Las filtraciones sobre que la NSA espiaba a través de Angry Birds y Google Maps pone de manifiesto la gravedad del problema
Las noticias aparecidas este lunes de que la Agencia Nacional de Seguridad estadounidense (NSA por sus siglas en inglés) lleva años cosechando datos personales "filtrados" de aplicaciones móviles como Angry Birds ha reanimado el debate sobre el alcance de las pesquisas de la NSA. Sin embargo, la NSA y su homólogo británico, el GCHQ no han tenido que realizar grandes proezas técnicas para recoger esos datos. Pocas aplicaciones móviles incluyen tecnología de encriptado que proteja los datos que mandan a través de internet, así que las agencias podían recoger y descodificar esos datos tranquilamente usando sus redes de acceso a internet ya existentes.
Los documentos vistos y publicados por los periódicos The New York Times y The Guardian demuestran que la NSA y el GCHQ pueden extraer información sobre la edad, localización y orientación sexual de alguien de los datos enviados a través de internet por las aplicaciones. Este tipo de detalles personales se encuentran en los datos enviados por las aplicaciones de vuelta a las empresas que las crean y mantienen. Esto incluye los datos enviados a empresas que presentan y dirigen los anuncios en las aplicaciones móviles.
"Esto demuestra la negligencia respecto a la seguridad por parte de las empresas de aplicaciones", afirma el director de proyectos de tecnología de la Fundación Frontera Electrónica, Peter Eckersly. Ecklersy asegura que sus esfuerzos por convencer a las empresas de que aseguren su tráfico web demuestra un desprecio generalizado por el riesgo de enviar los datos de la gente a través de internet sin protección contra las intercepciones. "La mayoría de las empresas no tienen un motivo legítimo" para no asegurar esos datos, sostiene Eckersly. "A menudo la seguridad y privacidad de sus usuarios está tan abajo en su lista de prioridades que ni siquiera se han planteado la posibilidad".
Un estudio llevado a cabo por investigadores alemanes en 2012 sobre 13.500 aplicaciones para Android descubrió que sólo el 0,8 % usaba exclusivamente conexiones encriptadas y que el 43% no usa ningún tipo de encriptado. La semana pasada, la empresa de seguridad de aplicaciones móviles MetaIntell informó de que el 92% de las aplicaciones Android más populares comunicaban algunos datos de forma no segura.
Normalmente cuesta saber si una aplicación está usando un encriptado para enviar datos o no. Los navegadores web muestran un icono de un candado junto a la dirección de la web si ésta está usando encriptado, pero no existe un equivalente para las aplicaciones móviles. Comprobar manualmente si una aplicación móvil está asegurando las trasferencias de datos implica inspeccionar los registros de la red para examinar cómo se conecta la aplicación con los servidores.
Los documentos publicados este lunes destacan Google Maps como una aplicación que está filtrando datos especialmente útiles con motivos de vigilancia. Documentos tanto de la NSA como del GCHQ señalan que las búsquedas interceptadas de esta aplicación pueden revelar los movimientos de alguien. Un documento de 2008 de GCHQ afirma que un sistema creado para interceptar esos datos "Significa en la práctica que cualquiera que use Google Maps en un smartphone está apoyando un sistema GCHQ".
Google encripta por defecto su búsqueda web desde septiembre del año pasado, pero no ha hecho pública la información sobre cuáles de sus aplicaciones móviles usan encriptado. Un portavoz de la empresa ha declarado a MIT Technology Review que las versiones actuales de la aplicación Google Maps usan encriptado para proteger los datos que se envían de vuelta a los servidores de la empresa. Eso sugiere que las agencias de inteligencia ya no pueden observar los lugares donde está buscando la gente simplemente interceptando el tráfico de internet.
Los documentos filtrados también ponen de relieve cómo la tecnología de anuncios dirigidos incorporada en muchas aplicaciones puede filtrar información personal. Muchas empresas de aplicaciones usan tecnología de terceras empresas que recoge y transmite los datos relativos al seguimiento y dirección de anuncios (ver "Las empresas de publicidad móvil buscan nuevas formas de seguir tus pasos" y"Anuncios que te persiguen de un dispositivo a otro").
Muchas veces esos datos contienen información sobre el "perfil" de la persona, información como el sexo, la edad aproximada, y la localización, Un informe de GCHQ de 2012 detalla tecnología diseñada para extraer esos perfiles de los datos transmitidos por el juego Angry Birds. El análisis hecho por MetaIntell de la versión actual para Android de este juego, ha hallado que envía datos sin encriptar a AdMob, la empresa de anuncios móviles propiedad de Google. El informe de 2012 también destaca la empresa de anuncios Millennial, que elabora perfiles que pueden incluir la etnia, estado civil y orientación sexual de una persona. Un portavoz de Millennial ha declarado a MIT Technology Review que la empresa sólo accede a ver los datos que sus socios tienen permitido recoger de sus usuarios, y que los anuncios no se dirigen basándose en la orientación sexual.
Las empresas de tecnología aplicada a los anuncios como Millennial tienen menos incentivos aún que los fabricantes de aplicaciones para dedicarse a proteger los datos que transmiten, porque trabajan en la trastienda. Según el investigador independiente Ashkan Soltani, parece poco probable que las empresas de anuncios hagan uso del encriptado. Soltani contribuyó a una encuesta llevada a cabo en 2010 por el periódico The Wall Street Journal sobre la privacidad y seguridad de las aplicaciones móviles que halló que la mayoría de los datos enviados por aplicaciones no estaban protegidos por ninguna forma de encriptado. "La mayoría de las plataformas de anuncios no lo respaldan".
El investigador principal en seguridad de la empresa de seguridad móvil Lookout, Marc Rogers, afirma que las noticias aparecidas esta semana podrían servir para cambiar las cosas. "Como industria, los desarrolladores de aplicaciones móviles y sobre todo los anunciantes móviles tendrán que cambiar su idea de lo que se considera sensible para incluir cualquier tipo de información personal transmitida", afirma.
Si eso no sucede, no será por cuestiones técnicas ni económicas. "Con el estado de la tecnología actual, ninguna aplicación móvil se debería librar de incorporar un encriptado adecuado", afirma Rogers.