Monday, October 29, 2018

Aplicaciones Entrometidas

Lea este artículo en Inglés / Read in English here.

Algunas aplicaciones para celulares pueden entrometerse inesperadamente en nuestra información privada. A priori, nuestra opinión puede ser "No me importa, no tengo nada que esconder". Sin embargo, hay mucho en juego. Hagamos un recorrido sobre qué cosas están en juego, analicemos por qué estas aplicaciones espían en nuestras cosas y cómo esta información representa una riesgo para nosotros. Por último, revisemos qué cosas podemos hacer para mantenernos a salvo de la manera más sencilla.

En general usaremos ejemplos de aplicaciones en Android, pero los mismos principios se aplican a las aplicaciones en iOS.

¿Qué cosas están en juego?
Las aplicaciones a veces son realmente codiciosas respecto a los permisos que solicitan.

Algunos videojuegos requieren acceso a tus contactos y ubicación, de lo contrario, no nos permiten jugar. ¿Por qué? Nosotros simplemente queremos jugar el juego. Solo algunas veces el acceso a la ubicación tiene sentido (por ejemplo para jugar Pokemon Go).

Otras aplicaciones solicitan que se ejecuten al inicio y que el teléfono no se duerma. Un ejemplo de esto es NerdWallet. Este combo de permisos les da derecho a correr en background (segundo plano) todo el tiempo que quieran, en cualquier momento. ¿Qué cosas están ejecutando en background? ¿Por qué necesitan eso? NerdWallet no explica por qué y no hay ningún motivo para ello.

United Airlines pide un puñado de permisos: controlar las llamadas, acceder a bluetooth, acceder al almacenamiento, usar NFC (antena de comunicación de corto alcance), usar la ubicación y evitar que el dispositivo se duerma. Pero United no explica por qué necesita acceso a Bluetooth ni a NFC. Además, la aplicación requiere el uso de nuestra ubicación lo que les permitiría rastrearnos en cualquier momento por el pequeño beneficio de tener a mano un mapa del aeropuerto, pero en mi opinión personal no creo que valga la pena. También piden hacer llamadas telefónicas directamente, pero no hay necesidad de tal requisito. La aplicación de United puede iniciar una llamada telefónica desde la aplicación telefónica sin requerir este privilegio.

Otro permiso delicado que he visto a algunas aplicaciones solicitar es "Aplicaciones instaladas e historial de internet". Esto les permite leer datos confidenciales, como su historial de navegación y las aplicaciones que utiliiza. Con esto, las aplicaciones llegan a conocer mucho de nosotros. Un navegador web o un antivirus sin duda requerirán este permiso. Sin embargo, un juego o una aplicación no deberían exigir tal privilegio. NerdWallet solía solicitar este permiso y afortunadamente lo cambiaron hace unos meses.

A veces no se trata de lo que saben sobre nosotros, sino el para qué van a usar nuestra información. ¿Van a almacenar nuestra información de forma segura? ¿Venderán nuestros datos a terceros? ¿Utilizarán lo que saben sobre nosotros para influenciar una campaña electoral? Nuestra información personal es muy delicada y muchas veces las empresas son negligentes con ellos.

Como conclusión personal,  nunca instalaría una aplicación que requiera permisos sin una clara explicación o necesidad.

¿Por qué piden acceso a nuestra información?
Hay tres motivos principales para los cuales los desarrolladores de aplicaciones quieren nuestros datos.

Motivo 1: quieren ofrecer un mejor servicio
Los desarrolladores de aplicaciones utilizan la información que recopilan de nosotros para:
   - Aprender cómo usamos la aplicación para que puedan mejorar los puntos débiles. De esta manera pueden diseñar una interfaz de usuario más intuitiva.
   - Descubrir si la aplicación falla, si es lenta, si consume mucha batería o RAM. De esta manera el equipo de ingenieros puede resolver problemas.

¡Esto es genial! Porque al recopilar datos, los desarrolladores pueden averiguar si algo funciona mal.

