Tú, Facebook y yo… Cuando tres son multitud

Privacy International habla sobre las aplicaciones para monitorizar el período y los peligros de compartir tus secretos con estas aplicaciones.

Algunas aplicaciones de smartphone recuerdan a los usuarios que tienen que tomar su medicación, monitorizan la calidad del sueño o cuentan los pasos y las calorías. De hecho, cada vez hay más aplicaciones que controlan nuestra salud y bienestar. A menudo este tipo de programas solicitan que los usuarios compartan datos muy personales sobre sus sentimientos, estados de ánimo, diagnósticos y demás y, por desgracia, no todos tratan esa información privada con la precaución que exigen.

En el 36C3, la organización de derechos humanos Privacy International compartió un estudio sobre las aplicaciones que ayudan a las mujeres a predecir su período, monitorizar su salud reproductiva y planificar embarazos. El resultado fue que algunas de ellas abusaban de la confianza de los usuarios hasta el punto de compartir información íntima con Facebook y otros.

¿Qué ha podido ver Facebook?

Para la realización del informe, los investigadores analizaron dos aplicaciones: Maya y MIA (5 millones y 1 millón de descargas en Google Play respectivamente). El estudio fue muy directo: Privacy International solo comprobó el tráfico saliente de las aplicaciones, que ejecutaron en un sandbox, y analizaron los datos transferidos, incluyendo su destino. Los resultados fueron como mínimo interesantes.

Al principio, incluso antes de presentar a los usuarios su política de privacidad, ambas aplicaciones contactaban con Facebook y los demás socios. Maya enviaba datos a la plataforma de analítica CleverTap y MIA a AppsFlyer, que también ofrece servicios de analítica a desarrolladores.

Lo primero que quería saber MIA era si el usuario había instalado la aplicación con el objetivo de planificar un embarazo o simplemente para monitorizar su ciclo menstrual (y de inmediato informaba a sus socios de las respuestas). Y lo mismo sucedía con la información sobre el ciclo, como la fecha y la duración. Después, el programa intentaba descubrir todo lo posible sobre el usuario: sentimientos, métodos anticonceptivos y consumo de cafeína, alcohol y tabaco. La aplicación incluso intentaba recopilar información que no tenía nada que ver con la salud de las mujeres, como su pelo o manicura.

Con la información que recopilaban, además de sus propias conclusiones sobre la fase del ciclo en la que se encontraba la mujer, la aplicación ofrecía artículos de interés. Esto puede parecer inofensivo o incluso útil, pero la lista de artículos (con relación a lo que la usuaria había informado a la aplicación) se enviaba a Facebook y AppsFlyer.

Por otro lado, la estrategia de Maya resultaba menos creativa. La aplicación difundía toda la información que recibía sobre bienestar, estado de ánimo, métodos anticonceptivos, productos de higiene personal, actividad sexual, etc. El programa no preguntaba sobre peinados o manicuras, pero ofrecía una función de diario personal y todos sus contenidos acababan en Facebook y CleverTap.

Además de esa información, las aplicaciones transmiten también otros datos personales, como direcciones de correos electrónicos o identificadores de dispositivos únicos. En el caso de los usuarios de Facebook, esa información bastaría para identificarlos, aunque no hayan instalado la aplicación de Facebook en su teléfono. Es decir, Facebook sabe perfectamente los datos que obtiene.

¿Por qué quieren las empresas tantos datos personales?

Con esta información sobre la salud, el estado de ánimo y la vida íntima del usuario, las redes publicitarias, incluido Facebook, pueden vender sus bienes y servicios de forma más rentable a los publicistas. Por ejemplo, los anuncios dirigidos a las mujeres embarazadas cuestan diez veces más que un anuncio no dirigido, ya que tienen más probabilidades de terminar en comprar. (Las necesidades de una embarazada son predecibles hasta cierto punto y, además, es muy probable que se trate de una primeriza que no conoce las marcas, por lo que los anunciantes que lleguen primero influirán en su elección).

