Google está cerrando una laguna que ha permitido a miles de empresas monitorear y vender datos personales confidenciales de los teléfonos inteligentes Android, un esfuerzo bien recibido por los defensores de la privacidad tras la decisión de la Corte Suprema de los EE. UU. de poner fin al derecho constitucional de las mujeres al aborto.
El movimiento de la compañía de Silicon Valley se produce en medio de los crecientes temores de que las aplicaciones móviles sean utilizadas como armas por los estados de EE. UU. para vigilar las nuevas restricciones al aborto en el país.
Las empresas recopilaron y vendieron previamente la información en el mercado abierto, incluidas las listas de usuarios de Android que utilizan aplicaciones relacionadas con el seguimiento del período, el embarazo y la planificación familiar, como Planned Parenthood Direct.
Durante la semana pasada, los investigadores y defensores de la privacidad han pedido a las mujeres que eliminen las aplicaciones de seguimiento del período de sus teléfonos para evitar ser rastreadas o penalizadas por considerar abortar.
El gigante tecnológico estadounidense anunció en marzo pasado que restringiría la función, que permite a los desarrolladores ver qué otras aplicaciones están instaladas y eliminadas en los teléfonos de las personas. Ese cambio estaba destinado a implementarse el verano pasado, pero la compañía no cumplió con ese plazo citando la pandemia, entre otras razones.
La nueva fecha límite del 12 de julio llegará solo unas semanas después de la anulación de Roe vs Wade, un fallo que ha puesto de relieve cómo los estados de EE. UU. podrían usar las aplicaciones de teléfonos inteligentes para la vigilancia con nuevas leyes contra el aborto.
“Hace mucho tiempo. A los corredores de datos se les prohibió usar los datos bajo los términos de Google durante mucho tiempo, pero Google no incorporó medidas de seguridad en el proceso de aprobación de aplicaciones para detectar este comportamiento. Simplemente lo ignoraron”, dijo Zach Edwards, un investigador independiente de seguridad cibernética que ha estado investigando la laguna desde 2020.
“Entonces, ahora cualquier persona con una tarjeta de crédito puede comprar estos datos en línea”, agregó.
Google dijo: “En marzo de 2021, anunciamos que planeamos restringir el acceso a este permiso, de modo que solo las aplicaciones de utilidad, como las aplicaciones de búsqueda de dispositivos, antivirus y administrador de archivos, puedan ver qué otras aplicaciones están instaladas en un teléfono”.
Agregó: “Nunca se ha permitido en Google Play recopilar datos de inventario de aplicaciones para venderlos o compartirlos con fines analíticos o de monetización de anuncios”.
A pesar del uso generalizado por parte de los desarrolladores de aplicaciones, los usuarios aún desconocen esta función en el software de Android: una interfaz de programación diseñada por Google, o API, conocida como “Consultar todos los paquetes”. Permite que las aplicaciones, o fragmentos de código de terceros dentro de ellas, consulten el inventario de todas las demás aplicaciones en el teléfono de una persona. El propio Google se ha referido a este tipo de datos como de alto riesgo y “sensibles”, y se ha descubierto que se venden a terceros.
Investigadores han encontrado que los inventarios de aplicaciones “pueden usarse para deducir con precisión los intereses y rasgos personales de los usuarios finales”, incluidos el género, la raza y el estado civil, entre otras cosas.
Edwards descubrió que un mercado de datos, Narrative.io, vendía abiertamente datos obtenidos por intermediarios de esta manera, incluidos teléfonos inteligentes que usaban Planned Parenthood y varias aplicaciones de seguimiento de períodos.
Narrative dijo que eliminó los datos de la aplicación de seguimiento de embarazos y menstruación de su plataforma en mayo, en respuesta al borrador filtrado que describe la próxima decisión de la Corte Suprema.
Otra empresa de investigación, Pixalate, descubrió que las aplicaciones de consumo, como una simple aplicación meteorológica, ejecutaban fragmentos de código que explotaban la misma función de Android y recopilaban datos para una empresa panameña vinculada a contratistas de defensa estadounidenses.
Google dijo que “nunca vende datos de usuarios, y Google Play prohíbe estrictamente la venta de datos de usuarios por parte de los desarrolladores. Cuando descubrimos infracciones, tomamos medidas”, y agregó que había sancionado a varias empresas que se creía que estaban vendiendo datos de usuarios.
Google dijo que restringiría la función Consultar todos los paquetes solo a aquellos que la requieran a partir del 12 de julio. Los desarrolladores de aplicaciones deberán completar una declaración que explique por qué necesitan acceso y notificar a Google sobre esto antes de la fecha límite para que pueda ser examinado.
“Los usos engañosos y no declarados de estos permisos pueden resultar en la suspensión de su aplicación y/o la cancelación de su cuenta de desarrollador”, advirtió la compañía.