La empresa sabía en 2010 que una aplicación estaba obteniendo información personal de los usuarios.
Según ha sabido Tecnology Review, Apple fue advertida en 2010 de que la popular aplicación de intercambio de localizaciones Gowalla, diseñada para el iPhone, estaba descargando las libretas de contactos de los usuarios sin avisarlos.
Esto plantea cuestiones acerca de por qué Apple no hizo entonces lo que anunció que iba a hacer ayer. En un comunicado, la compañía afirmó que se lanzarían actualizaciones de software para iPhones con las que proteger a los usuarios frente a esta práctica prohibida.
Las declaraciones de Apple se producen tras una serie de revelaciones a lo largo de la semana pasada relacionadas con aplicaciones que acceden a los contactos de los usuarios. Las revelaciones comenzaron cuando un desarrollador independiente descubrió que la red social Path, con dos millones de usuarios, accedía a las libretas y generaba enormes colecciones de nombres, correos electrónicos y números de teléfono sin su consentimiento. Otros descubrieron que algunas populares aplicaciones, entre ellas, los servicios de intercambio de ubicación Foursquare y Gowalla, hacían lo mismo. La transmisión y almacenamiento de las libretas de contactos de los usuarios les expone a un mayor riesgo de que sus datos de carácter personal sean filtrados, quizás a través de un ataque a Sony como el que logró obtener detalles de tarjetas de crédito el año pasado.
La crítica que siguió a estos descubrimientos, agravada por pruebas de que Apple ignoró una advertencia por parte de algunos investigadores sobre dicho comportamiento en 2010, ha dado lugar peticiones para que la empresa modifique su sistema iOS y reforme su proceso de solicitud de aprobación, conocido por su opacidad.
A largo plazo, todos los sistemas operativos de teléfonos inteligentes podrían necesitar controles de privacidad más eficaces para explicar mejor qué datos personales recogen, y para dar a los usuarios la opción de protegerlos. El sistema operativo para móviles Android de Google ya requiere que las aplicaciones reciban permiso explícito para acceder a la agenda de contactos u otros datos privados, aunque los desarrolladores de aplicaciones no tienen obligación de explicar cómo será almacenada o usada esa información, y muchos usuarios parecen no entender completamente lo que permiten.
En 2010, el estudiante de postgrado Manuel Egele y sus colegas de la Universidad de California en Santa Bárbara (Estados Unidos), utilizaron una herramienta llamada PiOS para escanear 1.400 aplicaciones para iPhone en busca de signos de filtración de datos confidenciales de los usuarios. PiOS detectó la aplicación Gowalla, que subía 'sigilosamente' la libreta de contactos completa a los servidores de la empresa cuando el usuario veía su lista de contactos a través de la aplicación.
Eso constituye una clara violación de la privacidad del usuario, y de las propias reglas de Apple para la inclusión en la App Store, afirma Egele, hoy día investigador postdoctoral en la UCSB. Sin embargo, cuando Apple fue contactada al respecto, algunos de sus representantes mostraron poco interés, asegura. "Incluso tomamos imágenes que mostraban que los datos estaban siendo enviados sin cifrar", asegura. " Nos dijeron: 'Si usted tiene un problema de privacidad, póngase en contacto con el desarrollador'". Egele y sus colegas presentaron un documento revisado por expertos sobre el trabajo, incluyendo el hallazgo sobre Gowalla, el año pasado.
Apple no respondió a las preguntas sobre el incidente de 2010. Sin embargo, su primera declaración pública sobre la 'saga' de la libreta de direcciones, hecha ayer, daba a entender que acababa de ser consciente de la cuestión.
Tarde o temprano, Apple podría tener que hacer cambios más significativos, afirma Ty Rollin, director de tecnología de Mobiquity, una agencia de desarrollo de grandes aplicaciones en Wellesley, Massachusetts (EE.UU.). El diseño actual de iOS 'facilitó' las acciones de Path y otras aplicaciones, señala, y no parece salvaguardar los datos personales. Apple debería agregar una configuración de privacidad detallada que proporcione un control preciso sobre lo que pueden hacer las diferentes aplicaciones con los datos en un teléfono, de forma similar a lo que ocurre con las aplicaciones de Facebook, indica Rollins. "Eso también tiene que ocurrir con los teléfonos", señala. "No sé por qué están adoptando este enfoque tan poco sistemático. Tal vez estaban intentando mantener una interfaz impecable".