Motivo 2: quieren ganar dinero extra
   - Cuando las aplicaciones nos conocen mejor, le permiten a la compañía ofrecer un mejor servicio. Por ejemplo, Target podría ofrecernos productos con descuento en cosas que normalmente compramos. O Seamless (un servicio de delivery de comida en NY) puede mostrarnos una notificación de que nuestro restaurante favorito está teniendo un 2x1.
   - Conocer el mercado y las tendencias les permite a las aerolíneas funcionar mejor respecto a oferta y demanda (próximamente publicare un articulo en mi blog sobre este tema).

En general esto es bueno (principalmente el primer punto). Personalmente creo que es útil cuando Facebook me muestra eventos relevantes en mi área. Facebook va a seguir mostrandonos anuncios, pero al permitir que nos conozca mejor, nos va a mostrar contenido más relevante y hasta puede que nos sea valioso.

Motivo 3: venden nuestros datos a terceros
   - No es ningún secreto que la información es poder. Existe un gran mercado para la venta de datos en el cual las pequeñas empresas pueden hacer mucho dinero vendiendo nuestra información. Y esto no es bueno por motivos obvios.


Pero, hay más!
La historia no es simple. Incluso si los desarrolladores de aplicaciones tienen buenas intenciones, pueden meter la pata en cómo almacenan y protegen nuestros datos. Este es el caso de muchas pequeñas empresas que no toman las precauciones necesarias para proteger nuestros datos. Tal vez no sean empresas malvadas, tal vez solo quieren tener un gran impacto en el mundo y para eso desarrollaron una solución rápida para un problema del mundo real. Pero las cosas pueden salir mal. Un hacker puede atacar a estas empresas que tiene medidas de seguridad pobres y así conseguir nuestra información personal, como nuestras tarjetas de crédito!

Por otro lado, yo confío mis datos a  las grandes empresas . Por ejemplo, soy un usuario frecuente de Facebook y sé que usan mis datos personales pero nunca para hacer dinero vendiendo mi información. Yo estoy seguro de que Facebook protege mis datos para que no se filtren en la web.

La cosa cambia cuando hablamos de pequeñas empresas, especialmente las que no cobran por los servicios que brindan. Las aplicaciones que uno puede usar gratis hacen dinero principalmente al mostrar anuncios o vendiendo nuestros datos a terceros.

Adicionalmente, vigile las aplicaciones/extensiones de sus navegadores web. La extensión de Honey pide tener acceso a toda información que está visible en todas las páginas que visitamos. ¡Esto incluye correos electrónicos, Facebook, incluso sus fotos, estados de cuenta bancarios, inversiones y resúmenes de  tarjetas de crédito! No estoy diciendo que ellos están ganando dinero al vender nuestra información, pero sospechosamente ofrecen este servicio gratuito de descuentos y tienen todos estos privilegios a la mano.


¿Qué podemos hacer al respecto?
Sin ningún orden en particular, aquí presento algunos caminos que puede tomar para mantenerse a salvo. Asegúrese de investigar más y comprender los riesgos en los que se está involucrando.

Negligencia en usar la aplicación (o su sitio web)
Tiempo de cuentos: recientemente tuve una mala experiencia con una aerolínea. Me metí en un retraso de 7 horas debido a dificultades técnicas. Para emitir un reclamo, investigué en la web y me encontré con este sitio web que ayuda a presentar reclamos. Después de completar un formulario largo con la información de mi vuelo, me pidieron que ingresara con mis credenciales de correo electrónico y el sitio web solicitaba permiso obligatorio para leer todos mis correos electrónicos. ¿En serio? ¿Leer todos mis correos electrónicos a cambio de ayudarme a presentar un reclamo de una aerolínea? De ninguna manera. No comprometería mi privacidad para obtener ese tipo de ayuda. Mi correo electrónico contiene mucha información sobre las cosas que compro, mis hábitos y mi salud. ¡A veces incluso chateo con gente por correo electrónico! La respuesta es no, definitivamente.

