{"id":26293,"date":"2021-10-25T10:48:05","date_gmt":"2021-10-25T08:48:05","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=26293"},"modified":"2021-10-25T10:48:05","modified_gmt":"2021-10-25T08:48:05","slug":"android-built-in-tracking","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/android-built-in-tracking\/26293\/","title":{"rendered":"As\u00ed rastrean los fabricantes de smartphone a los usuarios"},"content":{"rendered":"

Las aplicaciones de sistema (aquellas que est\u00e1n instaladas por defecto en tu smartphone<\/em> y que normalmente no puedes eliminar) tienden a estar en segundo plano. Y, mientras que con otras aplicaciones y servicios los usuarios tienen al menos alguna opci\u00f3n, en este caso, las habilidades de rastreo y vigilancia est\u00e1n integradas de f\u00e1brica en los dispositivos.<\/p>\n

Esto se concluy\u00f3 a partir de un estudio<\/a> conjunto de investigadores de la Universidad de Edimburgo, el Reino Unido y la Trinity College de Dubl\u00edn, Irlanda. En este estudio se analizaron smartphones<\/em> de cuatro distribuidores famosos para saber cu\u00e1nta informaci\u00f3n transmit\u00edan. Como punto de referencia, los investigadores compararon los resultados con los sistemas operativos de c\u00f3digo abierto basados en Android, LineageOS y \/e\/OS. A continuaci\u00f3n te contamos lo que descubrieron.<\/p>\n\n

El m\u00e9todo de investigaci\u00f3n<\/h2>\n

Con el objetivo de preservar la pureza del experimento, los investigadores asignaron una situaci\u00f3n operativa bastante justa para los cuatro smartphones<\/em>, una con la que muy dif\u00edcilmente pudieran encontrarse los usuarios en la vida real: Asumieron que cada smartphone<\/em> ser\u00eda utilizado solo para llamadas y mensajes de texto; los investigadores no a\u00f1adieron aplicaciones, solo se quedaron con las instaladas por el fabricante.<\/p>\n

Adem\u00e1s, el usuario imaginario respond\u00eda de forma negativa a todas las preguntas del tipo \u201c\u00bfQuieres reenviar datos para mejorar el servicio?\u201d, que normalmente los usuarios deben contestar cada vez que encienden el dispositivo. No activaron ning\u00fan servicio opcional del fabricante, como el almacenamiento en la nube o la funci\u00f3n Encontrar mi dispositivo. En otras palabras, mantuvieron los smartphones<\/em> lo m\u00e1s privados y limpios posible a lo largo del estudio.<\/p>\n

La tecnolog\u00eda b\u00e1sica de \u201crastreo esp\u00eda\u201d es la misma en todas estas investigaciones. El smartphone<\/em> se conecta a un miniordenador Raspberry Pi, que act\u00faa como punto de acceso wifi. El software<\/em> instalado en la Raspberry Pi intercepta y descifra el flujo de datos del tel\u00e9fono. Despu\u00e9s, los datos se vuelven a cifrar y se entregan al destinatario: el desarrollador del tel\u00e9fono, la aplicaci\u00f3n o el sistema operativo. B\u00e1sicamente, los autores del art\u00edculo realizaron un ataque de tipo man-in-the-middle<\/a> <\/em>(aunque benigno).<\/p>\n

\"La

La estrategia utilizada en el estudio para interceptar los datos transmitidos por el smartphone. Fuente<\/a><\/p><\/div>\n

La buena noticia es que todos los datos transmitidos estaban cifrados; parece que finalmente la industria ha superado esa plaga de dispositivos, programas y servidores que se comunicaban en texto en claro, sin ning\u00fan tipo de protecci\u00f3n. De hecho, los investigadores dedicaron mucho tiempo y esfuerzo descifrando y analizando los datos para averiguar qu\u00e9 era lo que se hab\u00eda mandado exactamente.<\/p>\n

