Poco puede hacer el software de seguridad cuando los propios usuarios otorgan a las aplicaciones amplios permisos
A menudo he escrito aquí sobre cómo las empresas explotan nuestra tendencia a aceptar configuraciones de seguridad poco rigurosas. La gente no tiene tiempo de leer miles de páginas de condiciones de servicio ni se toma la molestia de preguntar por qué un juego para dispositivos móviles tiene que conocer su identidad y su ubicación. (Normalmente es para vender su información a los anunciantes). Y una vez que se ha dado el permiso en la instalación de una aplicación, poco puede hacerse para supervisar sus actividades, incluso en el supuesto de que siga unas prácticas correctas.
Un ejemplo de ello, que recientemente ha encabezado de nuevo los titulares, es la aplicación oficial de la Liga Nacional de Fútbol Profesional, LaLiga. Con más de diez millones de instalaciones, utilizaba la información de la ubicación y el micrófono del teléfono para escuchar el audio de fondo y detectar si los bares y restaurantes retransmitían de forma ilegal los partidos de LaLiga. La aplicación, básicamente, convirtió a cada usuario en un espía para la empresa. Esto se considera abusivo, por supuesto, y esta “función” de vigilancia no había sido revelada a los usuarios; no es necesario ser muy listo para comprender su nivel potencial de peligrosidad.
Los usuarios ceden el control de sus datos
Me quedé un poco sorprendido al escuchar a los expertos en seguridad de Avast afirmar que el software de seguridad puede hacer poco en este caso, ya que son los propios usuarios los que en realidad dan a la aplicación permiso para grabar audio. Cuando la aplicación se instala, pregunta si puede utilizar el micrófono y la ubicación del teléfono. Una vez que el usuario dice sí a estos permisos (son necesarios para instalar la aplicación, por lo que ¿quién va a decir no cuando se le pida permiso?) poco puede hacer cualquier software de terceros. Se ha cedido el control y los usuarios no quieren recibir falsos positivos de advertencia acerca de cosas que ya han aprobado. De forma parecida, los fabricantes de teléfonos no quieren poner obstáculos de seguridad que puedan molestar a los usuarios y saben que probablemente no van a sufrir las consecuencias del próximo fiasco de privacidad, porque este tipo de situaciones ocurre tan a menudo que ya nos hemos insensibilizado frente a ellas.
Los ataques de seguridad y privacidad se repiten de forma tan recurrente unos tras otros que las agencias reguladoras no pueden mantener el control, aunque estén facultadas para hacerlo. Los consumidores tienen menos capacidad para hacer un seguimiento o para identificar los problemas importantes frente a los que simplemente se propagan de forma viral, pero no son amenazas reales.
FaceApp hace lo mismo que millones de otras aplicaciones
Por ejemplo, el pánico alrededor de FaceApp se difundió casi tan rápidamente como la propia aplicación cuando se descubrió que la aplicación viral popular y novedosa de alteración de fotos procedía de Rusia y estaba recopilando las imágenes y los datos del usuario. Yo soy de los que se preocupan acerca de las posibles amenazas procedentes de Rusia, pero en este caso parece que se trata de una exageración, según el responsable de inteligencia de amenazas móviles de Avast, Nikolaos Chrysaidos. Para mí, demuestra lo poco que las personas prestan atención a estas prácticas, en general. FaceApp hace lo mismo que millones de otras aplicaciones: recopila la información del usuario a cambio de publicidad y de vender sus datos a terceros. Los compradores pueden ser empresas de investigación política, agregadores que crean perfiles de usuario o, en efecto, incluso “los rusos”.
Se trata de un statu quo inaceptable. LaLiga fue multada por la infracción gracias a las normativas de protección de privacidad existentes en Europa (que son poco rígidas, pero aun así más severas que en cualquier otro lugar). Para las grandes corporaciones, estas multas son el precio que pagan por hacer negocios y es improbable que abandonen las prácticas abusivas en el futuro, ya que todos los modelos de negocio se basan en llevar al límite las acciones de recopilación de datos, análisis de IA y marketing. El RGPD de Europa no es perfecto y se deberán llevar a cabo y probar más medidas normativas para que se produzca algún progreso al respecto. Quizá las multas deberían ser proporcionales a los ingresos de la empresa infractora, como en el caso de las multas por exceso de velocidad en Finlandia (sitio en inglés), para que no puedan ignorarse, y es necesario que más países dispongan de organismos como la Agencia Española de Protección de Datos (AEPD); los consumidores, además, deben prestar atención a sus propuestas.
Mientras tanto, quizás le resulte molesto configurar unos ajustes de privacidad sólidos en su teléfono y utilizar software de seguridad, pero sepa que, si no lo hace, algunas aplicaciones pueden entrometerse en sus actividades.