{"id":33496,"date":"2019-07-20T10:15:32","date_gmt":"2019-07-20T08:15:32","guid":{"rendered":"http:\/\/miradordeatarfe.es\/?p=33496"},"modified":"2019-07-18T13:24:49","modified_gmt":"2019-07-18T11:24:49","slug":"no-solo-faceapp-miles-de-aplicaciones-espian-aunque-se-les-niegue-el-permiso","status":"publish","type":"post","link":"https:\/\/miradordeatarfe.es\/?p=33496","title":{"rendered":"No solo FaceApp: miles de aplicaciones esp\u00edan aunque se les niegue el permiso"},"content":{"rendered":"\n<h4 class=\"wp-block-heading\">Casi 13.000 \u2018apps\u2019 burlan los permisos de Android para recopilar datos de los usuarios<\/h4>\n\n\n\n<p>El <a href=\"https:\/\/elpais.com\/tecnologia\/2019\/07\/17\/actualidad\/1563358803_598879.html\">caso de FaceApp<\/a>,\n la aplicaci\u00f3n que utiliza inteligencia artificial para envejecer un \nrostro y mostrar una imagen realista, ha puesto el punto de mira sobre \nun aspecto com\u00fan en el que pocos usuarios reparan. Al instalarla, se \nadvierte de que todos nuestros datos ser\u00e1n utilizados e incluso cedidos a\n terceros, por lo que se pierde el control. En este caso se avisa en un \nproceso que pocos usuarios leen o que aceptan sin pensar en las \nconsecuencias. Pero algunos programas para m\u00f3viles pueden no necesitar \nni siquiera el consentimiento expl\u00edcito. Miles de aplicaciones burlan \nlas limitaciones y esp\u00edan, aunque no se les autorice.<\/p>\n\n\n\n<p>\u00bfPara\n qu\u00e9 necesita la linterna del m\u00f3vil acceder a la ubicaci\u00f3n de un \nusuario? \u00bfY una aplicaci\u00f3n de retoque fotogr\u00e1fico al micr\u00f3fono? \u00bfO una \ngrabadora a los contactos? En principio, estas <em>apps<\/em> no precisan de este tipo de permisos para su funcionamiento. Cuando acceden a ellos, suele ser <a href=\"https:\/\/elpais.com\/tecnologia\/2019\/03\/17\/actualidad\/1552777491_649804.html\">en b\u00fasqueda de un bien sumamente valioso<\/a>:\n los datos. Los usuarios pueden dar o denegar diferentes permisos a las \naplicaciones para que accedan a su ubicaci\u00f3n, los contactos o los \narchivos almacenados en el tel\u00e9fono. Pero <a href=\"http:\/\/eprints.networks.imdea.org\/2009\/1\/sec19winter-final498.pdf\">una investigaci\u00f3n de un equipo de expertos en ciberseguridad<\/a> ha revelado que hasta 12.923 <em>apps<\/em> han encontrado la forma de seguir recopilando informaci\u00f3n privada pese a haberles negado los permisos expl\u00edcitamente.<\/p>\n\n\n\n<p>Este estudio pone de manifiesto la dificultad de los usuarios de salvaguardar su privacidad. Investigadores d<a href=\"https:\/\/www.icsi.berkeley.edu\/icsi\/\">el Instituto Internacional de Ciencias Computacionales<\/a>\n (ICSI) en Berkeley, IMDEA Networks Institute de Madrid, la Universidad \nde Calgary y AppCensus han analizado un total de 88.000 aplicaciones de \nla Play Store y han observado c\u00f3mo miles de aplicaciones acceden a \ninformaci\u00f3n como la ubicaci\u00f3n o datos del terminal que el usuario les \nhab\u00eda denegado previamente.<\/p>\n\n\n\n<p>Los expertos a\u00fan no han hecho p\u00fablica la lista completa de <em>apps<\/em>\n que realizan estas pr\u00e1cticas. Pero seg\u00fan la investigaci\u00f3n, se \nencuentran entre ellas la aplicaci\u00f3n del parque de Disneyland en Hong \nKong, el navegador de Samsung o el buscador chino Baidu. El n\u00famero de \nusuarios potenciales afectados por estos hallazgos es de \u201ccientos de \nmillones\u201d.