Las aplicaciones de bloqueo de anuncios publicitarios (ad-blockers), los cortafuegos (firewalls) y las redes privadas virtuales (VPN) se han vuelto muy populares entre los usuarios de Internet –en especial entre los miles de millones de propietarios de dispositivos móviles, verbigracia: celulares– como forma de protegerse del robo de datos y de la molesta publicidad intrusa. El problema se presenta cuando roba el vigilante, y esas aplicaciones –pagas o gratuitas– se dedican a cosechar en secreto los datos del usuario al que aseguran custodiar.
El enemigo interior
“El negocio –portentoso para unos pocos terceros indeterminados– es una vulneración aterradora de los derechos de miles de millones de personas.
En nuestra nota del 2 de mayo de 2019 “El enemigo interior” advertíamos sobre las prácticas desleales de compañías que aprovechan los recursos provistos por Internet, a espaldas del conocimiento público, para hacerse de información privada y utilizarla con fines espurios.
El negocio –portentoso para unos pocos terceros indeterminados– es una vulneración aterradora de los derechos de miles de millones de personas.
La permeabilidad de noticias falsas disfrazadas de auténticas (fake news), la combinación maliciosa de datos personales públicos e íntimos, la publicidad intrusa (infiltrada, conducida y engañosa), la recopilación de hábitos y preferencias, el relevamiento de los comportamientos de los usuarios, todo sin su autorización ni conocimiento –decíamos entonces– es una realidad temible.
Por fortuna, una gran cantidad de personas ha percibido –o al menos actúa en consecuencia– que la publicación indiscriminada de la intimidad no es tanto una libertad conquistada como una imposición encubierta de grupos interesados en explotar esa información sensible en beneficio propio.
El vigilante de la esquina
Las tiendas en línea –stores– de aplicaciones y otros productos de software (música, video, juegos) auditan de manera constante la benignidad de lo que venden, advierten sobre la publicidad incluida, y multan o sacan de circulación a aquellas apps que les resultan sospechosas.
Los editores de contenidos, los desarrolladores, los investigadores, argumentan con razón que los avisos incrustados proporcionan ingresos que les permiten crear, comprar, desarrollar, continuar y sustentar los avances.
No es tan claro, sino más bien turbio, el tráfico grosero de información privada por medio de muchos productos, la inserción de fragmentos de código malicioso y la infiltración de publicidad disfrazada que, contra los esfuerzos constantes de los stores, se lleva a cabo a espaldas del público.
Casi al mismo tiempo que se inició la distribución digital, emergieron los vigilantes digitales, a la sazón, aplicaciones que controlan y eventualmente bloquean las acciones de otras aplicaciones para cuidarnos del peligro.
Primero fueron los antivirus, después los cortafuegos (firewalls), más adelante los bloqueadores de avisos (ad-blockers) y las redes privadas virtuales (VPN, Virtual Private Networks), que a modo de un cuerpo de policía informática revisan las operaciones y hacen cumplir las leyes de la privacidad en red automáticamente.
Hecha la ley
El uso artero de la publicidad, pero de muchas otras herramientas presentes en línea, representa un peligro concreto para las personas.
Descargas ocultas que se almacenan en los dispositivos sin que los usuarios se enteren, áreas invisibles superpuestas que enlazan a sitios externos cuando se las toca, redireccionamientos automáticos (envío inesperado a una dirección no solicitada), son algunos ejemplos dañinos.
Inadvertidos, los propietarios de smartphones consumen datos de red celular –y también baterías– sin límites debido al tráfico no autorizado de datos, perpetrado en especial por la publicidad fraudulenta y por los ladrones cibernéticos.
Mediante el engaño, muchos sitios y aplicaciones generan ingresos que roban a su vez de la publicidad –honrada en su mayor parte– mientras estafan a los anunciantes que pagan por clicks o por vistas de los usuarios.
La trampa alcanza así a las marcas, a los medios y a la publicidad, que pierden su eficacia por la simulación de resultados falsos.
El fabuloso consumo de datos disminuye el ancho de banda disponible, las redes se saturan, los tiempos de carga se dilatan, los centros de procesamiento masivo de información derrochan energía valiosa.
Ataques a traición
Las plataformas de análisis de las tiendas de aplicaciones escrutan y validan (o rechazan) cada una de las apps que se suben a sus stores, entre las que por supuesto están aquellas que prometen protección.
