Ciberseguridad en peligro

 

El seguimiento digital fue uno de los éxitos de corta duración de la pandemia. En España, Radar Covid nació, creció, fracasó y murió rápidamente. La idea nunca despegó por una serie de razones, pero una de las cosas que la frustró fue que, a pesar de la promesa inicial de seguridad y privacidad, el error de Google filtró datos de teléfonos Android en un lugar inesperado: el registro. Actividad de la aplicación (archivos de registro, en inglés). Ahora, un nuevo estudio revela que la información privada de los usuarios de Android continúa filtrándose a través de lagunas y tiene acceso a múltiples empresas.

“Esta investigación descubre un agujero muy importante, que no está bien regulado ni estudiado” dijo Carmela Troncoso, investigadora de EPFL (Suiza) que lidera el esfuerzo para crear una aplicación de seguimiento en 2020. grupo europeo. “Pero es un problema general, en las apps de rastreo y en todo. La conclusión es que no puedes hacer algo privado por diseño en una plataforma como Android, que es defectuosa por definición”.

El diario es un diario largo y detallado que resume lo sucedido en la aplicación. Su uso original y aceptado era detectar bugs (errores de código) antes de publicar una aplicación. Pero en realidad, eso no fue lo único que sucedió. Google requiere que los desarrolladores de aplicaciones eliminen los archivos de registro después del lanzamiento de la aplicación porque pueden contener información confidencial. Investigaciones recientes muestran que todavía existen y que se puede encontrar cualquier cosa allí.

Juan Tapiador, profesor de la Universidad Carlos III y uno de los autores, dijo:

“Encontramos que los logs no tienen información puramente técnica, sino que por descuido o de forma intencionada también pueden contener datos personales o información que revela la actividad del usuario. Un ejemplo es el caso de Microsoft Teams o Discord, o las apps farmacéuticas CVS y Drug Mart, que tienen unas actividades que dan mucha información. En el caso de Teams es posible saber, por ejemplo, el momento exacto en que has realizado una llamada. En el caso de CVS y Drug Mart se almacenan, entre otros datos, las categorías de productos que se usan para filtrar los resultados de búsqueda”.

El acceso a la gran cantidad de información personal y privada en Android está restringido a Google, los fabricantes de dispositivos y las aplicaciones preinstaladas que esos fabricantes eligen incluir. Entre ellas se encuentran empresas dedicadas al negocio de la publicidad. El botín que obtienen dentro de sus teléfonos Android es difícil de contar. Es donde se ejecutan todas las aplicaciones, puede ser cualquier cosa, desde nuestra ubicación hasta nuestros intereses o nuestras relaciones amorosas.

Android se basa en un proyecto de código abierto mantenido por Google. Pero no es un ecosistema cerrado como el de los iPhone de Apple. “Cualquier fabricante de teléfonos puede introducir cambios en el sistema operativo y apps de otras organizaciones con las que tenga acuerdos comerciales, incluso apps de empresas que forman parte de la industria basada en la comercialización de datos personales y publicidad”, dice Narseo Vallina-Rodríguez, investigador de Imdea Networks y cofundador de AppCensus, dedicada al análisis de la privacidad en las aplicaciones móviles. “El gran problema es que esas apps preinstaladas son parte del sistema operativo y pueden acceder de forma privilegiada a datos y recursos sensibles a los que una app normal no puede acceder, como es el caso de los logs del sistema desde la versión Android 4.1″.

Una jungla de ‘hardware’ y ‘software’

Es un equilibrio difícil en un paisaje caótico. Los dispositivos Android viven en un entorno selvático donde docenas de empresas intentan sacar provecho y eliminar datos sin el conocimiento de los usuarios. 

Dijo Juan  Tapiador: “Los riesgos de seguridad y privacidad derivados de la cadena de suministro son complejos de resolver. En la fabricación de un producto y de todo el software que incluye intervienen muchas partes, a veces con relaciones complejas entre sí, y donde los riesgos de una entidad pueden ser heredados fácilmente por otras”

En respuesta a una pregunta de EL PAÍS, un representante de Google dijo que están tratando de hacer todo a la vez: proteger a los usuarios y dar más opciones a los desarrolladores de aplicaciones.

“La seguridad y privacidad del usuario es una prioridad principal para Android. Apreciamos mucho la investigación de la comunidad que ayuda a que Android sea seguro. Realizamos mejoras constantes en las funciones de Android para garantizar que los datos de los usuarios estén seguros y sean privados, al mismo tiempo que permitimos a los desarrolladores crear las mejores aplicaciones posibles” , dijo una portavoz

Google admitió a este periódico que todas las aplicaciones que tienen acceso a los registros del dispositivo están autorizadas por el fabricante del dispositivo, transfiriendo parte de la responsabilidad por posibles intrusiones a otros actores.

“Me sorprendió genuinamente el nivel de datos confidenciales registrados por los fabricantes de dispositivos de hardware”. Me sorprendió genuinamente el nivel de datos confidenciales registrados por los fabricantes de dispositivos de hardware”. Me sorprendió genuinamente el nivel de datos confidenciales registrados por los fabricantes de dispositivos de hardware”,  dice el investigador de la Universidad de California