Es completamente normal que un usuario habitual de teléfonos inteligentes tenga más de 50 aplicaciones instaladas a la vez. Algunas aplicaciones se usan regularmente y otras pueden permanecer cerradas durante varias semanas o más, pero casi todas requieren algún tipo de información sobre el dispositivo en el que están instalados o algo sobre usted: el usuario. Esta información puede ser su dirección de correo electrónico, su dirección física real o su nombre real.
Al mismo tiempo, la naturaleza misma de un dispositivo tan complicado como un teléfono inteligente permite que las aplicaciones recopilen mucha más información de la que podría pensar, incluso incluyendo algo inesperado, como su geolocalización exacta, el acceso al micrófono de su iPhone o su cámara.
Si bien todo lo anterior podría hacerse con el consentimiento del usuario, es sorprendente cuánto pueden reunir algunas de sus aplicaciones habituales cuando se trata de información o permisos. Por ejemplo, una cantidad extremadamente grande de aplicaciones tanto en iOS como en Android requiere acceso a su geolocalización exacta para funcionar correctamente, e incluso más aplicaciones solicitan acceso a su cámara de forma regular. En algunos casos, es posible que las aplicaciones de Android también soliciten permisos para acceder a sus mensajes SMS y / o al historial de llamadas telefónicas.
Se han realizado varias investigaciones sobre el tema, comparando la cantidad de permisos que el usuario acepta con la cantidad que realmente utilizó y necesitaba la aplicación en cuestión. La mayoría de los casos de uso fueron realmente necesarios y utilizados, con algo así como una aplicación de taxi que solicita la ubicación del usuario para que el conductor sepa dónde está el cliente al que necesita llegar. La parte interesante aquí es si las aplicaciones solicitaban una cantidad excesiva de permisos y si los datos solicitados estaban protegidos dentro de la aplicación en cuestión.
Información de identificación personal
Uno de los temas más importantes para este tipo de investigación es todo lo que rodea a PII (Información de identificación personal) y cómo las aplicaciones manejan sus interacciones con PII. Con una diferencia relativamente pequeña en números entre los dos, Las aplicaciones de iOS y Android usaban los mismos tipos de PII más.
PII – Información de identificación personal – es una información específica que se puede utilizar para identificar a una persona específica entre muchas otras. Algunos ejemplos de dicha información son antecedentes médicos, fechas de nacimiento y muchas otras credenciales. Este artículo sobre información personal identificable lo ayudaría a aprender muchos matices y aspectos diferentes del tema, así como parte de la terminología.
Tal como está, la pieza de PII más comúnmente compartida dentro de las aplicaciones de teléfonos inteligentes es la dirección de correo electrónico, seguida de cerca por el nombre de usuario (que a menudo es el nombre real real del usuario). Otros dos ejemplos de un tipo de PII popular que a menudo son recopilados por tales aplicaciones son números de teléfono y ubicaciones de usuarios (aunque ambos no se usan con tanta frecuencia como el correo electrónico o el nombre de usuario).
Los diferentes tipos de PII no tienen la misma importancia, y las empresas tienen que implementar varios procesos llamados «clasificación de datos» para asegurarse de que todos los datos importantes estén debidamente asegurados y protegidos. El siguiente artículo sobre el tema de la clasificación de datos lo ayudaría a comprender los detalles del proceso, así como cierta información adicional.
Eso no quiere decir que estos sean los únicos ejemplos de PII que se comparte con la aplicación para teléfonos inteligentes. Hay muchos ejemplos en los que las aplicaciones pueden integrarse con las cuentas de redes sociales, lo que permite que la aplicación cree una publicación directamente desde la cuenta del usuario en el sitio web de redes sociales, entre otras ventajas. Esto permite a los usuarios eliminar la necesidad de ingresar su contraseña cada vez, se puede invitar a amigos de un sitio web de redes sociales a jugar juegos móviles con el titular de la cuenta, etc.
Por supuesto, también existe un lado diferente de esta relación simbiótica, ya que el servicio de redes sociales puede recopilar datos de la aplicación, y la aplicación en cuestión puede recopilar datos de la cuenta del usuario dentro de ese sitio web de redes sociales. Y aquí es donde todo se complica, con algunas aplicaciones de Android que impiden que el usuario sepa qué PII se compartieron, mientras que la mayoría de las aplicaciones de iOS en casos similares permitieron dicha información. Esta división se crea mediante el uso de la API gráfica de Facebook, y la versión para Android de la API gráfica utiliza un método específico llamado » fijación de certificados» que evita que el usuario vea la lista de PII compartidos.
Si bien el Gráfico de Facebook no es el servicio de integración más popular, con el servicio de integración de Google reclamando ese lugar, el Gráfico es definitivamente el más infamemente conocido. La popularidad de Graph está directamente relacionada con el hecho de que Cambridge Analytica la utilizó para compilar PII de más de 80 millones de usuarios de Facebook en 2016. Vale la pena mencionar que después del incidente, Facebook redujo significativamente la cantidad de datos personales que podrían compartirse a través de Graph y reforzó la totalidad de la API en general.