<\/p>\n\n\n\n<figure class=\"wp-block-image\"><img data-recalc-dims=\"1\" decoding=\"async\" src=\"https:\/\/i0.wp.com\/ep01.epimg.net\/tecnologia\/imagenes\/2019\/07\/12\/actualidad\/1562923983_096024_1562924449_sumario_normal.jpg?w=640&#038;ssl=1\" alt=\"No solo FaceApp: miles de aplicaciones esp\u00edan aunque se les niegue el permiso\"\/><\/figure>\n\n\n\n<p>Borja Adsuara, abogado experto en derecho digital, asegura que se \ntrata de \u201cuna infracci\u00f3n muy grave\u201d porque el sistema operativo Android \nrequiere que las <em>apps<\/em> pidan el acceso consentido a estos datos a\n trav\u00e9s de permisos y el usuario les dice expresamente que no. El \nconsentimiento, seg\u00fan explica, funciona de forma muy parecida tanto en \nla intimidad f\u00edsica como en la no f\u00edsica \u2014datos personales\u2014. \u201cEs como en\n el caso de una violaci\u00f3n en el que la v\u00edctima dice expresamente que \nno\u201d, afirma.<\/p>\n\n\n\n<p>Narseo Vallina-Rodr\u00edguez, coautor del estudio, se\u00f1ala que \u201cno est\u00e1 \nclaro si habr\u00e1 parches o actualizaciones para los miles de millones de \nusuarios Android que a d\u00eda de hoy utilizan versiones del sistema \noperativo con estas vulnerabilidades\u00bb. Google no ha concretado a este \nperi\u00f3dico si tiene pensado retirar del mercado o tomar alguna medida en \nrelaci\u00f3n a las aplicaciones que, seg\u00fan el estudio, acceden a los datos \nde los usuarios sin el permiso pertinente. No obstante, ha asegurado que\n el problema se resolver\u00e1 con Android Q, la pr\u00f3xima versi\u00f3n de su \nsistema operativo. La compa\u00f1\u00eda pretende lanzar a lo largo del a\u00f1o seis \nversiones beta de Android Q antes de dar a conocer la versi\u00f3n final \ndurante el tercer trimestre del a\u00f1o.<\/p>\n\n\n\n<p>\u00bfC\u00f3mo acceden las aplicaciones a informaci\u00f3n privada del usuario sin los permisos necesarios? Las <em>apps<\/em> burlan los mecanismos de control del sistema operativo mediante los <em>side channels<\/em> y los <em>covert channels.<\/em>\n Vallina hace la siguiente comparaci\u00f3n: \u201cPara entrar en una casa [el \ndato del usuario] puedes hacerlo por la puerta con la llave que te ha \ndado el due\u00f1o [el permiso], pero tambi\u00e9n lo puedes hacer sin \nconsentimiento del propietario aprovech\u00e1ndote de una vulnerabilidad de \nla puerta [un <em>side channel<\/em>] o con la ayuda de alguien que ya est\u00e1 dentro [<em>covert channel<\/em>]\u00bb<\/p>\n\n\n\n<p>Puedes abrir una puerta con una llave, pero tambi\u00e9n puedes encontrar \nla forma de hacerlo sin tener esa llave\u201d. Lo mismo ocurre al intentar \nacceder a la geolocalizaci\u00f3n de un terminal. Puedes no tener acceso al \nGPS, pero hallar el modo de acceder a la informaci\u00f3n del posicionamiento\n del usuario.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Metadatos<\/h3>\n\n\n\n<p>Una forma de hacerlo es a trav\u00e9s de los metadatos que est\u00e1n integrados en las fotograf\u00edas sacadas por el propietario del <em>smartphone<\/em>,\n seg\u00fan Vallina. \u00abPor defecto, cada fotograf\u00eda que saca un usuario \nAndroid contiene metadatos como la posici\u00f3n y la hora en la que se han \ntomado. Varias apps acceden a la posici\u00f3n hist\u00f3rica del usuario pidiendo\n el permiso para leer la tarjeta de memoria, porque ah\u00ed es donde est\u00e1n \nalmacenadas las fotograf\u00edas, sin tener que pedir acceso al GPS\u201d, afirma.\n Es el caso de Shutterfly, una aplicaci\u00f3n de edici\u00f3n de fotograf\u00eda. Los \ninvestigadores han comprobado que recababa informaci\u00f3n de coordenadas de\n GPS a partir de las im\u00e1genes de los usuarios pese a que le hubieran \ndenegado el permiso para acceder a su ubicaci\u00f3n.<\/p>\n\n\n\n<p>Tambi\u00e9n es posible acceder a la geolocalizaci\u00f3n a trav\u00e9s del punto de\n acceso wifi con la direcci\u00f3n MAC del router, un identificador asignado \npor el fabricante que se puede correlacionar con bases de datos \nexistentes para averiguar la posici\u00f3n del usuario \u201ccon una resoluci\u00f3n \nbastante precisa\u201d.