Pero la publicidad no es lo peor que te puede pasar. Por ejemplo, si llegara a manos equivocadas información sobre el estado de salud del usuario, esto podría afectar al coste del seguro médico. Y si en un proceso de selección el jefe sabe que una de las solicitantes de empleo está planeando quedarse embarazada, esto podría dar preferencia a otro candidato. Es más, puede que la mujer no pudiera embarcar en un vuelo internacional. Además, seguramente no quieras que Facebook esté al tanto de información que no contarías ni a tu mejor amigo.

Los desarrolladores de Maya afirman que todos los datos que solicita la aplicación son necesarios para su funcionamiento. Y en parte es verdad: los tratamientos hormonales, el estrés y hábitos como fumar pueden alterar el ciclo menstrual y los cambios de humor, el dolor abdominal y otros síntomas pueden indicar que la menstruación está de camino. No obstante, gran parte de la información solicitada tiene poco o ningún efecto en la precisión del diagnóstico.

Los desarrolladores abandonan Facebook Analytics

Pero tenemos buenas noticias: Ni Maya ni MIA transmiten ya información a Facebook. Los investigadores contactaron con los desarrolladores de las aplicaciones y estos rápidamente eliminaron la herramienta Facebook Analytics, responsable del envío de los datos. Aunque sí, ambas aplicaciones siguen usando CleverTap y AppsFlyer.

Por tanto, no había una necesidad real de transferir los datos a Facebook, los desarrolladores simplemente habían integrado un sistema de análisis adicional sin considerar qué datos irían y a dónde.

Los creadores de Maya afirman que las terceras partes no tienen acceso a la información de los servidores de CleverTap. Los desarrolladores de la plataforma declaran que la solución cumple con el Reglamento General de Protección de Datos (RGPD) y que sus algoritmos analíticos procesan grupos de datos de forma anónima. Si esto es cierto, entonces podemos considerar que la amenaza a la privacidad de esta aplicación es mínima.

La situación de MIA, que utiliza las analíticas de AppsFlyer, es más sutil. En respuesta a la consulta de los investigadores, la empresa afirmó que no permite que sus clientes recopilen datos personales de los usuarios, incluida la información sobre la salud. AppsFlyer afirma haber contactado con los desarrolladores de la aplicación de MIA para que comprueben su estrategia analítica. Pero como señalan los investigadores, AppsFlyer tiene una vaga noción sobre los datos que debería recopilar de las aplicaciones que funcionan específicamente con información sobre la salud.

Cómo evitar el abuso de datos personales

A la hora de comunicar datos (sobre todo los íntimos) a una aplicación de cualquier tipo, recuerda que esta podría compartir tus datos con una tercera parte. Si no puedes vivir sin un servicio en particular, ten en cuenta las siguientes recomendaciones:

  • Elige las aplicaciones con prudencia. Lee las opiniones en Google Play y la App Store y comprueba lo que dicen los usuarios sobre los desarrolladores por Internet. Es probable que el programa que te interese esté enviando datos a quien no deba y le hayan pillado. Aunque también puede tener una reputación impecable.
  • Si una aplicación quiere datos sensibles sobre ti, echa un vistazo a su política de privacidad. Es probable que afirme abiertamente que tus datos irán a empresas de terceros y eso sería una mala señal. Pero, aunque no aparezca una cláusula específica, si la política es incomprensible o difusa, los desarrolladores podrían estar intentando ocultar algo.
  • Si necesitas una aplicación que controle tu período, al menos ya sabes que dos (Maya y MIA) han dejado de colaborar con Facebook. El informe de Privacy International también menciona otros programas que no demuestran prácticas infames.
  • No ofrezcas a las aplicaciones más información de la necesaria. Piensa bien qué es lo que necesitan y qué pueden hacer sin estos datos. Pero, tranquilo, no estamos sugiriendo que vuelvas al papel y al boli, solo te aconsejamos que seas consciente de que es poco probable que la información que entregas a las aplicaciones quede en privado.
Consejos