Despu\u00e9s de esto, la investigaci\u00f3n se llev\u00f3 a cabo de manera relativamente tranquila. Los investigadores borraron por completo los datos en cada dispositivo y realizaron una configuraci\u00f3n inicial. Despu\u00e9s, sin iniciar sesi\u00f3n en una cuenta de Google, dejaron cada smartphone<\/em> encendido durante unos d\u00edas y supervisaron la transferencia de datos desde este. A continuaci\u00f3n, iniciaron sesi\u00f3n con una cuenta de Google, habilitaron temporalmente la geolocalizaci\u00f3n y pasaron a los ajustes del tel\u00e9fono. En cada etapa, monitorizaron los datos que se enviaban y el lugar al que se enviaban. Analizaron un total de seis smartphones<\/em>: cuatro con el firmware<\/em> del fabricante y dos con las versiones de c\u00f3digo abierto de Android, LineageOS<\/a> y \/e\/OS<\/a>_.<\/p>\n

\u00bfQui\u00e9n recopila los datos?<\/h2>\n

Para sorpresa de nadie, los investigadores descubrieron que los fabricantes de los smartphones<\/em> eran los principales recopiladores. Los cuatro dispositivos con el firmware<\/em> original (y un conjunto de programas preinstalados) reenviaron al fabricante datos de telemetr\u00eda, junto con identificadores persistentes como el n\u00famero de serie del tel\u00e9fono. Aqu\u00ed, los autores del art\u00edculo delimitaron el firmware<\/em> est\u00e1ndar de las versiones personalizadas.<\/p>\n

Por ejemplo, LineageOS tiene una opci\u00f3n de enviar datos a los desarrolladores (para monitorizar la estabilidad operativa de los programas, por ejemplo), pero al desactivar la opci\u00f3n se detiene la transmisi\u00f3n de datos. En los dispositivos con la configuraci\u00f3n de f\u00e1brica est\u00e1ndar, s\u00ed se reduce la cantidad de datos que se env\u00edan cuando se bloquea el env\u00edo de datos durante la configuraci\u00f3n inicial, pero esto no descarta por completo la transmisi\u00f3n de datos.<\/p>\n

Los siguientes en recibir datos son los desarrolladores de las aplicaciones preinstaladas. Aqu\u00ed tambi\u00e9n encontramos un matiz interesante: de acuerdo con las normas de Google, las aplicaciones instaladas desde Google Play deben utilizar un identificador determinado para rastrear la actividad del usuario: ID de publicidad de Google<\/a>. Si quieres, puedes cambiar este identificador en los ajustes del tel\u00e9fono. Sin embargo, este requisito no incluye a las aplicaciones que el fabricante preinstala, las cuales utilizan identificadores persistentes para recopilar muchos datos.<\/p>\n

Por ejemplo, una aplicaci\u00f3n de una red social preinstalada env\u00eda datos sobre el propietario del tel\u00e9fono a sus propios servidores, incluso aunque ese propietario nunca la haya abierto. Un ejemplo m\u00e1s interesante: el teclado del sistema en uno de los smartphones<\/em> enviaba datos sobre qu\u00e9 aplicaciones se estaban ejecutando en el tel\u00e9fono. Varios dispositivos tambi\u00e9n inclu\u00edan aplicaciones del operador que tambi\u00e9n recopilaban informaci\u00f3n del usuario.<\/p>\n

Finalmente, las aplicaciones de sistema de Google merecen menci\u00f3n aparte. La gran mayor\u00eda de los tel\u00e9fonos llegan con Servicios de Google Play y Google Play Store, y normalmente tambi\u00e9n con YouTube, Gmail o Maps entre otras ya instaladas. Los investigadores observaron que las aplicaciones y servicios de Google recopilan mucha m\u00e1s informaci\u00f3n que cualquier otro programa preinstalado. El siguiente gr\u00e1fico muestra la relaci\u00f3n entre los datos enviados a Google (izquierda) y al resto de los destinatarios de telemetr\u00eda (derecha):<\/p>\n

\"La

La cantidad de datos transferidos en kilobytes por hora a distintos destinatarios de la informaci\u00f3n del usuario. Fuente<\/a><\/p><\/div>\n