<\/p>\n\n\n\n<p>Para que la aplicaci\u00f3n pueda acceder a esta informaci\u00f3n, existe un permiso que el usuario debe activar en su <em>smartphone<\/em> llamado \u201c\u201cinformaci\u00f3n de la conexi\u00f3n wifi\u201d, seg\u00fan explica Vallina. Pero hay <em>apps<\/em>\n que consiguen obtener estos datos sin que el permiso est\u00e9 activado. \nPara hacerlo, extraen la direcci\u00f3n MAC del router que el terminal \nobtiene mediante el protocolo ARP (<em>Address Resolution Protocol<\/em>),\n que se usa para conectar y descubrir los dispositivos que est\u00e1n en una \nred local. Es decir, las aplicaciones pueden acceder a un fichero que \nexpone la informaci\u00f3n MAC del punto de acceso wifi: \u201cSi lees ese fichero\n que el sistema operativo expone sin ning\u00fan tipo de permiso, puedes \nsaber la geolocalizaci\u00f3n de forma totalmente opaca para el usuario\u201d.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Librer\u00edas de terceros<\/h3>\n\n\n\n<p>Muchas de estas filtraciones de datos o abusos a la privacidad del \nusuario se realizan por librer\u00edas, que son servicios o miniprogramas de \nterceros incluidos en el c\u00f3digo de las aplicaciones. Estas librer\u00edas se \nejecutan con los mismos privilegios que la <em>app<\/em> en la que se \nencuentran. En muchas ocasiones, el usuario no es consciente de que \nexisten. \u201cMuchos de esos servicios tienen un modelo de negocio que est\u00e1 \nbasado en la obtenci\u00f3n y el procesado de los datos personales\u201d, afirma \nel investigador.<\/p>\n\n\n\n<p>Por ejemplo, aplicaciones como la del parque de Disneyland de Hong \nKong utilizan el servicio de mapas de la compa\u00f1\u00eda china Baidu. De esta \nforma, pueden acceder sin necesidad de tener ning\u00fan permiso a \ninformaci\u00f3n como el IMEI y otros identificadores que las librer\u00edas del \nbuscador chino almacenan en la tarjeta SD. Las aplicaciones de salud y \nnavegaci\u00f3n de Samsung, que est\u00e1n instaladas en m\u00e1s de 500 millones de \ndispositivos, tambi\u00e9n han utilizado este tipo de librer\u00edas para su \nfuncionamiento. \u201cLa propia librer\u00eda explota esas vulnerabilidades para \nacceder a esos datos para sus propios fines. No est\u00e1 claro si luego el \ndesarrollador de la app accede a esos datos a trav\u00e9s de la librer\u00eda\u201d, \nexplica.<\/p>\n\n\n\n<p>Vallina afirma que en las pr\u00f3ximas investigaciones analizar\u00e1n el \necosistema de las librer\u00edas de terceros y para qu\u00e9 fines se obtienen los\n datos. Tambi\u00e9n estudiar\u00e1n los modelos de monetizaci\u00f3n que existen en \nAndroid y la transparencia de las aplicaciones en cuanto a lo que hacen y\n lo que dicen hacer en las pol\u00edticas de privacidad. Para evitar este \ntipo de pr\u00e1cticas, el tambi\u00e9n coautor del estudio Joel Reardon se\u00f1ala la\n importancia de realizar investigaciones de este tipo con el objetivo de\n \u201cencontrar estos errores y prevenirlos\u201d.<\/p>\n\n\n\n<p>Si los desarrolladores de aplicaciones pueden eludir los permisos, \n\u00bftiene sentido pedir permiso a los usuarios? \u201cS\u00ed\u201d, responde tajante \nReardon. El investigador hace hincapi\u00e9 en que las aplicaciones no pueden\n burlar todos los mecanismos de control y que poco a poco lo tendr\u00e1n m\u00e1s\n dif\u00edcil. \u201cEl sistema de permisos tiene muchos fallos, pero a\u00fan as\u00ed \nsirve y persigue un prop\u00f3sito importante\u201d, afirma.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Responsabilidad de los desarrolladores<\/h3>\n\n\n\n<p>Estas pr\u00e1cticas realizadas sin el consentimiento de los usuarios \nincumplen, entre otras normativas, el Reglamento General de Protecci\u00f3n \nde Datos (RGPD) y la Ley Org\u00e1nica de Protecci\u00f3n de Datos. Los \ndesarrolladores de estas aplicaciones podr\u00edan enfrentarse, seg\u00fan el \nRGPD, a sanciones econ\u00f3micas de hasta 20 millones de euros o el 4% de la\n facturaci\u00f3n anual de la empresa. E incluso podr\u00edan constituir un delito\n contra la intimidad (art\u00edculo 197 del C\u00f3digo Penal) que podr\u00eda \nconllevar penas de prisi\u00f3n, seg\u00fan Adsuara.