Video: ¿Por qué me vigilan, si no soy nadie? | Marta Peirano | TEDxMadrid (Noviembre 2024)
A fines de enero, los documentos filtrados revelaron que la NSA y otras organizaciones nacionales de espionaje han estado trabajando arduamente para obtener información de su teléfono inteligente. Pero en lugar de instalar un error, simplemente aprovecharon las aplicaciones que ya están en su teléfono para aprender todo lo que quieren saber.
Un pájaro enojado me dijo
Según los informes, las organizaciones de espías están buscando las llamadas "aplicaciones con fugas" para recopilar información. Es un término que hemos utilizado con bastante frecuencia en nuestras historias de Mobile Threat Monday, uno que el investigador principal de seguridad de Lookout, Marc Rogers, define como "Cualquier aplicación que transmite cualquier tipo de información confidencial sin cifrado".
Es posible que se sorprenda de que esta definición abarque muchas de las aplicaciones disponibles tanto en las tiendas de aplicaciones de Android como de iOS. Esto se debe a que muchas de estas aplicaciones utilizan plataformas de publicidad de terceros para ayudar a monetizar sus aplicaciones. A veces puede ver los anuncios directamente en la aplicación, como en Flappy Bird. El desarrollador obtiene un corte y tú obtienes un juego gratis.
Pero incluso cuando no ve ningún anuncio, los desarrolladores de aplicaciones a menudo incluyen código de anunciantes que recopila silenciosamente información sobre usted y su dispositivo. Los anunciantes recopilan y analizan esta información para ayudar a orientar mejor sus anuncios. "Mientras más información tenga sobre alguien, más preciso será su perfil de marketing", explicó el Especialista Senior en Amenazas Electrónicas de Bitdefender, Bogdan Botezatu.
"Para los anunciantes", explicó Rogers de Lookout, "hay oro en predecir qué ponerse para atraer a los usuarios". Esto podría ser productos y servicios más cercanos a su interés o disponibles en su área. Si vivieras en Osaka, por ejemplo, probablemente no estarías demasiado interesado en aprender sobre autos baratos en Chicago.
Los anunciantes y los vendedores suelen buscar información identificable, es decir, alguna forma de conectar su dispositivo con usted. El número EMEI de un dispositivo, el ID de Apple o algún otro identificador funcionarán, pero los correos electrónicos y los números de teléfono son particularmente apreciados. Con esta información, los anunciantes pueden determinar que la misma persona ha descargado diferentes aplicaciones y deducir cómo se usan en diferentes dispositivos. Otros anunciantes son más agresivos e intentan obtener su información de geolocalización y más.
Para dar un ejemplo sobre cuán de largo alcance puede ser la información del SDK del anunciante, Botezatu los comparó con el troyano de acceso remoto de Android perfilado por Bitdefender. Una vez instalado en el teléfono de una víctima, le da control total a un atacante permitiéndole robar contactos, acceder al historial del navegador y rastrear a la víctima. "La mayoría de la gente responde negativamente a AndroRAT cuando les muestro que puedo encender el micrófono", dijo. "En pocas palabras, eso es lo que sucede con la mayoría de los SDK de publicidad".
No está del todo claro para qué está utilizando la NSA la información de la aplicación interceptada, pero es probable que sea similar a los anunciantes: crear perfiles detallados sobre individuos a partir de información diversa. Por supuesto, podría usarse de otras maneras. Botezatu imagina un escenario en el que manifestantes protestaban en las calles contra un gobierno opresivo. Si este gobierno imaginario tuviera acceso ilimitado a la información de ubicación cosechada por los anunciantes, podrían determinar quién estaba en el motín y atacarlos a ellos o a sus familias para tomar represalias.
Tubos con fugas
Como dijo Rogers, una aplicación solo tiene fugas si intenta enviar información sin cifrado. Desafortunadamente, muchos de ellos han optado por no cifrar la información que fluye de las aplicaciones en su teléfono y en los servidores del anunciante. "Cualquiera que esté escuchando en el enrutador o la red puede espiar los datos de la aplicación y hacer una copia", dijo Botezatu.
