{"id":24204,"date":"2020-11-10T13:37:41","date_gmt":"2020-11-10T11:37:41","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=24204"},"modified":"2020-11-10T13:37:41","modified_gmt":"2020-11-10T11:37:41","slug":"location-tracking-sdks","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/location-tracking-sdks\/24204\/","title":{"rendered":"Las aplicaciones m\u00f3viles te vigilan"},"content":{"rendered":"

Algunas aplicaciones m\u00f3viles rastrean tu ubicaci\u00f3n y la env\u00edan en secreto a unos servicios que venden tus datos. Es muy probable que uses al menos una de estas aplicaciones sin apenas darte cuenta. Por tanto, \u00bfc\u00f3mo determinar qu\u00e9 aplicaciones pueden representar un problema y qu\u00e9 puedes hacer al respecto?<\/p>\n

\u00bfQu\u00e9 aplicaciones m\u00f3viles te rastrean?<\/h2>\n

Cuando Costin Raiu, director de Kaspersky GReAT, visualiz\u00f3<\/a> a los turistas de una playa de Florida dispersarse por los EE.UU. durante la pandemia del COVID-19, no pens\u00f3 en el coronavirus, sino en las aplicaciones que rastrean la ubicaci\u00f3n de sus usuarios. El informe utiliz\u00f3 los datos de ubicaci\u00f3n de X-Mode. Pero \u00bfde d\u00f3nde obtuvo estos datos X-Mode?<\/p>\n

Pues bien, X-Mode distribuye un SDK, un componente que los desarrolladores pueden insertar en sus aplicaciones o bien pagar a los desarrolladores mensualmente para que lo incluyan, dependiendo de la cantidad de usuarios en la aplicaci\u00f3n. A cambio, el SDK recopila los datos de ubicaci\u00f3n, as\u00ed como los datos de los sensores del smartphone<\/em>, como los del giroscopio, y los env\u00eda a los servidores de X-Mode. Despu\u00e9s, X-Mode vende los datos, supuestamente ya anonimizados, a todo aquel que desee adquirirlos.<\/p>\n

X-Mode afirma que el SDK no tiene un gran impacto en la vida de la bater\u00eda, ya que solo usa entre un 1 y un 3 % de la carga, de modo que los usuarios ni percibir\u00e1n el SDK ni les molestar\u00e1. X-Mode tambi\u00e9n afirma que recopilar datos de este modo es \u201ctotalmente legal\u201d y que cumple con los requisitos del RGPD.<\/p>\n\n

\u00bfCu\u00e1ntas aplicaciones de rastreo existen?<\/h2>\n

Entonces Raiu se pregunt\u00f3: \u00bfestaban tambi\u00e9n rastre\u00e1ndolo a \u00e9l<\/em>? La forma m\u00e1s sencilla de saberlo era identificar la direcci\u00f3n de los servidores de mando y control<\/a> que usan los SDK de rastreo e inspeccionar el tr\u00e1fico de red de salida en su dispositivo. Si una aplicaci\u00f3n de su smartphone<\/em> se estaba comunicando con al menos uno de dichos servidores, eso significar\u00eda que s\u00ed lo estaban rastreando. Para completar la tarea, Raiu tuvo que determinar las direcciones del servidor. Su investigaci\u00f3n se convirti\u00f3 en el tema para su charla en la conferencia SAS@home<\/a> de este a\u00f1o.<\/p>\n

Despu\u00e9s de cierto trabajo de ingenier\u00eda inversa, intuici\u00f3n y descifrado, as\u00ed como mover los ajustes de aqu\u00ed para all\u00e1, pudo determinar y escribir una secuencia de c\u00f3digo que le ayudaba a detectar si una aplicaci\u00f3n intentaba tener acceso a sus datos. B\u00e1sicamente hall\u00f3 que si una aplicaci\u00f3n presenta cierta l\u00ednea de c\u00f3digo, entonces utiliza el SDK de rastreo.<\/p>\n

Raiu descubri\u00f3 que m\u00e1s de 240 aplicaciones diferentes tienen insertado el SDK. En total, esas aplicaciones se han instalado m\u00e1s de 500 millones de veces. Si optamos por una estimaci\u00f3n general en la que el usuario promedio instala una sola vez una aplicaci\u00f3n de ese tipo, esto significar\u00eda que 1 de cada 16 personas de todo el mundo tiene una aplicaci\u00f3n de rastreo instalada en su dispositivo. Y eso es much\u00edsimo. La probabilidad de ser una de ellas es de 1 sobre 16.<\/p>\n

Adem\u00e1s, X-Mode es solo un ejemplo de las docenas de empresas de este sector.<\/p>\n

Por si fuera poco, cualquier aplicaci\u00f3n puede contener m\u00e1s de un SDK. Por ejemplo, mientras Raiu analizaba una aplicaci\u00f3n que inclu\u00eda el SDK de X-Mode en cuesti\u00f3n, asimismo hall\u00f3 otros cinco componentes de otras empresas que tambi\u00e9n recopilaban los datos de ubicaci\u00f3n. Obviamente, el desarrollador intentaba exprimir cada c\u00e9ntimo de su aplicaci\u00f3n, que ni siquiera era gratuita. Pagar por una aplicaci\u00f3n no significa, por desgracia, que sus creadores no est\u00e9n intentando obtener m\u00e1s dinero<\/em> fuera de la transacci\u00f3n.<\/p>\n

\u00bfQu\u00e9 puedes hacer para evitar que te rastreen?<\/h2>\n

El problema con los SDK de rastreo consiste en que, cuando descargas una aplicaci\u00f3n, no sabes si contiene dichos componentes de rastreo de ubicaci\u00f3n. La aplicaci\u00f3n podr\u00eda tener razones leg\u00edtimas para conocer tu ubicaci\u00f3n; de hecho, muchas aplicaciones la necesitan para poder operar adecuadamente. Pero dicha aplicaci\u00f3n tambi\u00e9n podr\u00eda vender tus datos de ubicaci\u00f3n. La verdad es que no es f\u00e1cil determinarlo.<\/p>\n

Para ayudar a los usuarios expertos en tecnolog\u00eda a minimizar las probabilidades de que los rastreen, Raiu confeccion\u00f3 una lista de los servidores de mando y control que usan los SDK. La encontrar\u00e1s en su p\u00e1gina personal en GitHub<\/a>. Un ordenador RaspberryPi, con Pi-hole y el software<\/em> de WireGuard instalado, puede ayudarte a vigilar el tr\u00e1fico en tu red dom\u00e9stica y exponer a las aplicaciones que intentan entrar en contacto con dichos servidores.<\/p>\n

Puede que esto sobrepase las competencias tecnol\u00f3gicas de la mayor\u00eda de las personas, pero al menos puedes reducir la posibilidad de que dichas aplicaciones y servicios te rastreen al limitar los permisos de las aplicaciones.<\/p>\n