SAS
Algunas aplicaciones móviles rastrean tu ubicación y la envían en secreto a unos servicios que venden tus datos. Es muy probable que uses al menos una de estas aplicaciones sin apenas darte cuenta. Por tanto, ¿cómo determinar qué aplicaciones pueden representar un problema y qué puedes hacer al respecto?
¿Qué aplicaciones móviles te rastrean?
Cuando Costin Raiu, director de Kaspersky GReAT, visualizó a los turistas de una playa de Florida dispersarse por los EE.UU. durante la pandemia del COVID-19, no pensó en el coronavirus, sino en las aplicaciones que rastrean la ubicación de sus usuarios. El informe utilizó los datos de ubicación de X-Mode. Pero ¿de dónde obtuvo estos datos X-Mode?
Pues bien, X-Mode distribuye un SDK, un componente que los desarrolladores pueden insertar en sus aplicaciones o bien pagar a los desarrolladores mensualmente para que lo incluyan, dependiendo de la cantidad de usuarios en la aplicación. A cambio, el SDK recopila los datos de ubicación, así como los datos de los sensores del smartphone, como los del giroscopio, y los envía a los servidores de X-Mode. Después, X-Mode vende los datos, supuestamente ya anonimizados, a todo aquel que desee adquirirlos.
X-Mode afirma que el SDK no tiene un gran impacto en la vida de la batería, ya que solo usa entre un 1 y un 3 % de la carga, de modo que los usuarios ni percibirán el SDK ni les molestará. X-Mode también afirma que recopilar datos de este modo es “totalmente legal” y que cumple con los requisitos del RGPD.
¿Cuántas aplicaciones de rastreo existen?
Entonces Raiu se preguntó: ¿estaban también rastreándolo a él? La forma más sencilla de saberlo era identificar la dirección de los servidores de mando y control que usan los SDK de rastreo e inspeccionar el tráfico de red de salida en su dispositivo. Si una aplicación de su smartphone se estaba comunicando con al menos uno de dichos servidores, eso significaría que sí lo estaban rastreando. Para completar la tarea, Raiu tuvo que determinar las direcciones del servidor. Su investigación se convirtió en el tema para su charla en la conferencia SAS@home de este año.
Después de cierto trabajo de ingeniería inversa, intuición y descifrado, así como mover los ajustes de aquí para allá, pudo determinar y escribir una secuencia de código que le ayudaba a detectar si una aplicación intentaba tener acceso a sus datos. Básicamente halló que si una aplicación presenta cierta línea de código, entonces utiliza el SDK de rastreo.
Raiu descubrió que más de 240 aplicaciones diferentes tienen insertado el SDK. En total, esas aplicaciones se han instalado más de 500 millones de veces. Si optamos por una estimación general en la que el usuario promedio instala una sola vez una aplicación de ese tipo, esto significaría que 1 de cada 16 personas de todo el mundo tiene una aplicación de rastreo instalada en su dispositivo. Y eso es muchísimo. La probabilidad de ser una de ellas es de 1 sobre 16.
Además, X-Mode es solo un ejemplo de las docenas de empresas de este sector.
Por si fuera poco, cualquier aplicación puede contener más de un SDK. Por ejemplo, mientras Raiu analizaba una aplicación que incluía el SDK de X-Mode en cuestión, asimismo halló otros cinco componentes de otras empresas que también recopilaban los datos de ubicación. Obviamente, el desarrollador intentaba exprimir cada céntimo de su aplicación, que ni siquiera era gratuita. Pagar por una aplicación no significa, por desgracia, que sus creadores no estén intentando obtener más dinero fuera de la transacción.
¿Qué puedes hacer para evitar que te rastreen?
El problema con los SDK de rastreo consiste en que, cuando descargas una aplicación, no sabes si contiene dichos componentes de rastreo de ubicación. La aplicación podría tener razones legítimas para conocer tu ubicación; de hecho, muchas aplicaciones la necesitan para poder operar adecuadamente. Pero dicha aplicación también podría vender tus datos de ubicación. La verdad es que no es fácil determinarlo.
Para ayudar a los usuarios expertos en tecnología a minimizar las probabilidades de que los rastreen, Raiu confeccionó una lista de los servidores de mando y control que usan los SDK. La encontrarás en su página personal en GitHub. Un ordenador RaspberryPi, con Pi-hole y el software de WireGuard instalado, puede ayudarte a vigilar el tráfico en tu red doméstica y exponer a las aplicaciones que intentan entrar en contacto con dichos servidores.
Puede que esto sobrepase las competencias tecnológicas de la mayoría de las personas, pero al menos puedes reducir la posibilidad de que dichas aplicaciones y servicios te rastreen al limitar los permisos de las aplicaciones.
- Comprueba qué aplicaciones tienen permiso para usar tu ubicación. En este enlace te contamos cómo hacerlo en Android 8, las versiones posteriores no difieren mucho. Y aquí te ayudamos a desactivar el rastreo de ubicación en iOS. Si crees que una aplicación no necesita dicho permiso, no dudes en revocarlo.
- Concede a las aplicaciones el permiso para usar tu ubicación solamente cuando las estás utilizando. La mayoría de las aplicaciones no necesita conocer tu ubicación para operar en segundo plano, lo que hace que este ajuste sea ideal para muchas de ellas.
- Borra las aplicaciones que ya no uses. Si no has usado una aplicación durante, por ejemplo, un mes, no la necesitas para nada. Y si la necesitaras en el futuro, siempre puedes volver a instalarla.
- Ten en cuenta que los componentes de rastreo de ubicación no son lo peor que puedes encontrar en una aplicación, incluso aunque se trate de aplicaciones legítimas distribuidas a través de tiendas oficiales. Algunas pueden ser claramente maliciosas y otras pueden volverse peligrosas después de adquirirlas o actualizarlas. Por ello, te recomendamos usar una solución de seguridad de confianza, como Kaspersky Internet Security for Android, que te protegerá contra todo tipo de amenazas móviles.
Consejos