¡Pero hay más! Estaba a punto de cerrar la página, hasta que me di cuenta de que podía usar cualquier dirección de correo electrónico. Entonces inicie sesión con una cuenta secundaria que tengo (una cuenta de correo electrónico que solo uso para registrarme en sitios web riesgosos), y obtuve la respuesta de la evaluación: no pudieron ayudarme: /
El hecho de que no hayan dicho esto de antemano habla acerca de sus intenciones: nada buenas.

Otra situación sospechosa en la que me encontré fue relacionada con la marca Banana Chiquita,  al querer inscribirme en un concurso para ganar un elegante estuche de lápices en 2017. Para participar, tenía que completar un formulario que pedía mi nombre, dirección, número de teléfono y correo electrónico, entre otros detalles. . Esto era inconcebible. Una gran cantidad de información personal para obtener una rifa para un premio tan pequeño. Claramente no completé el formulario.
Además, por lo general, estos sorteos ofrecen muy pocos premios y la posibilidad de ganar es muy baja (por ejemplo, 10 premios para 1M participantes).

Encontrar una alternativa
Muchas veces podemos encontrar en la Play Store / App Store otras aplicaciones que ofrezcan un servicio similar pero que no requieran tanta información personal como otras. Es solo una cuestión de buscar y encontrar una buena alternativa.
De hecho, cuando estaba buscando una aplicación de organización de archivos, los principales sugeridos en la lista del Play Store solicitaban permiso de ubicación y ejecución al inicio. Luego de investigar con mayor profundidad, encontré una que prescindía de dichos requerimientos.

Usa su sitio web en su lugar
Usar el navegador web y visitar una página web es más seguro que instalar una aplicación que siempre se ejecutará en segundo plano. Por ejemplo, siempre uso NerdWallet a través de un navegador en lugar de tener la aplicación instalada en mi teléfono.

Usar un usuario diferente (sólo disponible en Android)
Los teléfonos con Android te permiten tener múltiples usuarios en el dispositivo, de la misma manera que puedes tener varias cuentas en una computadora. Tengo un segundo usuario en el que he iniciado sesión con mi cuenta de Gmail secundaria.

Uno de los usos que le doy, por ejemplo, es el de instalar aplicaciones que necesito pero que no me brindan la suficiente confianza/seguridad. Por ejemplo, en ese usuario tengo iPass instalado. iPass es genial, me encanta que puedas conectarte gratis en cualquier aeropuerto (siempre y cuando tengas una membresía con ellos). Lo que no me gusta de ellos es que la aplicación requiere acceso a tu ubicación para trabajar. Esta es una señal de alerta:, no necesitan saber mi ubicación. Además, a través de un conocido que trabaja en su departamento de ventas, llegué a saber que están buscando vender datos de usuarios a terceros. Para agregar más a esta situación extraña, en su aplicación para iOS, sugieren que les conceda acceso a mis datos de salud. Realmente sospechoso.

Al tener la aplicación iPass en otros usuarios, me aseguro de que la aplicación se ejecute en su propia plataforma sin tener acceso a mi cuenta principal de Gmail, y como rara vez uso mi teléfono con ese usuario de Android, limito el tiempo de ejecución de la aplicación.

Asumir el riesgo
A veces, el servicio que ofrece la aplicación es algo valioso para usted o tiene prisa por hacer un trabajo. Recientemente necesitaba unir dos videos y busqué rápidamente una aplicación en Play Store para hacer una edición básica de video. No me importó que la aplicación pudiera cargar y guardar mi video porque era una cosa de una sola vez y porque el video no era nada confidencial ni sensible.


Espero que hayan disfrutado la breve descripción de privacidad en este mundo inteligente en constante cambio. Si tiene alguna pregunta, siéntase libre de agregarla en la sección de comentarios a continuación.

Nota: nadie me pagó ni influyó en la opinión descrita en esta publicación. Elaboré estas conclusiones basadas en mi propio conocimiento y experiencia en el tema.

No comments:

Post a Comment