Surge con una frecuencia cada vez mayor que ciertas redes de aplicaciones móviles utilizadas para protegernos del robo de información en realidad acumulan para sí los datos que bloquean a los villanos digitales.
Varias compañías de vigilancia –contra lo que ofrecen– recopilan detalles personales, hacen estimaciones de la capacidad económica, ingresos, información de conductas, y evalúan las tendencias de uso de las apps.
Software de VPN, bloqueadores de anuncios, cortafuegos –aplicaciones que datos no son nuevas ni exclusivas– parecen ahora judas de nuestra seguridad y privacidad.
Peor todavía, gigantes como Facebook o Google promueven, apoyan el desarrollo y distribuyen, de buena fe o no tanto, de modo velado o notorio, tales ingenios.
“Nuestras aplicaciones [las que se distribuyen a través de Play] no rastrean, solicitan ni almacenan datos confidenciales, como contraseñas, nombres de usuario, de usuarios u otras aplicaciones en el dispositivo de ninguna persona, incluidos los navegadores web”, es la proclama de Google que queda puesta en duda.
Para quién roba cuando roba el vigilante
El 9 de marzo de 2020 la empresa de medios de Internet, noticias y entretenimiento con foco en la comunicación digital BuzzFeed publicó una nota de Craig Silverman que disparó todas las alarmas.
El título “Popular VPN And Ad-blocking Apps Are Secretly Harvesting User Data” (Las aplicaciones populares de VPN y bloqueo de anuncios están cosechando en secreto los datos del usuario) encendió la mecha de una bomba cuyas dimensiones ignoramos.
“Sensor Tower”, relata Silverman, “una popular plataforma de análisis para desarrolladores e inversores tecnológicos, ha estado recopilando en secreto datos de millones de personas que instalaron aplicaciones populares de VPN y bloqueo de anuncios para [los sistemas operativos de móviles] Android e iOS”.
“Estas aplicaciones, que no revelan su conexión con la empresa ni declaran que suministran datos del usuario a los productos de Sensor Tower, tienen [a la fecha] más de 35 millones de descargas”, prosigue.
El vigilador traicionero
Desde 2015, Sensor Tower es la propietaria velada de al menos 20 aplicaciones de Android y de iOS, de las cuales 4 son gratuitas e ilimitadas.
Una vez descargadas, las aplicaciones de Sensor Tower solicitan a los usuarios que instalen un pequeño archivo (root certificate) como condición de seguridad.
El emisor del certificado queda así autorizado a acceder a todo el tráfico y los datos que pasan a través de teléfono, lo que expone al usuario a un riesgo significativo.
Apple y Google restringen los privilegios del certificado raíz debido al riesgo de seguridad que constituye para los usuarios.
Pero al solicitar –de modo al menos engañoso– que se instale un certificado a través de un sitio web externo después de descargar una aplicación, Sensor Tower elude las restricciones que imponen las tiendas.
Luna VPN, por ejemplo, muestra una notificación que ofrece la posibilidad de bloquear anuncios en YouTube si el usuario agrega la extensión Adblock, otro producto Sensor Tower.
Así se inicia un proceso que da como resultado la instalación de un certificado raíz que saltea las prohibiciones expresas de los distribuidores.
“Nosotros no fuimos”
Sensor Tower manifiesta por su parte que sólo recopila datos anónimos de uso y análisis, que se integran en sus productos para mejorarlos y optimizar la experiencia del usuario.
Lo cierto es que la plataforma de inteligencia de aplicaciones permite a terceros indiscriminados rastrear la popularidad, las tendencias de uso y los dividendos que proporcionan las aplicaciones que se inspeccionan.
Free and Unlimited VPN, Luna VPN, Mobile Data y Adblock Focus, estaban disponibles en Google Play hasta aquel día, cuando Google consultó a BuzzFeed.
Adblock Focus y Luna VPN se distribuían en App Store de Apple hasta que la compañía de la manzana mordida las eliminó, como había hecho antes con otros productos de Sensor Tower.
Hoy, la mayoría de las aplicaciones de la empresa de vigilancia informática –más de 12 en total– fue eliminada por infracciones y violaciones reiteradas a la políticas de software de los stores.
Los gigantes de la distribución aseguraron que extenderán e intensificarán las investigaciones sin contemplación alguna para los infractores.
Cuando roba el vigilante importante
Nada tiene más valor en los negocios digitales que conocer cómo se comportan los usuarios, con quiénes interactúan, qué gustos tienen, qué páginas visitan, qué archivos descargan, en qué momentos lo hacen, desde qué dispositivos y lugares geográficos acceden, en qué espacios (reales y virtuales) se mueven.
