Una investigación revela un error de Google en la privacidad de las aplicaciones de rastreo de contactos | Tecnología

Una investigación revela un error de Google en la privacidad de las aplicaciones de rastreo de contactos | Tecnología


Logo de Google en un edificio del distrito financiero de La Defense en Courbevoie, junto a París (Francia), fotografiado el pasado mes de septiembre.Charles Platiau / Reuters

Google y Apple presentaron en primavera de 2020 su sistema de rastreo de contactos para combatir la pandemia. En su declaración de intenciones inicial, la promesa era privacidad y seguridad para todos: “Entendemos que el éxito de este enfoque depende de que la gente tenga la confianza de que su información privada será protegida”. Pero en realidad, para los usuarios de móviles con sistema operativo Android, desarrollado por Google, no ha sido así.

Las aplicaciones de rastreo de contactos debían ayudar a combatir la pandemia. Millones de usuarios descargaron aplicaciones nacionales basadas en el sistema de Google y Apple. En Europa, Reino Unido, reticente al principio, ha sido el país con una mayor penetración. Millones de españoles, alemanes, suizos, italianos o belgas descargaron versiones nacionales del sistema. Sin embargo, su éxito, empezando por la española Radar Covid, ha sido relativo.

Ahora, además, una investigación de la empresa de privacidad AppCensus, con sede en San Francisco, revela que la implementación de Google fue deficiente. Google permitía que datos privados de la aplicación quedarán registrados en el archivo interno de actividad del dispositivo (más conocido como log), donde eran accesibles para cientos de aplicaciones preinstaladas en los móviles. Esa vulnerabilidad podía permitir vincular la identidad del dueño del móvil con su localización, sus contactos sociales y si era positivo.

“Es una vulnerabilidad que puede ser solventada porque no es un error de diseño de la tecnología de rastreo”, dice Narseo Vallina-Rodríguez, uno de los autores de la investigación, miembro de AppCensus e investigador de Imdea Networks. “Los errores de implementación son una constante en el mundo digital y en todos los productos que tenemos instalados en nuestros dispositivos”, añade. La compañía encontró la vulnerabilidad mientras analizaba el sistema como parte de un contrato que tiene con el Departamento de Seguridad Interior de EE UU. De momento, dicen en su post publicado hoy, sigue ahí: los logs registran aún esa información.

Carmela Troncoso, ingeniera de la Escuela Politécnica de Lausana que lideró el proyecto DP-3T, adaptado por Google y Apple en su protocolo, considera que han fallado a los usuarios. “Es un error bastante estúpido, pero significa que rompen su promesa de que los datos no iban a ser accesibles para nadie”, dice Troncoso. “Ha supuesto un riesgo porque esos datos han estado disponibles. Es algo que no debería pasar, aunque no hay ninguna evidencia de que ninguna app los haya cogido o utilizado”.

Los únicos potenciales afectados directamente por esta brecha son los usuarios de Android. AppCensus no ha encontrado un problema similar en Apple. Aunque los propietarios de iPhones pueden haberse visto afectados a consecuencia de aparecer como contactos para los usuarios de Android.

El Supervisor Europeo de Protección de Datos (SEPD) dice: “Tras analizar la información de AppCensus, llegamos a la conclusión de que se trata de una vulnerabilidad que expone datos especialmente protegidos como son los de salud y afecta, solo en la Unión Europea, a millones de personas. El SEPD contribuirá a las acciones que se decidan en el seno del Comité Europeo de Protección de Datos, pero no tiene previsto iniciar una investigación debido a que solo es competente sobre los tratamientos realizados por las instituciones europeas o por terceros en su nombre y ninguna institución europea está tratando los datos personales obtenidos de aplicaciones de rastreo”.

La complejidad y opacidad de los sistemas tecnológicos de las grandes compañías hace que estos errores sean más difíciles de detectar. “Es otro ejemplo de por qué sistemas críticos de interés público deberían ser de código abierto”, dice Vallina-Rodríguez. “La opacidad del sistema no ha permitido detectar estas vulnerabilidades durante casi un año”.

El problema de las aplicaciones preinstaladas

El registro (log) del móvil no es accesible para las aplicaciones que un usuario descarga desde Google Play. No tienen los permisos necesarios para acceder a esos datos internos. Pero las aplicaciones que llegan preinstaladas en el dispositivo desde fábrica sí que tienen esos accesos. En la investigación explican dos ejemplos de móviles Xiaomi y Samsung, donde hay 54 y 89 aplicaciones, respectivamente, que pueden consultar esa información. Xiaomi y Samsung son solo dos casos: la inmensa mayoría de fabricantes de móviles Android usan aplicaciones que van incorporadas de fábrica y que tienen acceso a mucha información sin que el usuario sea consciente, como ya reveló EL PAÍS.

Los investigadores advirtieron a Google el 19 de febrero de esta vulnerabilidad. Después de 60 días sin que la compañía haya puesto remedio, han publicado sus resultados y la han comunicado a las autoridades competentes. “Lo potencialmente grave de este problema es que el daño para muchos usuarios puede ya estar hecho”, explica Vallina-Rodríguez. “Cada dispositivo Android tiene aplicaciones preinstaladas con los privilegios necesarios para leer los logs del sistema, y los suben a sus servidores sin saber muy bien qué va en esos registros, incluyendo datos de salud. Es muy difícil cuantificar la magnitud del problema y es algo que debería dirimirse en las investigaciones que se lleven a cabo por los reguladores.”