\u00bfQu\u00e9 datos se env\u00edan?<\/h2>\n

En esta secci\u00f3n, los investigadores se centran nuevamente en los identificadores. Todos los datos tienen alg\u00fan tipo de c\u00f3digo \u00fanico para identificar al remitente. A veces este c\u00f3digo es de un solo uso, lo cual es adecuado para preservar la privacidad al recolectar las estad\u00edsticas (por ejemplo, sobre la estabilidad operativa del sistema) que son \u00fatiles para los desarrolladores.<\/p>\n

Pero tambi\u00e9n se recopilan identificadores a largo plazo, o incluso persistentes, que violan la privacidad del usuario. Por ejemplo, los propietarios pueden cambiar de forma manual el ya mencionado ID de publicidad de Google, pero muy pocos lo hacen, as\u00ed que podemos decir que el identificador, que se env\u00eda tanto a Google como a los fabricantes del dispositivo, es casi persistente.<\/p>\n

El n\u00famero de serie del dispositivo, el c\u00f3digo IMEI del m\u00f3dulo de radio, y el n\u00famero de tarjeta SIM son identificadores persistentes. Con el n\u00famero de serie del dispositivo y el c\u00f3digo IMEI, es posible identificar al usuario incluso despu\u00e9s de un cambio de n\u00famero de tel\u00e9fono y del restablecimiento completo del dispositivo.<\/p>\n

La transferencia regular de informaci\u00f3n sobre el modelo del dispositivo, el tama\u00f1o de la pantalla y la versi\u00f3n de firmware<\/em> del m\u00f3dulo de radio es menos arriesgado en t\u00e9rminos de privacidad; los datos son los mismos para una gran cantidad de propietarios del mismo modelo de tel\u00e9fono. Pero los datos de la actividad del usuario en algunas aplicaciones pueden revelar mucho sobre los usuarios. En cuanto a esto, los investigadores hablan sobre la delgada l\u00ednea entre los datos requeridos para la depuraci\u00f3n de errores de la aplicaci\u00f3n y la informaci\u00f3n que puede utilizarse para crear un perfil detallado del usuario, por ejemplo, para publicidad dirigida.<\/p>\n

Por ejemplo, saber que una aplicaci\u00f3n est\u00e1 consumiendo la vida de la bater\u00eda puede ser importante para el desarrollador y resultar en un beneficio para el usuario. Los datos sobre las versiones de programas del sistema que se instalan pueden determinar cu\u00e1ndo descargar una actualizaci\u00f3n, lo cual tambi\u00e9n resulta \u00fatil. Pero todav\u00eda no sabemos si recopilar informaci\u00f3n sobre el momento exacto de inicio y finalizaci\u00f3n de las llamadas telef\u00f3nicas vale la pena, o incluso si es \u00e9tico.<\/p>\n

La lista de aplicaciones instaladas es otro tipo de datos de usuario que se env\u00eda con frecuencia. Esta lista puede decir mucho sobre el usuario, incluidas, por ejemplo, sus preferencias pol\u00edticas y religiosas.<\/p>\n

La combinaci\u00f3n de datos de usuario de distintas fuentes<\/h2>\n

A pesar de su trabajo minucioso, los investigadores no pudieron obtener un panorama completo de c\u00f3mo varios tel\u00e9fonos y distribuidores de software<\/em> recopilan y procesan los datos del usuario. Tuvieron que desarrollar algunos supuestos:<\/p>\n

Primer supuesto: Los fabricantes de los smartphones<\/em> que recopilan identificadores persistentes pueden rastrear la actividad del usuario, incluso aunque el usuario borre todos los datos del tel\u00e9fono y reemplace la tarjeta SIM.<\/p>\n

Segundo supuesto: Todos los participantes del mercado tienen la capacidad de intercambiar datos y, al combinar los identificadores persistentes con los personales, adem\u00e1s de otros tipos de telemetr\u00eda, generar el panorama m\u00e1s completo posible de los h\u00e1bitos y preferencias de los usuarios. Sin embargo, queda fuera del alcance del estudio la forma en la que esto sucede, y si los desarrolladores s\u00ed intercambian los datos, o los venden a agregadores terceros.<\/p>\n

