CNET también está disponible en español.

Ir a español

Don't show this again

Móvil

Estos apps de Android te han estado rastreando –incluso cuando tú no lo desees

Quebrantando, potencialmente, las reglas de Google, los anunciantes están recopilando información que puede ayudarles a saltarse una función de privacidad de Android.

A mobile phone shows the Android logo in front of a computer monitor showing the Google logo.
NurPhoto/Getty Images

Algunas aplicaciones pueden rastrear tu actividad a lo largo del tiempo, incluso cuando les pides que "olviden el pasado". Y no hay nada que puedas hacer al respecto.

Aproximadamente 17,000 aplicaciones de Android recopilan información de identificación que crea un registro permanente de la actividad en tu dispositivo, de acuerdo con investigación del International Computer Science Institute. La recopilación de datos parece violar la política del gigante de búsquedas sobre la recopilación de datos que pueden usarse para orientar a los usuarios a la publicidad en la mayoría de los casos, dijeron los investigadores.

Las aplicaciones pueden rastrearte vinculando tu ID de publicidad (se conoce como ID Advertising, en inglés), un número único pero cambiable utilizado para personalizar la publicidad, con otros identificadores en tu teléfono que son difíciles –o imposibles– de cambiar. Esos ID están compuestos por identificaciones únicas de tu dispositivo: la dirección MAC, o los números IMEI y Android ID. Menos de un tercio de las aplicaciones que recopilan identificadores toman solo el Advertising ID, según lo que recomienda Google en su documento de prácticas adecuadas para desarrolladores.

"La privacidad desaparece cuando las aplicaciones recopilan esos identificadores persistentes", dijo Serge Egelman, quien dirigió la investigación. Dijo que su equipo, que dio a conocer sus hallazgos a Google en septiembre, observó que la mayoría de las aplicaciones enviaban información de identificación a los servicios de publicidad, una violación aparente de las políticas de Google.

Reproduciendo: Mira esto: Cómo proteger tu información personal en la red
3:40

Las políticas de la compañía permiten a los desarrolladores recopilar dichos identificadores, pero les prohíbe combinar el Advertising ID (o ID de publicidad) con los ID de hardware sin el consentimiento explícito del usuario, o usar identificadores que no se pueden reiniciar (o cambiar), para orientar anuncios publicitarios. Además, el código de prácticas adecuadas de Google para los desarrolladores recomienda recopilar únicamente el ID de publicidad.

Este comportamiento se ajusta a la larga historia de la industria tecnológica de crear medidas de privacidad que los sitios Web y los desarrolladores de aplicaciones aprenden a omitir rápidamente. Adobe, por ejemplo, se vio obligado a abordar el tema de las cookies de Flash en 2011 después de quejas de que "fragmentos de software" podrían sobrevivir en su navegador Web, incluso después de haber eliminado todas tus cookies. En 2014, surgieron quejas similares sobre el uso de Verizon y AT&T de los llamados supercookies, que rastreaban a los usuarios en múltiples dispositivos y no podían ser eliminados. En 2012, Microsoft acusó a Google de eludir su estándar de privacidad Web P3P, que permite a los usuarios del navegador Internet Explorer establecer sus preferencias para las cookies. (Google alegó que el estándar ya no era útil).

Los datos recopilados por las aplicaciones móviles han provocado un mayor escrutinio debido a la explosión de teléfonos inteligentes y tabletas. En enero, se descubrió que tanto Facebook como Google usaron una herramienta de desarrollo para eludir las reglas de privacidad de Apple y crear aplicaciones de iOS que recopilan información de los usuarios. El escándalo de Cambridge Analytica y Facebook de 2018 y otras controversias de privacidad han provocado un mayor escrutinio sobre cómo se recopilan y utilizan los datos.

El equipo de Egelman, que ya había hallado que unos 6,000 apps para niños recolectaron datos de manera inadecuada, dijo el jueves que las aplicaciones de renombre para adultos están enviando identificadores permanentes a los servicios de publicidad. Las aplicaciones incluían Angry Birds Classic, el popular juego para teléfonos inteligentes, así como audiolibros de Audible y Flipboard. También se encontró que Clean Master, Battery Doctor y Cheetah Keyboard, todas las utilidades desarrolladas por Cheetah Mobile, envían información permanente a las redes de publicidad.

Todas estas aplicaciones se han instalado en al menos 100 millones de dispositivos. Clean Master, un app que incluye servicios de optimización de teléfonos y antivirus, se ha instalado en 1,000 millones de dispositivos.