Los grandes jugadores tecnológicos codician y se disputan el acceso a esa información privada por motivos tan diversos como la protección de los derechos de la propiedad intelectual o la oportunidad de convertirla en un bien de cambio que les permita monetizarla.
“El blanco predilecto para la minería de datos es la franja de individuos que va entre los 13 y los 33 años, los más abiertos y menos cuidadosos a la hora de difundir su intimidad.
Desde hace décadas, Microsoft vulnera todas las normas de seguridad informática para detectar la piratería de software sobre sus productos, política que no siempre le ha sido provechosa.
Es probable que Internet Explorer o MSN Messenger sean hoy piezas de museo debido a la cantidad de perforaciones que acabaron por volverlos lentos en extremo y susceptibles a la infiltración de virus informáticos y malware de toda laya.
Mientras las política de Microsoft se sustenta en la protección de sus derechos a costa del escrutinio riguroso de los usuarios de sus productos, pero sin emplear la información que recopila para otros fines, hay una extensa trama de compañías que violan la privacidad de datos de los usuarios –con su consentimiento o sin él– para realizar negocios tan jugosos como turbios.
Grandes empresas que se presentan como guardianas de la intimidad de los usuarios, que comercializan productos de seguridad informática, en los hechos juegan a dos puntas, como ladrones disfrazados de policías incorruptibles.
Peor todavía, el blanco predilecto para la minería de datos es la franja de individuos que va entre los 13 y los 33 años, los más abiertos y menos cuidadosos a la hora de difundir su intimidad.
Fundada en 2010, Onavo surgió como una exitosa compañía israelí de análisis de Internet móvil a través de aplicaciones para usuarios finales.
Entre las múltiples apps utilitarias orientadas al consumidor –que incluyen a los hoy muy populares servicios de redes privadas virtuales (VPN)– se destacan:
- Onavo Count, que rastrea el uso de ancho de banda efectuado por las aplicaciones
- Onavo Extend, que brinda servicios de VPN para la compresión de datos
- Onavo Protect, que proporciona servicios de seguridad mediante VPN
El 13 de octubre de 2013, Facebook, Inc. compró Onavo por cerca de U$S 120 millones con la intención ostensible de monitorear a sus competidores, pero también y por añadidura a las personas que tienen cuentas en su red social.
“Con Onavo, Facebook pudo conocer qué otras aplicaciones sociales crecían en popularidad para así clonarles las funciones, como hizo con Snapchat, o directamente apropiarse de ellas, como hizo con WhatsApp.
Desde la adquisición, arreciaron las denuncias contra la plataforma, considerada spyware (software espía) puesto que se la utilizó para monetizar (convertir en dinero) los datos de uso de las aplicaciones en los dispositivos personales.
Como su nombre lo indica, una VPN es una red privada, por lo que se espera que mantenga aisladas del ámbito público a las transacciones de información que circulan en su interior.
Para Facebook, Onavo representó una ventaja competitiva de un valor incalculable.
El monitoreo del tráfico a través de la plataforma le dio una idea de qué otras aplicaciones sociales crecían en popularidad para así clonarles las funciones, como hizo con Snapchat, o directamente apropiarse de ellas, como hizo con WhatsApp.
Cuando Apple dio de baja a Onavo de su App Store por violar la prohibición de obtener datos de uso de otras aplicaciones, Facebook simplemente clonó el código fuente en un nuevo contenedor al que denominó Facebook Research.
A partir de 2016, Facebook Resarch comenzó a reclutar usuarios jóvenes para comprarles su privacidad por unos U$S 20 mensuales en pago por instalar la app en sus versiones iOS y Android.
Facebook Research hace pleno uso del nivel de acceso para recopilar continuamente datos de:
- Mensajes privados en aplicaciones de redes sociales
- Chats en aplicaciones de mensajería instantánea, incluidos fotos, videos y audios enviados a otras personas,
- Correos electrónicos,
- Búsquedas en Internet,
- Actividades en navegadores
- Información de localización continua
Merced al pleno acceso que proporciona el Certificado que instala la app, Facebook obtiene un permiso casi ilimitado para explorar cada dispositivo en que se descarga y activa.
Rápida de reflejos, Apple eliminó también a Facebook Research de su tienda, medida a la que Facebook respondió con el lanzamiento de Study y de Viewpoints para ampliar sus recursos de investigación de mercado y recopilación de datos.