Si bien hemos visto casos de agencias de espionaje husmeando en enrutadores y redes Wi-Fi, Rogers dice que es un problema mayor. "Las organizaciones gubernamentales están en condiciones de aprovechar la infraestructura de una manera que nadie más puede hacerlo. Un tipo malo puede obtener una gran cantidad de datos, pero los gobiernos pueden abarcar todo Internet".
Enviar montones de datos a los anunciantes no siempre es mejor que interceptarlos por la NSA. Botezatu señaló que una vez que los datos salen de su dispositivo, no tiene control sobre ellos. "Esos anunciantes pueden estar en un lugar donde no existe una legislación que proteja sus datos, y nadie puede garantizar que la información en esos servidores sea segura o inalcanzable para los hackers".
De quien es la culpa
En muchos casos, el desarrollador de la aplicación puede que ni siquiera sepa qué información está siendo absorbida por los anunciantes. O si esa información está encriptada.
Rogers dice que gran parte del problema es un concepto erróneo de la industria sobre lo que hace que los datos sean sensibles. Algunas aplicaciones, explicó, solo toman un poco de información, como una preferencia sexual en una aplicación de citas o parte de un código postal en otra aplicación, sin preocupación. Los anunciantes no ven esta información como confidencial porque solo no le dice mucho. Pero ahora organizaciones como la NSA pueden interceptar datos de cientos de aplicaciones a la vez y conectar los puntos. "Las organizaciones gubernamentales pueden correlacionar todo eso y construir un perfil completo", dijo Rogers.
También hay problemas con los kits de desarrollo de software utilizados por los anunciantes para recopilar esta información. Botezatu explicó que si bien hay millones de aplicaciones en todos los mercados móviles, la cantidad de SDK publicitarios es muy pequeña. "Hay alrededor de 100 alimentando todas las aplicaciones en Google Play", explicó. "Si compromete una, compromete una gama completa de aplicaciones y llega a muchos más clientes".
Los clientes (es decir, usted y yo) también participamos en esto porque nuestros teléfonos nos advierten que esta información se está recopilando. Cuando descarga una aplicación de Google Play, por ejemplo, acepta otorgarle acceso a una variedad de permisos. Esta es información a la que puede acceder la aplicación y acciones que puede llevar a cabo. "Si Angry Birds está utilizando su ubicación, puede asumir que de alguna manera se está utilizando para publicidad", dijo Rogers.
Cómo mantenerse a salvo
Para personas como nosotros, las opciones para limitar quién ve nuestra información son pocas. En iPhone, puede obligar a los anunciantes a acceder a un "ID de publicidad" que puede actualizar en cualquier momento, lo que limita la forma en que se puede construir un perfil. iOS también le permite proporcionar permisos granulares a la información. Puede permitir el acceso a su ubicación y luego desactivarlo más tarde desde el menú Configuración.
Desafortunadamente, Android se ha quedado atrás con permisos granulares. Aunque Google introdujo brevemente un panel de control para permitirle activar y desactivar los permisos, se eliminó rápidamente. Esto significa que muchos usuarios tienen que elegir entre seguridad y jugar con la última aplicación. "Cuando veo una aplicación que intenta recopilar más datos de los que necesita, busco otra aplicación con funcionalidades similares", dijo Botezatu.
Los usuarios también pueden instalar software de seguridad que puede ayudar a monitorear los permisos de la aplicación. Lookout dice que su aplicación de seguridad comenzará a resaltar esta información, y la aplicación Clueful de Bitdefender puede ayudarlo a decidir si una aplicación está pidiendo demasiado.
Rogers reconoce que "el usuario está muy alejado de lo que un desarrollador de aplicaciones acepta hacer con sus anunciantes". Sin embargo, recomendó que los usuarios exijan que los desarrolladores de aplicaciones proporcionen documentación como políticas de privacidad y divulgación.
La responsabilidad, lamentablemente, es que los desarrolladores y anunciantes comiencen a tratar toda la información del usuario como confidencial y la cifren desde que deja su teléfono hasta cuando está en sus servidores. Mientras tanto, los consumidores deben tomar decisiones inteligentes sobre qué aplicaciones instalan y responsabilizar activamente a los desarrolladores. "Escuchamos todos los días que se están espiando cosas nuevas, pero al menos en este caso hay un remedio fácil", dijo Rogers.