En una declaración de un portavoz, Google admite haber recibido la comunicación y minimiza el supuesto riesgo: “Se nos notificó un problema mediante el que los identificadores de bluetooth eran accesibles temporalmente para otras aplicaciones preinstaladas con el objetivo de depurar e inmediatamente empezamos a trabajar para solucionarlo”, dice el portavoz de la compañía. “Estos identificadores no revelan la localización de un usuario ni proporcionan ninguna otra información identificadora y no tenemos ninguna indicación de que haya sido usada, ni de que ni siquiera alguna app estuviera al corriente de esto”.

Después de este primer comunicado, llegó un segundo de la compañía sobre los plazos de corrección: “Tenemos un proceso estándar para este tipo de investigación. Inmediatamente después de conocerla, comenzamos el proceso necesario para revisar el problema, considerar las mitigaciones y actualizar el código. La implementación de esta actualización para los dispositivos Android comenzó hace varias semanas y estará completa en los próximos días”.

En su post, AppCensus explica lo fácil que es vincular estos identificadores, que ciertamente por sí mismos no revelan nada, con datos personales de cada usuario. “Una entidad que recoge el log puede también asociarlo a la identidad del usuario. Cualquier app, incluyendo las preinstaladas, puede tener permisos para conseguir la dirección de correo o el número de teléfono del dispositivo”, escriben. No solo eso, con la ayuda de otras bases de datos que recojan más datos, la información del sistema de rastreo de contactos puede también llevar a la localización y los contactos físicos de cada usuario: los identificadores aleatorios del sistema de rastreo de contactos pueden convertirse en una dirección MAC (que identifica un dispositivo), “y con acceso a bases de datos existentes, pueden convertir esa dirección MAC en una geolocalización, lo que permite llegar a la localización histórica de un usuario”.

La gravedad y consecuencias de la vulnerabilidad será algo que las autoridades competentes deberán valorar. Dependiendo de la gravedad de los hechos que se demuestren, sobre todo si alguien ha accedido a esos datos registrados en el log, puede haber una multa considerable para la compañía estadounidense.

Puedes seguir a EL PAÍS TECNOLOGÍA en Facebook y Twitter.

Lo más vendido de tecnología informática

RebajasBestseller No. 1
HP Chromebook X360 14a-ca0003ns - Ordenador portátil de 14" FullHD Convertible táctil (Celeron N4020, 4GB RAM, 64GB Emmc, Gráficos Intel UHD, Chrome OS ) Plata - teclado QWERTY Español
  • Pantalla FHD (1920 x 1080) de 14" (35,6 cm) en diagonal, táctil, IPS, bisel micro-edge, antirreflectante, 250 nits, 45 % NTSC
  • Procesador Intel Celeron N4020 (2 núcleos, 1,1 GH/ 2,8 GHz, 4 MB)
  • Memoria RAM de 4 GB LPDDR4-3733 MHz
  • Almacenamiento de 64 GB eMMC
  • Tarjeta gráfica integrada Intel UHD 600
Bestseller No. 2
Law & Order: Special Victims Unit - Season 11
  • Amazon Prime Video (Video on Demand)
  • Mariska Hargitay, Christopher Meloni, Richard Belzer (Actors)
RebajasBestseller No. 3
Bestseller No. 4
VASAGLE Escritorio de la Computadora Blanco Mesa de Ordenador en Forma de Z Escritorio para hogar o Oficina LCD811W
  • ¿QUIERES CAMBIAR TU LUGAR DE TRABAJO? ¡Este escritorio está equipado con 4 ruedas para moverlo de la oficina a la sala de estar o incluso al balcón! 2 ruedas están equipadas con frenos para mantener el escritorio en su lugar
  • ESPACIO PEQUEÑO: Este escritorio compacto, de 60 x 48 x 73 cm, cabe en espacios reducidos y ofrece espacio para tu PC o portátil. La unidad central y la impresora se pueden colocar en el estante inferior
  • ESTRUCTURA EN FORMA DE Z ESTABLE: Está hecho de tubos de acero y tablero de aglomerado de 15 mm de espesor. La parte superior soporta hasta 30 kg. El enchapado en melamina es resistente al desgaste y a la decoloración. Se puede limpiar con un paño húmedo
  • CON SOPORTE DE TECLADO: El soporte de 54 x 26 cm está equipado con rieles silenciosos para crear un ambiente de trabajo tranquilo. El teclado no ocupa espacio en la parte superior, así que hay más espacio para mirar las notas
  • QUÉ HAY EN LA CAJA: Instrucciones ilustradas, piezas numeradas, agujeros pre-perforados en el lugar correcto, la herramienta necesaria para el montaje y lo más importante. Este compacto escritorio de VASAGLE se puede montar en pocos minutos
Bestseller No. 5
NITROPC - PC Gamer Nitro AMZ 2021 *Rebajas* (CPU AMD 2/4N x 3,50 GHz, T. Gráfica 2 GB, HDD 1 TB, Ram 16 GB, W10) + WiFi de Regalo. pc Gamer, pc Gaming, Ordenador para Juegos (actualizado Julio 2021)
  • CPU: AMD 3000G 3,50 GHZ (Turbo) x 2/4 núcleos / Placa base Chip AM4 A320 DDR4
  • GRÁFICA: AMD VEGA 3 2GB (integrada CPU)
  • RAM: 16 Gb (8 GB X 2) 2400 MHZ
  • HDD: 1 TB SATA 6 GB/S
  • Producto 100% Español* Windows 10 Pro de 64 bits activado, 100% testeado, 2 años de garantía Premium incluida.

Fuente original