En agosto de 2017, el prestigioso diario The Wall Street Journal informó sobre estas prácticas y su extensión a otras áreas, como la investigación de nuevos emprendimientos “inusualmente” exitosos por medio de Onavo.
En febrero de 2019, Onavo anunció que discontinuaba la versión para el sistema operativo móvil Android de su app Protect, y que a partir de mayo dejaría de brindar soporte a los usuarios de todas las plataformas.
En la actualidad, todos los esfuerzos de investigación de Facebook se concentran en Study y en Viewpoint, activas y disponibles tanto en Android como en iOS.
Viewpoint parece no espiar el uso de otras aplicaciones, pero en cambio ofrece recompensas a los usuarios por responder a encuestas o probar nuevos productos que se pagan a través de PayPal.
La estrategia de Facebook muestra su avidez por convertir en moneda contante cada acto de quienes utilizan la red social.
Pero también qué tan lejos está dispuesta a llegar y cuánto está dispuesta a pagar para consolidar su dominio, aun a riesgo de romper lanzas con las plataformas de las que depende para funcionar.
El rey de los motores de búsqueda también fue sorprendido al hacer trampas a través de su app Screenwise Meter.
La aplicación administra la participación de los usuarios registrados en paneles de investigación de mercado.
La estratagema consiste en invitar a personas mayores de 18 años –13 si forman parte de un grupo familiar– a descargar la aplicación, participar en sondeos de opinión, y recibir una recompensa por eso.
Google asegura que Screenwise Meter intenta reconocer los hábitos de los usuarios para aprender y posteriormente mejorar su experiencia en la Red a través del navegador Chrome, al que se agrega una extensión con la que se registra todo tipo de información sobre sus actividades en línea.
Los usuarios de Screenwise Meter autorizan a Google para que recopile datos de uso de sus aplicaciones y de Internet en general, a cambio de entregarles gift cards (tarjetas de regalo) de Amazon.
Sólo por registrarse, los participantes reciben una gift card de U$S 5 al empezar, y U$S 5 más cada 3 meses, siempre que se mantengan activos en el proyecto, lo que totaliza unos U$S 25 el primer año.
Al igual que Facebook, Google utiliza el sistema Enterprise Certificate para trabajar, una violación de la política de Apple que eliminó la aplicación de su tienda después de la advertencia de los medios especializados.
Todas las versiones de la app requieren que se les proporcionen permisos para acceder a la información privada de los participantes:
- Identidad: verificación de los datos personales y cuentas presentes en el dispositivo, con la posibilidad de agregar nuevas o remover las existentes.
- Contactos: acceso a la cuenta de Google y cuentas de Google configuradas en el dispositivo del panelista.
- Historial: lectura de las aplicaciones que ejecuta el usuario y de la actividad que realiza en el navegador.
- Localización: detección de la ubicación espacial basada en datos de red y geolocalización.
- Conectividad: registro de información sobre conexiones Wi-Fi y de redes celulares.
- Bluetooth: ubicación y configuración de dispositivos de medición externos.
- Notificaciones: relevamiento de las alertas que el panelista recibe de cualquier origen en su dispositivo.
Al cabo de una serie de disputas legales, Screenwise Meter regresó a App Store y continúa con la exploración si los participantes lo permiten.
Recontraespionaje
La recopilación de datos realizada por empresas de análisis de aplicaciones que se presentan como módulos de seguridad es apenas una de las muchas formas en que las apps móviles pierden información.
En general, los consumidores no saben qué desarrolladores intercambian o venden sus datos, qué información comparten, ni cómo se la utiliza.
De hecho, muchas aplicaciones recopilan datos personales, incluidos datos que son mucho más confidenciales que las tendencias de uso, a través de los kits de desarrollo de software (SDK) que emplean para mejorarse.
Estas herramientas envían información profusa a numerosas empresas de tecnología, incluidas redes publicitarias, brokers de datos y agregadores (plataformas que vinculan contenidos), sean éstos grandes o pequeños jugadores.
En contraste, la conciencia del usuario parece despertarse cuando surgen teorías conspirativas del tipo «Facebook te escucha y te observa a través del micrófono y de las cámaras del celular, incluso si está apagado».
Es tanta la información que recopila Facebook de las cuentas de sus usuarios que en realidad no necesita recurrir a tamaña sofisticación, excepto, claro está, cuando lo hace.