Lo que Google está haciendo al respecto

Google dice que ha analizado el informe de Egelman y que ha tomado medidas en algunas aplicaciones. Se negó a decir en cuántas aplicaciones actuó o qué medidas se tomaron, o incluso identificar cuál de sus políticas fueron violadas. La compañía dijo que sus políticas permiten la recopilación de identificadores de hardware y del Android ID para algunos propósitos, como la detección de fraudes, pero no para orientar anuncios publicitarios.

Google también dijo que puede hacer cumplir sus políticas solo cuando las aplicaciones de Android envían los identificadores a las propias redes publicitarias de Google, como AdMob. Si las aplicaciones envían los datos a redes externas, Google dice que no puede monitorizarlos en busca de violaciones.

"Tomamos estos temas muy en serio", dijo un portavoz de Google en un comunicado. "Combinar los ID publicitarios con los identificadores de un dispositivo con el fin de personalizar anuncios está estrictamente prohibido. Estamos revisando constantemente las aplicaciones, incluidas las que figuran en el informe del investigador, y tomaremos medidas cuando no cumplan con nuestras políticas".

Google tiene una serie de iniciativas que tienen como objetivo proteger la privacidad y seguridad del usuario. En una entrada de blog el miércoles, la compañía dijo que aumentó en 55 por ciento el número de apps abusivas bloqueadas de la Play Store en 2018.

Representantes de Rovio, la empresa que desarrolla la serie Angry Birds, y de Audible, no respondieron a nuestras solicitudes de comentarios.

Un portavoz de Cheetah Mobile dijo en un correo electrónico que sus aplicaciones envían el Android ID de un dispositivo a una compañía que les ayuda a rastrear las instalaciones de sus productos. La información, dijo el portavoz, no se usa para anuncios dirigidos, y la compañía cumple con todas las políticas y leyes relevantes de Google.

Flipboard dijo que no usa los ID Android para la orientación de anuncios.

La recopilación de datos identificada por Egelman y su equipo es similar a un problema que puso a Uber en problemas con Apple en 2015. Según el New York Times, El presidente ejecutivo de Apple, Tim Cook, se mostró furioso al enterarse de que Uber estaba recolectando los identificadores de hardware de los usuarios de iOS en contra de las políticas de Apple y amenazó con eliminar la aplicación Uber de la App Store.

El equipo de Egelman probó las aplicaciones mientras se ejecutaban en Android 6, también conocido como Android Marshmallow. Un poco más de la mitad de todos los dispositivos Android ejecutan Android 6 o una versión anterior del sistema, según un analisis de octubre de la propia Google. Los investigadores configuraron una versión de Android que les permitió rastrear qué identificadores recolectó una aplicación y luego ejecutaron miles de aplicaciones en el software modificado.

Egelman dijo que cambiar tu ID de publicidad debería cumplir la misma función que borrar los datos de navegación Web. Cuando borras las cookies, los sitios Web que visitaste en el pasado no te reconocerán. Eso les impide acumular datos sobre ti a lo largo del tiempo.

Pero no puedes restablecer otros identificadores, como la dirección MAC y el IMEI de tu dispositivo. La dirección MAC es un identificador único que tu dispositivo transmite a las conexiones de Internet como los routers de Wi-Fi. El IMEI es un identificador para tu dispositivo específico. Ambos identificadores a veces se pueden usar para evitar que los teléfonos robados accedan a una red celular. El ID de Android (Android ID) es otro identificador único para cada dispositivo. Se puede restablecer, pero solo si ejecutas un reinicio de fábrica de tu dispositivo.

Si las aplicaciones envían a las redes publicitarias alguno de esos identificadores, no importará cuántas veces restablezcas tu ID publicitario. Todavía pueden saber que eres tú.

Sandy Bilus, un abogado de privacidad y seguridad cibernética en Saul Ewing Arnstein & Lehr, dijo que las aplicaciones podrían estar violando el Reglamento General de Protección de Datos (GPDR), una ley de la Unión Europea que requiere que las organizaciones informen a los usuarios qué datos recopilan sobre ellos.

"Ciertamente podría plantear problemas de GDPR", dijo Bilus. "Los desarrolladores de aplicaciones que están recopilando y utilizando estos datos deben tener cuidado con eso".

Lorrie Faith Cranor, directora del Laboratorio de Seguridad y Privacidad Útil de CyLab en la Universidad de Carnegie Mellon, dijo que Google está en la mejor posición para acabar con las aplicaciones que usan identificadores de hardware y la identificación de Android de una manera que viola sus propias políticas.

El hecho de que los desarrolladores estén creando maneras de saltarse el ID de publicidad sugiere que muchas personas están optando por reiniciar (o cambiar) ese identificador, dice Cranor, incluso si la mayoría de los usuarios desconocen esa función de privacidad.

"De lo contrario", dijo, "¿por qué se tomarían la molestia [de hacerlo]?"