respondió que procuran hacerlo todo a la vez: resguardar al usuario y dar más posibilidades a los desarrolladores de las apps. “La seguridad y privacidad del usuario es una prioridad principal para Android. Apreciamos mucho la investigación de la comunidad que ayuda a que Android sea seguro. Realizamos mejoras constantes en las funciones de Android para garantizar que los datos de los usuarios estén seguros y sean privados, al mismo tiempo que permitimos a los desarrolladores crear las mejores aplicaciones posibles”, afirma la portavoz.

Google acepta a este periódico que todas y cada una de las aplicaciones que tienen acceso a los registros del dispositivo son aplicaciones autorizadas por los fabricantes de dispositivos, con lo que traslada una parte de la responsabilidad de las intromisiones que puedan surgir a otros actores.

“Me sorprendió genuinamente el nivel de datos confidenciales registrados por los fabricantes de dispositivos de hardware”, afirma Serge Egelman, estudioso de la Universidad de California, en Berkeley (EE UU) y asimismo cofundador de AppCensus. “Si estos dispositivos están siendo certificados por Google como dispositivos Android oficiales, realmente debe haber cierta supervisión de que están siguiendo las políticas de Google y las mejores prácticas básicas”.

Pero absolutamente nadie observa ni asegura que esa información no esté ahí o no sea alcanzable a actores que puedan potencialmente hacer un mal uso de la información privada de usuarios. Bart Preneel, catedrático de la Universidad Católica de Lovaina y directivo técnico de la app belga de rastreo digital Coronalert, describe el inconveniente en 3 puntos: “Uno, se facilita a los desarrolladores el registro de mucha información, y la mayoría contiene datos confidenciales, en particular si se combinan los registros de varias aplicaciones. Dos, esta información es útil para Google y para los fabricantes. Pero muchas otras aplicaciones autorizadas por ellos también tienen acceso, así que el riesgo de abuso es muy alto: permite la creación de perfiles de usuario por parte de un gran número de partes. Y tres, Google advierte a los desarrolladores que no registren demasiado, pero los desarrolladores hacen esto de todos modos, y no se vigila”, afirma Preneel.

Un antídoto deficiente de Google

En este caso la información que aparece en los logs no debería realmente estar ahí. Hace años que los consejos de Android tratan de eludir incluir actividad privada en esos registros. Pero ni se controla ni se observa y para los desarrolladores de aplicaciones y fabricantes el inconveniente no es de forma directa suyo. Es un caso claro de que la peor parte se la lleva el usuario, que no sabe nada de lo que pasa. Es software que ya está ahí cuando le llega a las manos, en su móvil.

Google no tiene evidentemente toda la responsabilidad acá. Los desarrolladores de apps deberían ser más cautelosos con la información que dejan que aparezca en los logs y saber que no son los únicos que tienen acceso a esa información: “Los creadores de aplicaciones podrían registrar menos datos”, sugiere Joel Reardon, estudioso de la Universidad de Calgary y cofundador de AppCensus. “Muchas apps usan servicios como Crashlytics para recopilar registros de errores, lo que les permite depurar con la app ya desplegada. Antes, los usuarios de ese tipo de software se llamaban probadores beta y la participación era voluntaria. Si los creadores de aplicaciones no tienen la intención de mirar los registros, hay muchas menos razones para registrar tantos datos como hemos encontrado”.

Adrian Cano

Santander (España), 1985. Después de obtener su licenciatura en Periodismo en la Universidad Complutense de Madrid, decidió enfocarse en el cine y se matriculó en un programa de posgrado en crítica cinematográfica. Sin, embargo, su pasión por las criptomonedas le llevó a dedicarse al mundo de las finanzas. Le encanta ver películas en su tiempo libre y es un gran admirador del cine clásico. En cuanto a sus gustos personales,  es un gran fanático del fútbol y es seguidor del Real Madrid. Además, ha sido voluntario en varias organizaciones benéficas que trabajan con niños.