\"Los

Los investigadores especulan sobre la posibilidad de combinar conjuntos de datos para crear un perfil completo del propietario del smartphone. Fuente<\/a><\/p><\/div>\n

Conclusiones<\/h2>\n

El ganador nominal en t\u00e9rminos de privacidad result\u00f3 ser el tel\u00e9fono con la variante de Android \/e\/OS, que utiliza su propio an\u00e1logo de Servicios de Google Play<\/a> y no transmiti\u00f3 ning\u00fan dato. El otro tel\u00e9fono con firmware<\/em> de c\u00f3digo abierto (LineageOS) no env\u00edo informaci\u00f3n a los desarrolladores, pero s\u00ed a Google, debido a que los servicios de este estaban instalados en el tel\u00e9fono. Estos servicios son necesarios para que el dispositivo funcione de forma correcta; algunas aplicaciones y muchas funciones no podr\u00edan funcionar, o su funcionamiento ser\u00eda deficiente, sin Servicios de Google Play.<\/p>\n

En cuanto al firmware<\/em> patentado de los fabricantes m\u00e1s populares, muy pocos elementos los distinguen. Todos recopilan una buena cantidad de datos, citando el cuidado de los usuarios como justificaci\u00f3n. B\u00e1sicamente ignoran la elecci\u00f3n del usuario de omitir la recopilaci\u00f3n y el env\u00edo de \u201cdatos de uso\u201d. Esta situaci\u00f3n solo podr\u00eda resolverse con normas adicionales para garantizar una mayor privacidad del usuario y, por ahora, solo los usuarios avanzados que puedan instalar sistemas operativos no est\u00e1ndar (con restricciones en el uso del software<\/em> popular) pueden eliminar la telemetr\u00eda por completo.<\/p>\n

En cuanto a la seguridad, la recopilaci\u00f3n de datos de telemetr\u00eda no parece traer consigo riesgos directos. La situaci\u00f3n es extremadamente diferente en los smartphones<\/em> de tercer nivel, en los cuales se puede instalar malware<\/em> directamente de f\u00e1brica<\/a>.<\/p>\n

La buena noticia de este estudio es que la transmisi\u00f3n de datos en bastante segura, por lo que al menos es dif\u00edcil para alguien externo poder acceder. Sin embargo, los investigadores s\u00ed especificaron una advertencia importante: Analizaron modelos de smartphones<\/em> europeos con software<\/em> localizado. En otras regiones, las situaciones podr\u00edan ser distintas dependiendo de las leyes y regulaciones de privacidad.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Un estudio reciente muestra que incluso los smartphones con Android \u201climpios\u201d recopilan mucha informaci\u00f3n sobre sus propietarios.<\/p>\n","protected":false},"author":665,"featured_media":26295,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1124],"tags":[59,2792,835,16,220,516,722],"class_list":{"0":"post-26293","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-privacy","8":"tag-android","9":"tag-confidencialidad","10":"tag-datos","11":"tag-google","12":"tag-privacidad","13":"tag-rastreo","14":"tag-smartphones"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/android-built-in-tracking\/26293\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/android-built-in-tracking\/23511\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/android-built-in-tracking\/18995\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/android-built-in-tracking\/9511\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/android-built-in-tracking\/25600\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/android-built-in-tracking\/23664\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/android-built-in-tracking\/23157\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/android-built-in-tracking\/25830\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/android-built-in-tracking\/31770\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/android-built-in-tracking\/10190\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/android-built-in-tracking\/42654\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/android-built-in-tracking\/17966\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/android-built-in-tracking\/18332\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/android-built-in-tracking\/15456\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/android-built-in-tracking\/27624\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/android-built-in-tracking\/31859\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/android-built-in-tracking\/27760\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/android-built-in-tracking\/24501\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/android-built-in-tracking\/29863\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/android-built-in-tracking\/29665\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/android\/","name":"android"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/26293","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/665"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=26293"}],"version-history":[{"count":6,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/26293\/revisions"}],"predecessor-version":[{"id":26304,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/26293\/revisions\/26304"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/26295"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=26293"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=26293"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=26293"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}