Investigadores de Berkeley e IMDEA Networks en Madrid revelan que algunas 'apps' identifican usuarios, su localización, número de teléfono y nombre. Muchas de ellas captan la información antes de recabar el consentimiento y la usan para publicidad.
Un móvil por sí solo no distingue quién lo usa, los programas que gestiona, sí. Investigadores de la Universidad de Berkeley, en California, han descubierto que 'apps' dirigidas a público infantil, cada vez usuarios más intensivos de tabletas y teléfonos, extraen datos personales de los menores, incluso sin que estos (o más bien sus padres, que es a quienes legalmente les corresponde) acepten darlos. Los programas captan identificadores del móvil, de la red y geolocalización, pero también llegan a conseguir números de teléfono, correos electrónicos y nombres. Se trataría de una doble ilegalidad: por hacerlo sin permiso y porque no se pueden tratar datos de menores. Algunas de estas investigaciones ya han llevado a compañías como Disney a los tribunales en Estados Unidos.
Según explicó este lunes Serge Egelman, director del laboratorio de privacidad de la Universidad de Berkeley, el 65% de las 'apps' calificadas como "familiares" en la tienda de aplicaciones de Google y que se dirigen a usuarios menores de 13 años, identifican a sus usuarios. Un 56% de ellas lo hacen a través de identificadores únicos basados en software, como el usuario de Android (Android ID), el de la red wifi o el de identificador del móvil en la red telefónica (el conocido como IMEI), y tres cuartas partes de ellas asocian estos datos al número único que utiliza Google para identificar los dispositivos que usan su sistema operativo (GSF ID). Otro 8% de las 'apps', además, captan correos, nombres, números de teléfono o localización. Puede ser uno de estos ítems o varios, señaló el investigador.
"Ninguna de estas 'apps' verifica con un sistema efectivo si el usuario es o no adulto. No pide la fecha de nacimiento, por ejemplo, y en muchos casos la captación se hace antes de conseguir el consentimiento de las condiciones de uso", explicó Egelman en la conferencia del Data Transparency Lab que dirige Ramon Sangüesa y que se celebra hasta este martes en Barcelona.
Geolocalización
Datos como la localización son muy preciados para las redes de anuncios, que la utilizan para segmentar las audiencias según criterios de perfiles socioeconómicos. El proyecto que dirige Egelman investiga cómo estos datos se cruzan con otros de modo que el usuario ni siquiera ha de dar su consentimiento para que puedan saber datos como dónde vive o qué rutas hace. Por ejemplo, con el identificador de la wifi se puede saber dónde está. Para ello han desarrollado un buscador, 'AppCensus', que analiza qué permisos utiliza cada aplicación según el tráfico que genera.
En el buscador se pueden consultar casos de 'apps' que identifican usuarios y transmiten localización en juegos tan populares y aparentemente tan poco sospechosos de necesitarla como el juego de puzles 'Cut the rope', el de conducción para niños 'Fun Kid Racing' o el simpático lagarto de '¿Dónde está mi agua?'.
La mayoría de las 'apps' que usan estos datos están programadas utilizando recursos de uso común como librerías de software tan conocidas como las de Unity, que gestionan el motor en la mayoría de juegos, y que tienen las identificaciones como parte de sus componentes. "Lo que como investigadores no sabemos es si los desarrolladores a la hora de trabajar con estos programas son conscientes de que deben limitar los permisos, o si se dejan tal como vienen por defecto de modo intencionado", afirma Egelman.
Disney litiga en California acusado de haber obtenido datos de menores en 42 'apps'
El caso es que la analítica de esos datos abre la puerta a un mundo de posibilidades publicitarias (en sentido amplio, desde puramente comerciales a políticas) que no se sabe en manos de quién acaban. "Conseguir un cruce de datos es muy barato y se generan perfiles bastante completos", explica Narseo Vallina-Rodríguez, miembro del grupo de Berkeley y actual investigador del IMDEA Networks, vinculado a la Comunidad de Madrid, que desarrolló la app Lumen para analizar el tráfico de las apps investigadas.
Demanda por cruces de información
Un bufete de abogados en California acaba de interponer una denuncia contra Disney por el uso que hace de datos infantiles en 42 'apps', la mayoría vinculadas a personajes de las películas como las princesas Disney. La demanda se dirige a la empresa principal y dos de las subsidiarias (Disney Enterprises Inc. y Disney Electronic Content Inc.) e implica a Unity y a otras dos empresas de analítica.
Disney ya ha anunciado que defenderá su inocencia en los tribunales y el caso aún no se ha resuelto. En un caso anterior, inMobi, una de las mayores empresas de anuncios en el móvil, aceptó pagar una multa de cuatro millones de dólares a la Administración de EEUU por haber usado los datos de la wifi para ofrecer anuncios basados en la localización, aunque el usuario hubiera negado su permiso para ello.
LOS NUEVOS RETOS
En España, la Agencia Española de Protección de Datos tenía previsto un estudio sobre cómo se recababa el consentimiento de los menores de edad en las 'apps'.
De momento investigan qué datos están captando los juguetes conectados a internet a raíz del caso de la muñeca Kayla, un robot que usa programas de inteligencia artificial para contestar al niño.
La agencia estadounidense de comercio (FTC, en sus siglas inglesas) está analizando cómo regular el uso de las grabaciones de voz o la imagen biométricas para identificar a los menores.
El organismo ha impuesto en los últimos años varias multas a empresas por no recabar consentimientos o saltárselos y poner publicidad, como a TinyCo (creadora de apps de juegos) o el buscador de comercios Yelp.