My Talking Tom, Tripadvisor, Shazam, Spotify, Duolingo, Skyscanner… Todas ellas son apps populares en la Google Play y todas ellas tienen un oscuro secreto que no nos habían contado: envían nuestros datos a Facebook sin permiso, una práctica ilegal  bajo el nuevo Reglamento General de Protección de Datos (RGPD) que entró en vigor el pasado 25 de mayo.

Es la conclusión principal a la que han llegado los investigadores de Privacy International, una ONG británica que ha analizado las 34 apps más populares en Android en cuanto a base de usuarios y número de descargas (de 10 a 500 millones). En el estudio, que ha tenido lugar desde agosto hasta diciembre del 2018, han descubierto que «al menos» 20 de ellas envían información a Facebook sin permiso del usuario, tenga o no cuenta en la red social.

Esas 20  apps, entre las que se incluyen las mencionadas arriba y otras como Kayak, MyFitnessPal, VK, Period Tracker Clue o Clean Master envían información sensible a la red social «desde el momento en el que el usuario abre la app«. Entre esos datos estarían «el hecho de que un usuario esté utilizando una app específica», «cada vez que abre y cierra la app» e «información sobre la naturaleza del dispositivo que posee y la ubicación en la que se sospecha que se encuentra basándose en la configuración del idioma y de la zona horaria», cuentan los investigadores en el informe.

Además, Privacy International hace especial hincapié en otro factor, el Google Advertising ID (ID de publicidad), un número único que tiene cada usuario del sistema operativo y que sirve a Alphabet (matriz de Google) para perfilar a cada persona en función de sus intereses y ofrecerle anuncios personalizados. Facebook también recibe ese identificador, lo que le sirve para ofrecer después anuncios específicos dentro de la red social. Este código alfanumérico puede restablecerse yendo a Ajustes-Google-Anuncios en el teléfono móvil. Es recomendable hacerlo una vez cada mes, ya que cuanto más cambie, más difícil es para la empresa establecer un perfil concreto del usuario.

Aunque los datos enviados a la compañía de Mark Zuckerberg son anónimos, juntándolos con otros datos dejan de serlo.

Cuatro apps bastan para saber quién eres

La ONG británica ejemplifica cómo cruzando unos pocos datos, alguien puede pasar del anonimato a potencial objetivo de ciertas empresas. «Una persona que ha instalado las siguientes aplicaciones que hemos probado, Qibla Connect (unaapp para el rezo musulmán), Period Tracker Clue (un calendario para el periodo menstrual), Indeed (una aplicación de búsqueda de empleo) y My Talking Tom (una aplicación para niños), podría ser potencialmente perfilada como mujer, musulmana, en activa búsqueda de empleo y madre».

Haciendo el mismo juego con otras apps, Facebook u otras empresas serían igualmente capaces de inferir características similares u otras nuevas a partir de la información del usuario que reciben de esas aplicaciones. «Al menos el 61% de las aplicaciones que probamos transfieren datos a Facebook en el momento en que un usuario abre la aplicación», alertan desde la ONG.

En otros casos, las propias apps envían esos datos ya depurados y de forma rutinaria a Facebook. Por ejemplo, la de Kayak, el popular metabuscador de vuelos y viajes, remite a Zuckerberg el día y la hora en que se buscó un vuelo, el Google Advertising ID, ciudad y aeropuerto de salida, fecha de ida y vuelta del viaje, lugar y aeropuerto de llegada, número de pasajeros (incluyendo a los niños) y el tipo de billete (si es clase turista, negocios o primera clase).

Los investigadores de Privacy International continúan explicando cómo esa información llega hasta Facebook a través del SDK de la compañía. Las siglas corresponden a Software Development Kit, un conjunto de herramientas que la red social otorga a los desarrolladores de apps para que programen en un entorno específico, Android en este caso.

Las reacciones

La ONG se puso en contacto con algunas de las compañías cuyas apps estaban mandando datos a Facebook de forma automática. Skyscanner dio las gracias a Privacy International «por alertarnos de este asunto», lanzando después una actualización del programa. Tripadvisor, por su parte, considera que el informe de la ONG «es un tanto simplista». My Fitness Pal dice que especifica este envío de datos en su política de privacidad. My Talking Tom dice estar «al tanto del problema con el SDK de Facebook y estamos trabajando activamente para encontrar soluciones». Otras como Spotify le dan las gracias a Privacy International y aseguran que evaluarán «si se deben hacer cambios en la Integración con Facebook».

Pero sin duda, la red social es la compañía que más se resiste a reconocer los descubrimientos de Privacy International. Después de cruzar varios correos, los de Zuckerberg terminan echando la culpa a los desarrolladores de las apps, asegurando que son ellos los que deben de garantizar que los programas no se salten las leyes de protección de datos y velen por la seguridad de los usuarios.

La empresa también explica que está en la mano de los desarrolladores desactivar la recopilación automática de datos y retrasar el envío de análisis de aplicaciones. Tras el informe de Privacy International, Facebook publicó una nueva versión de su SDK. Pero ellos mismos reconocen que no todas las compañías han decidido usarlo, ni aunque ya lo usen, que lo estén haciendo correctamente.

Nota al pie: este artículo se ha modificado para añadir cómo se restablece el identificador de publicidad de Google.

https://www.eldiario.es/tecnologia/populares-Android-envian-Facebook-permiso_0_852865126.html