domingo, 17 de noviembre de 2013

Privacidad: el doble filo de las aplicaciones

Crédito: Rodrigo Acevedo Musto
Día a día, los usuarios de dispositivos móviles instalan nuevas apps en sus teléfonos o tabletas. Sin embargo, no siempre reflexionan acerca de que, al hacerlo, permiten que estas tengan acceso a distintos tipos de datos en sus equipos
 
Descargar aplicaciones es una parte esencial a la hora de personalizar un nuevo teléfono o tableta: es, en cierto sentido, hacer propio un dispositivo que, recién sacado de la caja, no tiene aún la huella de su dueño.
Aplicaciones como Facebook, Twitter, Instagram, Candy Crush y muchísimas otras son descargadas todos los días por millones de usuarios en todas partes del mundo, a medida que crece la cantidad de usuarios de dispositivos móviles: solo entre julio y septiembre de este año, se vendieron más de 250 millones de smartphones de acuerdo con cifras de la consultora Canalys.
En este sentido, un informe de Gartner prevé que los usuarios de dispositivos móviles habrán descargado para fines de 2013 alrededor de 102.000 millones de aplicaciones, casi un 60% más que el número alcanzado en 2012 (64.000 millones).
Bajar una aplicación es algo que hoy en día se hace casi de forma automática. Sin embargo, muchos usuarios no tienen en cuenta que al instalar una app están dando su consentimiento a que esta realice distintas acciones en su dispositivo y tenga acceso a información del mismo.
Para funcionar correctamente, las apps piden distintos permisos para utilizar determinados recursos del sistema y así ejecutar las tareas propias de su funcionamiento; estos permisos se aclaran al usuario, en el caso de Android, antes de instalar la aplicación (y pueden además consultarse en el menú Ajustes/Aplicaciones). 
Ejemplos de ellos pueden ser leer el estado del teléfono, modificar el almacenamiento, acceso a la ubicación, leer y modificar listas de contactos, leer el registro de llamados, tomar fotos, entre muchos otros (click acá para ver el listado de permisos en Android).
En el caso de iPhone y iPad, los usuarios no reciben pedidos de permisos al momento de descargar la app. Sin embargo, una vez que esta ya fue instalada, pedirá autorización al usuario (una única vez) para acceder a las fotos, contactos, recordatorios, calendarios, ubicación, micrófono o Bluetooth del usuario en caso de requerirlo. En Ajustes/Privacidad, es posible ver las aplicaciones que solicitaron acceder a estos datos y desactivarlos aplicación por aplicación.
En este sentido, el usuario debe resignar parte de su privacidad, ya que debe conceder a la aplicación acceso a su teléfono o tableta y a parte de la información en estos.  
Por ello, con el fin de evitar "regalar" datos de forma innecesaria o caer en la trampa de aplicaciones maliciosas, es mejor "desautomatizar" la descarga de apps y tomarse unos segundos para leer y comprender los permisos que estas requieren en relación con la función o tarea que llevan a cabo.
¿Tantos permisos para una sola aplicación?