<\/p>\n\n\n\n<p>El abogado sostiene que la mayor parte de la responsabilidad recae en\n los desarrolladores. Pero considera que tanto las tiendas \u2014Google Play y\n Apple Store\u2014 como las plataformas que dan acceso a las aplicaciones a \nlos datos de sus usuarios \u2014como Facebook en el caso Cambridge Analytica\u2014\n tienen una responsabilidad <em>in vigilando<\/em>: \u201cEs decir, el deber \nde vigilar que las aplicaciones que aceptan en su tienda o a las que dan\n acceso a los datos de sus usuarios en su plataforma sean seguras\u201d.<\/p>\n\n\n\n<p>\u201cAunque cada uno es responsable de sus actos, se echa en falta alguna\n autoridad espa\u00f1ola o europea que revise la seguridad de las \naplicaciones y servicios TIC antes de lanzarlas al mercado\u201d, afirma. Y \nsubraya que en otros sectores s\u00ed existe alg\u00fan tipo de certificaci\u00f3n que \ngarantiza que un producto o servicio es seguro: \u201cA nadie se le ocurre, \npor ejemplo, que se autorice la circulaci\u00f3n de coches a los que les \nfallan los frenos. Y ya no digamos medicinas, alimentos o juguetes. Sin \nembargo, es normal en el sector TIC que se lancen al mercado \naplicaciones y servicios con agujeros de seguridad, que luego, sobre la \nmarcha, se van parcheando\u201d.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Casi 13.000 \u2018apps\u2019 burlan los permisos de Android para recopilar datos de los usuarios El&#8230;<\/p>\n","protected":false},"author":1,"featured_media":33497,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_coblocks_attr":"","_coblocks_dimensions":"","_coblocks_responsive_height":"","_coblocks_accordion_ie_support":"","jetpack_post_was_ever_published":false,"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":false,"jetpack_social_options":{"image_generator_settings":{"template":"highway","default_image_id":0,"enabled":false},"version":2}},"categories":[1161,186,44,15],"tags":[2369,66,5467,601],"class_list":["post-33496","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciudadania","category-instituciones","category-noticias-de-hoy","category-ultimas-noticias","tag-datos","tag-fraude","tag-telefonos-moviles","tag-vigilancia"],"jetpack_publicize_connections":[],"jetpack_featured_media_url":"https:\/\/i0.wp.com\/miradordeatarfe.es\/wp-content\/uploads\/2019\/07\/1562923983_096024_1562924628_sumario_normal_recorte1.jpg?fit=1960%2C1130&ssl=1","jetpack_likes_enabled":true,"jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/miradordeatarfe.es\/index.php?rest_route=\/wp\/v2\/posts\/33496","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/miradordeatarfe.es\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/miradordeatarfe.es\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/miradordeatarfe.es\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/miradordeatarfe.es\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=33496"}],"version-history":[{"count":1,"href":"https:\/\/miradordeatarfe.es\/index.php?rest_route=\/wp\/v2\/posts\/33496\/revisions"}],"predecessor-version":[{"id":33498,"href":"https:\/\/miradordeatarfe.es\/index.php?rest_route=\/wp\/v2\/posts\/33496\/revisions\/33498"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/miradordeatarfe.es\/index.php?rest_route=\/wp\/v2\/media\/33497"}],"wp:attachment":[{"href":"https:\/\/miradordeatarfe.es\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=33496"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/miradordeatarfe.es\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=33496"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/miradordeatarfe.es\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=33496"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}