Permisos de riesgo
Otra parte importante de cualquier aplicación que le permita funcionar correctamente es sobre las solicitudes de permisos. Todas y cada una de las aplicaciones requieren una lista específica de permisos para poder funcionar correctamente. Al igual que con el uso compartido de PII, las aplicaciones no siempre necesitan todos los permisos que solicitan.
Aquí es donde entra el término de «permisos arriesgados», que significa permisos específicos que podrían llevar a que una aplicación obtenga acceso a recursos específicos o información sobre el usuario, que podría ser PII en primer lugar, o algo que pueda afectar a otras aplicaciones dentro de el dispositivo. Algunos de los ejemplos populares de tales permisos son la ubicación del usuario, el historial de llamadas telefónicas, el calendario, la cámara, los mensajes SMS y los contactos, entre otros.
Cuando se trata de popularidad, el acceso a la cámara de su teléfono inteligente es definitivamente el más popular en la lista, seguido de cerca por el seguimiento GPS. La grabación de audio es otro ejemplo popular de dicha característica, así como los exclusivos de Android que tratan sobre el acceso a sus mensajes SMS y el historial de llamadas telefónicas. A diferencia del uso compartido directo de PII, la cantidad de aplicaciones de Android que solicitan cada uno de estos permisos es casi el doble que la cantidad de iOS, y esto también se aplica a casi todos los ejemplos anteriores. Al mismo tiempo, hay algunos casos en que la aplicación idéntica para iOS no solicita un permiso para leer los registros de llamadas telefónicas o su historial de SMS, y su contraparte de Android solicita al menos uno de esos permisos.
El tema de los permisos de riesgo también debe abordarse desde un punto de vista más cauteloso. Si bien la definición en sí parece ser algo maliciosa, no tiene que rechazar la solicitud de permiso solo porque una aplicación la solicitó. En muchos casos, se necesita dicho permiso para que la aplicación en cuestión funcione correctamente, como la aplicación de entrega o la aplicación de taxi que solicita su ubicación geográfica, entre muchos otros ejemplos. El mejor enfoque para el tema de los permisos de riesgo es pensar si hay una razón para que se otorgue esta solicitud específica y si realmente desea proporcionar, por ejemplo, registros de llamadas telefónicas a su aplicación de despertador?
Seguridad
Si bien este no es un tema tan extendido como el problema de los permisos excesivos o el intercambio de PII, algunas aplicaciones simplemente no tienen ningún tipo de medidas de seguridad adecuadas para proteger los datos que está compartiendo con ellos. Por ejemplo, hay una cantidad relativamente alta de aplicaciones que solicitan permisos riesgosos y no tienen ninguna política de privacidad al mismo tiempo. Es necesaria una política de privacidad en estos casos para que pueda aprender qué tipos de datos se recopilan, cómo se procesan, con quién se comparten y cuáles son las medidas de seguridad de la aplicación en general.
Una política de privacidad también es importante para que las empresas puedan cumplir con muchas regulaciones gubernamentales diferentes. Una de las regulaciones más populares y conocidas como estas es el GDPR, que regula estrictamente el procesamiento de datos personales de ciudadanos de la UE en todo el mundo. El siguiente artículo describe el tema del cumplimiento del RGPD y los diferentes matices y regulaciones involucrados en el proceso.
Otro tema de interés discutible es la fijación de certificados, que en primer lugar también es casi nunca utilizada por las aplicaciones. La fijación de certificados es una precaución de seguridad que se creó para evitar ataques contra comunicaciones seguras. La fijación del certificado garantiza que la aplicación solo pueda comunicarse con un servidor con el mismo certificado de seguridad.
Al mismo tiempo, no hay una opinión definitiva sobre la fijación de certificados en la industria. Apple, por ejemplo, no recomienda que los desarrolladores de aplicaciones hagan su propio certificado, ya que dicho enfoque podría generar varios problemas en el entorno empresarial, así como la fragilidad general del sistema en general.
Conclusión
El tema de la privacidad móvil es vasto y extenso, cubriendo múltiples enfoques y matices diferentes. Al mismo tiempo, también saca a la luz muchos temas importantes, como el problema del intercambio de PII, los permisos de riesgo, etc.
La importancia de PII es inigualable, así como la necesidad de su protección. Conocer diferentes formas de compartir PII, ya sea a través de solicitudes directas de aplicaciones o mediante permisos de riesgo, es el primer paso para asegurar que su PII caiga en las manos equivocadas.
Francisco Merchán es el fundado del blog tecnológico Tecnoteka Magacine, respaldado y publicado por la Biblioteca de la Escuela de Ingenieros de Albacete (España), una de las mayores bases de datos de dispositivos electrónicos de código abierto y libres de patentes.