Facebook está entre las apps más descargadas de las distintas tiendas de aplicaciones. Utilizada por millones de usuarios en todo el mundo, la aplicación móvil de la red social cuenta con una extensa lista de permisos para operar, que van desde realizar llamados telefónicos y leer el registro de llamados, hasta conocer la ubicación del usuario, modificar y leer los contactos y descargar archivos sin notificaciones.
Según explica Pablo Kulevicius, director regional de Seguridad de BlackBerry, "los permisos solicitados deben ser los mínimos necesarios para brindar la funcionalidad requerida. Así, por ejemplo, una aplicación enfocada en brindar resultados de fútbol al momento no debería requerir ingreso a la agenda o a la cámara"; sin embargo, advierte Kulevicius, "eso no quiere decir que el desarrollador no los requiera 'por las dudas' a futuro".
Cada desarrollador es responsable de definir los permisos que requieren las aplicaciones que crean y, en este sentido, del uso correcto de la información a la que acceden. Según explica el ejecutivo de BlackBerry, "lo que se hace con los datos es parte de la propuesta de valor de la aplicación y es, por lo tanto, dictado por el desarrollador".
Al respecto, André Goujon, especialista de Awareness y Research de ESET América Latina, destaca que las aplicaciones legítimas pueden utilizar los datos del usuario para mejorar la experiencia de la persona.
Goujon además recuerda que en "un software legítimo, el pedido de permisos que a primera vista pueden parecer innecesarios podría deberse a distintas causas, como errores de programación", entre otros, por lo que recomienda no evaluar la legitimidad de una aplicación exclusivamente sobre la base de la cantidad de permisos que requiere.
En este sentido da como ejemplo Facebook Messenger, que "está diseñada para enviar y recibir mensajes a través de esa red social, sin embargo, además solicita permisos relacionados al control de SMS debido a que también incluye esa característica".
En tanto, continúa, el destino de la información a la que accede la aplicación a través de los permisos "depende de la aplicación y el desarrollador".  "Por lo general, los contratos de uso y licencia explican el porqué del uso de la información del usuario como también en dónde se almacena y por cuánto tiempo", señala.
Teniendo en cuenta que el destino de los datos a los que accede la app corre por cuenta de su creador, es importante que los usuarios sean cautos a la hora de descargar aplicaciones y que elijan aplicaciones de desarrolladores en que confían, para así evitar apps ilegítimas que dañen sus equipos, se queden con sus datos o caigan en estafas, por ejemplo, de SMS premium.
Apps, malware y ciberdelito
De acuerdo con un reporte de la empresa de seguridad informática G Data, durante el primer semestre de este año se encontraron alrededor de 520.000 amenazas solo para Android, por lo que los usuarios deben proceder con cautela: bajar una app puede ser un riesgo no solo para la privacidad, sino también para la integridad del dispositivo, que puede ser infectado por malware.
En este sentido, Goujon señala: " En el caso de los códigos maliciosos, mientras más permisos se conciban para un malware, mayor será el espectro de acción que tendrá la amenaza". Según explica, "un troyano podría solicitar permisos para enviar y recibir SMS con el propósito de suscribir al usuario a un número de mensajería SMS premium. Asimismo, dicho troyano podría necesitar de otros permisos como conexión a internet para enviar información robada y acceso a la identidad del teléfono para determinar quién es la víctima".
El especialista de ESET asimismo advierte que, en el caso de una aplicación maliciosa "los cibercriminales suelen robar la información de la víctima subiéndola a un servidor" y que es "prácticamente imposible establecer el uso específico que le darán a los datos robados". No obstante, sostiene que "es altamente probable que estos continúen almacenados mientras los atacantes puedan obtener rédito económico de la información robada".
Kulevicius agrega en esta línea: "Desde el punto de vista tecnológico, es imposible confirmar la 'intencionalidad' de una aplicación: el mismo código puede significar tanto robo de datos como respaldo en la nube. La diferencia está en lo que el desarrollador declare al usuario en cuanto al uso de datos personales y requerimiento permisos de acceso a recursos".
El ejecutivo destaca que los usuarios de BlackBerry, "pueden aceptar o negar permisos selectivamente aun desde antes que la aplicación corra por primera vez" y agrega como ejemplo "no brindar permisos de acceso a la agenda a aplicaciones de chat que son públicamente conocidas por ofrecer servicio 'encontrar amigos', y en su implementación significa subir la lista de contactos completa a un servidor en otro país sin control de parte del usuario".
Así, resulta útil tomarse algunos momentos para evaluar los permisos que cada aplicación pide en relación con las funciones que esta lleva a cabo, para definir hasta qué punto se desea permitir su acceso a datos e información alojados en el dispositivo. Descargar apps de desarrolladores confiables y leer los comentarios de otros usuarios son prácticas que también pueden ayudar a la hora de cuidar los dispositivos y mantener la privacidad.
Android sumará permisos individuales


Facebook tiene permisos para acceder a la ubicación del usuario; WhatsApp, para el envío de SMS; Dropbox, para ejecutarse automáticamente al iniciarse el dispositivo y Angry Birds, para acceder a internet y mostrar publicidad.

¿Quiere que Facebook conozca su ubicación, que WhatsApp envíe SMS para que otros prueben el servicio, que Dropbox ralentice el equipo a pesar de que no esté usando la app o gastar datos por jugar Angry Birds?

La versión 4.3 de Android tiene una funcionalidad oculta llamada App Ops que permite quitar permisos o bloquear funciones que nunca se usan de las aplicaciones. Lo más importante es que permite hacerlo de manera individual, en cada app, sin afectar el funcionamiento de las otras.

Por ejemplo, si el usuario apaga el plan de datos para no ver publicidad cuando juega Angry Birds, tampoco podrá recibir mensajes de WhatsApp o notificaciones de Facebook. App Opspermitiría entonces bloquear el acceso a internet al juego y mantenerlo habilitado para las aplicaciones que sí o sí dependen de la conectividad para funcionar.

Si bien existen aplicaciones para restringir permisos de las apps instaladas, suelen ser de origen dudoso y complicadas de utilizar. La herramienta oficial aún se encuentra en desarrollo por parte de Google, pero un grupo de expertos creó una aplicación que acerca la funcionalidad a los usuarios de Android 4.3.

Disponible en Google Play, Permission Manager ofrece acceso directo a App Ops y manejar así los permisos de cada aplicación, obteniendo además detalles sobre los riesgos potenciales de cada app. Se debe tener cuidado con su uso ya que sin intención el usuario podrá quitar alguna funcionalidad necesaria para el funcionamiento de una app.

No hay comentarios:

Publicar un comentario