Apple es conocida por el control estricto sobre lo que los usuarios pueden hacer con sus dispositivos móviles y por hacer cumplir normas estrictas sobre qué aplicaciones están permitidas en la App Store. Sin embargo, en el caso de Path y algunas otras, no parece imponer dichas reglas. Eso resulta problemático, ya que Apple ha decidido recurrir al uso de reglas para proteger a los usuarios frente al comportamiento de las aplicaciones, en lugar de utilizar características técnicas integradas en iOS. Técnicamente, una aplicación para este sistema operativo puede acceder a otros datos personales, incluyendo fotos, listas de reproducción de música, vídeos vistos y el identificador único IMEI de un dispositivo, que puede ser utilizado para el seguimiento publicitario. No obstante, nadie ha informado de que ninguna de las aplicaciones más populares esté usando mal esos datos.
Dentro de la comunidad de las start-ups, la sencillez de acceso a los datos del usuario se considera una potente herramienta, afirma Aza Raskin, cofundador de la start-up de salud móvil Massive Health. Esa percepción podría cambiar. "Cuanto más sepamos acerca de alguien, mejor puede ser el conjunto de características", afirma. "La privacidad es algo en lo que, por desgracia, la mayoría de la gente no piensa [porque] no hay suficiente demanda por parte de los consumidores". Path y otras aplicaciones copian las libretas de contactos para poder informar a sus usuarios sobre en qué momento sus amigos se han unido también y así fomentar un mayor uso de sus redes sociales.
El aura de control de Apple puede que haya convencido a los desarrolladores, investigadores de seguridad y usuarios de que los datos personales se están administrando adecuadamente. "Esto nos hace ver algunas de las desventajas de un ecosistema cerrado", indica Raskin. "Si fuera un producto web, habría sido descubierto hace mucho tiempo".
Google adopta el enfoque opuesto con el Android Market. No veta activamente las aplicaciones, sino que ha incluido características en el sistema operativo que informan de manera transparente al usuario de aquellos datos a los que las aplicaciones pueden acceder. Sin embargo, en la práctica, esto podría no proporcionar una protección mucho mejor que la de iOS.
A pesar de que al usuario de Android se le pide que apruebe el acceso a los datos, muchas personas pulsan "OK" a toda prisa en lugar de leer la lista, apresurándose a probar su nueva aplicación, afirma Adrienne Porter Felt desde la Universidad de California, en Berkeley (EE.UU.). Sus compañeros y ella están escribiendo los resultados de un estudio sobre cómo manejan los usuarios los permisos de aplicaciones para Android. "La mayoría de la gente no presta atención, solo una pequeña parte lo hace, aproximadamente el 17 por ciento", afirma Porter Felt. Varios estudios sobre las advertencias de seguridad en los navegadores y en Microsoft Windows han demostrado que la exposición repetida a estas advertencias disminuye su impacto.
Existen 174 tipos de permisos que las aplicaciones Android están obligadas a solicitar, señala Porter Felt, en comparación con solo dos en iOS: para las aplicaciones que deseen tener acceso a la ubicación o que quieran enviar las llamadas 'notificaciones push' (información que puede ser de otros programas distintos).
Raskin, desde Massive Health, afirma que en la actualidad Apple tiene un incentivo para desarrollar un método totalmente nuevo de control de la privacidad del usuario, uno que no agobie con cuadros de diálogo ni presente un complejo panel de opciones. "Tienen la capacidad de hacer que suba el nivel".
Apple podría estar motivada por algo más que la mala prensa provocada por el caso de Path. Dos miembros del Comité de Energía y Comercio de la Cámara de Representantes de EE.UU. se pusieron en contacto por escrito el pasado jueves con el director general de Apple, Tim Cook, para hacer una serie de preguntas sobre el acceso que las aplicaciones pueden tener a los datos de contacto de los usuarios. La Comisión Federal de Comercio de EE.UU. tiene cada vez más interés en saber qué hacen las empresas de tecnología con los datos de los usuarios en los últimos años, y posiblemente podría decidir que Apple ha descuidado su responsabilidad de proteger a los usuarios. El pasado otoño, tanto Google como Facebook acordaron 20 años de auditorías de privacidad periódicas por parte de la Comisión Federal de Comercio después de que esta les acusara, por separado, de uso "engañoso" de datos privados.