Un servicio llamado Mobilescope, que actúa como un perro guardián, avisa a los usuarios cuando sus aplicaciones copian y transmiten información sensible.
Una de las razones por las que los teléfonos inteligentes y las aplicaciones para teléfonos inteligentes son tan útiles es que se integran íntimamente en nuestras vidas personales. Pero eso también significa que nuestros datos personales están en peligro.
Un nuevo servicio llamado Mobilescope espera poder cambiar esta dinámica permitiendo que los usuarios de teléfonos inteligentes puedan examinar todos los datos que transfieren las aplicaciones y avisarlos cuando se produzcan transferencias de información delicada, como su nombre o correo electrónico.
“Es una herramienta de intercepción no adscrita a ninguna plataforma que se puede usar en aparatos Android, iOS, Blackberry o Windows”, explica Ashkan Soltani, investigador independiente en temas de privacidad y creador de Mobilescope junto a sus compañeros investigadores David Campbell y a Aldo Cortesi.
El primer prototipo creado por este trío ganó un premio a la mejor aplicación creada durante un concurso de programación de aplicaciones relacionadas con la privacidad, un maratón de programación organizado por el Wall Street Journal en abril de este año. Ahora lo han pulido lo suficiente como para abrir un periodo de prueba en beta. Poco a poco están permitiendo el acceso al “par de miles” de personas que ya se han apuntado, cuenta Soltani.
Una vez que te apuntas al servicio, accedes a Mobilescope a través de un sitio web, no es una aplicación instalada en tu aparato. Los usuarios pueden servirse del sitio para ver los registros de los datos trasferidos por las aplicaciones que tienen instaladas. También pueden establecer “canarios”, o trozos de información delicada, por ejemplo su número de teléfono, correo electrónico o nombre, que disparan un aviso si alguna aplicación los envía.
Mobilescope puede pillar a las aplicaciones haciendo cosas como copiar la agenda de una persona en un servidor remoto, como se descubrió este año que hacían Path y otras aplicaciones móviles. Soltani afirma que el servicio nace con la intención de equilibrar la relación entre las aplicaciones móviles y sus usuarios, armando a estos con más información sobre lo que hacen dichas aplicaciones. Como quedó patente cuando se cazó a varias aplicaciones populares copiando discretamente datos de la agenda de los usuarios a principios de este año, en la actualidad ni el sistema operativo de Apple ni el de Google ofrecen a la gente demasiada información o control sobre lo que comparten las aplicaciones (ver "Apple ignoró las advertencias sobre el acceso a la libreta de contactos").
“Nos hemos centrado en hacer que el proceso de intercepción sea muy sencillo”, explica Soltani. “Aunque no seas un usuario avanzado, sigues pudiendo acceder a estos datos usando Mobilescope”.
Cuando alguien se apunta a Mobilescope se envía un archivo de configuración a su aparato. En cuanto queda instalado, todo tu tráfico en Internet se conduce a través de un servidor de Mobilescope para que este pueda analizar los datos que entran y salen del aparato y sus aplicaciones. Esto es posible gracias a que los teléfonos inteligentes están diseñados para ser compatibles con las redes privadas virtuales (VPN, por sus siglas en inglés), es decir, las comunicaciones encriptadas que usan algunas empresas para mantener los datos corporativos privados. Esta configuración no retrasa demasiado la conexión que uno tenga, según Soltani, en parte porque los usuarios están conectados con el servidor más próximo.
Mobilescope puede examinar incluso datos enviados por las más frecuentes de entre las conexiones seguras de las aplicaciones (interceptando los certificados implicados), parecidas a las que usan los sitios web de los bancos. El servicio no puede descifrar otros datos, pero Soltani afirma que pocas aplicaciones se molestan en encriptar los datos. La información recogida por Mobilescope se desecha después de cada sesión y solo se almacena en el aparato del usuario.
Soltani no espera que Mobilescope tenga el éxito masivo de algo como Angry Birds, pero sí que anime a periodistas, activistas y usuarios normales de teléfonos inteligentes a pararse a ver qué hacen las aplicaciones y que ponga una mayor presión sobre los desarrolladores de aplicaciones para respetar la privacidad. “Una mayor transparencia para todos –desarrolladores de aplicaciones, usuarios y legisladores- ayudará a todo el ecosistema móvil”, afirma.
Una versión anterior de Mobilescope permitía a los usuarios la posibilidad de enviar datos falsos a determinadas aplicaciones, por ejemplo una localización falsa. “Tuvimos que retirar esa posibilidad porque el ecosistema aún no está preparado para ella”, afirma Soltani, explicando que esa característica estropeaba algunas aplicaciones, a veces de forma que podían perjudicar a otros usuarios. Otro proyecto paralelo sí que permite esta táctica a los usuarios de Android dispuestos a usar una versión modificada de su sistema operativo (ver "Usa su aplicación, pero quédate tus datos").
En abril de este año Xuxian Jiang, profesor asociado de la Universidad North Carolina State (EE.UU.), publicó un estudio demostrando que los sistemas de anuncios incluidos en muchas aplicaciones Android ponen el peligro la privacidad del usuario. Alrededor de la mitad de estos sistemas siguen la localización GPS del usuario y algunos además recogen registros de llamadas y otros datos sensibles (ver "El ataque de los anuncios de Android").
Jiang, que ha puesto al descubierto otros fallos de seguridad y privacidad de aplicaciones móviles, afirma que Mobilescope será una herramienta “interesante” para hacer un seguimiento de las aplicaciones. Sin embargo, añade que no está garantizado que atrape todo y afirma que la privacidad móvil solo se puede mejorar con una mayor transparencia por parte de los desarrolladores, compromisos de privacidad mejorados y acciones por parte de los creadores de sistemas operativos móviles. “Necesitamos mecanismos para que los usuarios puedan controlar el acceso de las aplicaciones a distintos tipos de información personal”, reclama.
Justin Brookman, que dirige las actividades de privacidad del consumidor en el Centro para la Democracia y la Tecnología (CDT, por sus siglas en inglés) afirma que para eso suceda deberán producirse cambios en las leyes, que en la actualidad solo sirven para que las empresas presenten políticas de privacidad generales (para evitar las penalizaciones derivadas de escribir políticas falsas).
“En realidad la ley lo que hace es disuadir de crear acuerdos detallados”, explica. El CDT intenta que se aprueben leyes que exijan a las empresas detallar explícitamente a los consumidores qué pasa con sus datos y proporcionarles un mayor control.