Es bastante habitual ver en los medios de comunicación titulares sobre problemas de seguridad o privacidad en alguna aplicación móvil más o menos popular. Es fácil cometer un error en los cientos de miles de líneas de código que tienen las apps. Una vez detectados, estos fallos se corrigen a través de actualizaciones (de ahí que sea tan importante seguir la recomendación de mantener actualizados nuestros dispositivos).
Sin embargo, a veces estos problemas de seguridad y/o privacidad no se deben a errores en la programación, sino que han sido implementados de manera consciente por la empresa que desarrolla la aplicación. Podríamos pensar que las aplicaciones incluyen sofisticadas funciones ocultas para sacar algún tipo de provecho (económico, político, etc). Aunque esta posibilidad existe, ni siquiera es necesaria para que alguien abuse de nuestros datos.
Cuando instalamos una app, es habitual que nos pida nuestro consentimiento expreso a través de un texto interminable. A través de este texto, repleto de términos legales poco claros, acabamos dando permiso para casi cualquier cosa, además de renunciar a nuestro derecho a exigir responsabilidades en el futuro. A fin de cuentas, si estamos instalando la aplicación, es porque la necesitamos, ¿no es así?
Debemos tener muy claro que cuando un servicio es gratuito, lo estamos pagando con nuestros datos.
El caso de TikTok
El último caso que se ha conocido ha sido TikTok. Esta aplicación, creada en China, ha sido la segunda más descargada en el segundo cuatrimestre de 2020 y la segunda en crecimiento en cuanto al número de instalaciones.
TikTok permite grabar, editar, compartir y ver vídeos de corta duración, así como enviar y recibir mensajes. Esto la ha hecho muy popular entre el público más joven, que la utiliza como una forma más de comunicarse.
Sin embargo, las acusaciones de censura de vídeos con contenidos polémicos (como las revueltas en Hong Kong) o las recientes decisiones de algunos gobiernos de prohibir su uso nos hacen preguntarnos si es realmente seguro utilizarla.
Nuestros móviles revelan, directa o indirectamente, una gran cantidad de información sobre nosotros. Por ejemplo: es posible que una aplicación no tenga acceso al GPS, pero a través de la información de la wifi a la que estamos conectados o de la dirección IP que tengamos asignada puede saber dónde nos encontramos.
Irremediablemente, todo queda sujeto a que las empresas que desarrollan estas aplicaciones lleven a cabo buenas prácticas con la información que les confiamos, y la traten con verdadera transparencia.
Fallos y artimañas de la aplicación
Desde el punto de vista técnico hay algunos aspectos cuestionables. Por ejemplo, ¿por qué TikTok lee continuamente todos los textos que copiamos en el móvil? Imaginemos que estamos haciendo una compra. Abrimos la aplicación de banca online, copiamos el número de la tarjeta o el PIN para pegarlo en el navegador donde estamos a punto de pagar… y TikTok tiene acceso a esta información.
Por otro lado, se ha descubierto que la versión actual de la aplicación está almacenando direcciones MAC de sus usuarios aprovechando una vulnerabilidad de seguridad del sistema operativo de Google.
Versiones anteriores de TikTok eran vulnerables a ataques MITM (Man In The Middle), pues no usaban conexiones seguras. Así, un atacante podía suplantar los servidores de TikTok para obtener nuestra información o alterar lo que pudiéramos subir o descargar de la misma.
En esta línea también ha existido otro fallo que permitía a usuarios maliciosos ver y publicar vídeos que en teoría estaban marcados como privados.
Análisis de TikTok
Al analizar la aplicación, observamos que se trata de una herramienta compleja y muy voluminosa. Tiene demasiado código para lo que hace.
Según la Play Store de Google, no pide permiso para usar el GPS. Sin embargo, hace consultas DNS –un servicio parecido a una guía telefónica, que asocia direcciones IP con nombres de dominio– que suelen relacionarse con la geolocalización. Por tanto, desconfiamos que realmente no acceda a nuestra posición aproximada (por nuestra dirección IP).
A pesar lo dicho anteriormente, TikTok no es una aplicación especialmente diferente de muchas otras. De hecho, solicita un número de permisos inferior al de otras aplicaciones como Twitter o Facebook (véase la imagen que acompaña este artículo).
El verdadero problema es que, por mucho que analicemos este software, no se pueden controlar aspectos como:
Por dónde pasan nuestros datos.
Qué hacen con ellos los servidores de TikTok.
Durante cuánto tiempo se almacenan.
Si se cruzan con otros datos para elaborar perfiles.
Lo único que podemos esperar es que la empresa respete los términos del contrato de privacidad que firma con el usuario. Pero aún en ese caso, puede ser vulnerable a factores externos como ciberataques, robos de datos o presiones gubernamentales, que podrían comprometer la información de los usuarios.
Desde el punto de vista social, tenemos que ser conscientes de que perdemos el control de todo el contenido que subamos a este tipo de servicios.
TikTok nos da la opción de crear contenido público (accesible desde su web o la aplicación, sin crear una cuenta de usuario) o privado (accesible solo para nuestros contactos). No obstante, cualquiera que esté viendo estos vídeos podría descargarlos y reenviarlos o compartirlos, quedando ya totalmente fuera de nuestro control.
Hoy en día, es muy fácil provocar campañas de acoso, descrédito, chantaje o descalificación contra alguien utilizando el material que esa misma persona ha compartido en la red.
Pugna por la supremacía digital o brecha de seguridad
Existen indicios de que alguien está aprovechando TikTok para llevar a cabo acciones ilegítimas. El Departamento de Defensa de Estados Unidos considera esta aplicación una brecha de ciberseguridad y lleva tiempo exigiendo a todo su personal que la desinstale (incluso en dispositivos privados personales).
India ya ha prohibido totalmente la aplicación tras la muerte de 20 soldados en una confrontación en el Himalaya con China. Sospecha que la inteligencia china podría haber utilizado datos procedentes de esta y otras aplicaciones para localizarles.
No obstante, esta preocupación gubernamental no está totalmente relacionada con la seguridad de los datos personales, sino con motivos geoestratégicos y económicos. Sirva de ejemplo que el decreto firmado por el presidente de EE. UU. para bloquear TikTok en septiembre incluye una cláusula por la que si la aplicación pasa a ser controlada por una empresa local estadounidense, ya no será bloqueada. Esto deja claro que el respeto a la privacidad de las personas es lo menos importante.
Juan Gualberto Gutiérrez Marín es programador y analista.
Manuel José Lucena and Ángel Luis García Fernández do not work for, consult, own shares in or receive funding from any company or organisation that would benefit from this article, and have disclosed no relevant affiliations beyond their academic appointment.
Fuente: The Conversation (Creative Commons)
Author: Ángel Luis García Fernández, Profesor de Lenguajes y Sistemas Informáticos, Universidad de Jaén