- No solo Google, Amazon y Meta recolectan tus datos, sino que hay un amplio ecosistema de otras empresas que también lo hacen.
- Los trackers o rastreadores embebidos en las aplicaciones son capaces de registrar todo lo que haces dentro de una aplicación, desde que la abres hasta que la cierras. Cada acción queda registrada.
- La mayoría de tus datos son almacenados y procesados en países distintos al que vives.
- La información anónima que recolectan de ti las empresas que hacen extracción de datos, probablemente no sea tan anónima.
En conjunto con Tactical Tech y Maldita.es investigamos aplicaciones financieras usadas en Europa, con el objetivo de revisar qué datos recopilan de las personas usuarias y comparar los resultados con sus avisos de privacidad; todo esto en el marco de la regulación europea de privacidad, la llamada GDPR (General Data Protection Regulation).
Si bien la investigación contó con solicitudes de acceso a la información, análisis de políticas de privacidad, consulta de abogadas(os) y más, los resultados que aquí presentamos tienen que ver exclusivamente con el análisis técnico que realizamos de tres apps desde SocialTIC.
Aquí puedes acceder a la investigación completa
Apps de control de gastos analizadas:
- YNAB. You need a Budget es una app que, como su nombre lo dice, sirve para establecer metas de ahorro y lograr tener finanzas sanas. Para ello se agregan las deudas que uno tiene, gastos, salario, etc. Con base en esto se establece un plan de ahorro en función de lo que la persona usuaria quiera lograr. Hay, además, videos, podcasts, tutoriales, un blog y otro tipo de recursos para aprender lo necesario sobre finanzas personales.
- Tricount. Esta app sirve para dividir los gastos entre personas de manera automática. Un buen ejemplo de uso es dividir gastos en unas vacaciones con un grupo; o los gastos mensuales entre roomies. Cada persona usuaria hace una cuenta y se le invita a una cuenta común donde se va actualizando lo que cada quién gasta y el porcentaje que le corresponde a las demás pagar por cada gasto.
- Splitwise. Esta app sirve para lo mismo que Tricount. Tiene una interfaz distinta y otras diferencias, pero en esencia funciona de la misma manera.
Metodología: dispositivos, herramientas y entorno de prueba
Utilizamos un celular con Lineage OS 18 con todos los servicios y aplicaciones no necesarios desactivados (esto para tener un ambiente de pruebas controlado). Instalamos la aplicación de control de gastos a analizar y conectamos el celular a una VPN (Red Privada Virtual) que estaba corriendo sobre un servidor controlado, en el cual, por medio de un programa llamado WireShark, capturamos todo el tráfico de red proveniente del celular. En otras palabras, capturamos una copia de cualquier dato que fue enviado y recibido por el celular mientras utilizamos las aplicaciones financieras.
Luego, usando el mismo programa de Wireshark, analizamos cada uno de los paquetes de datos (cuando se envía información a través de Internet, esta es cortada en pequeñas partes, cada uno llamado paquete) para ver su procedencia y destino (es decir de qué servidor viene y a qué servidor se dirige).
Por último, utilizamos el portal de Exodus Privacy para analizar posibles trackers insertados en las tres aplicaciones y nos dirigimos a las diferentes documentaciones públicas para averiguar qué tipos de datos recopila cada uno de los trackers detectados. Aquí el link al reporte publicado.
Para realizar la captura de tráfico se instaló un servidor con OpenVPN, en el cual se guardó el tráfico para ser analizado posteriormente con WireShark. En el dispositivo móvil solo fue necesario instalar el cliente de OpenVPN y activar la conexión a la red.
Si te interesa analizar apps y conocer más de este proceso puedes escribirnos a seguridad@socialtic.org y consultar el repositorio de GitHub.
Hallazgos del análisis técnico: ¿qué datos registran y cómo?
Como era de esperarse, los trackers que aparecieron con más frecuencia fueron los de Amazon y, en particular, los de Google Firebase. Que aparezcan trackers de Google no sorprende nada ya que como estamos en Android, el SDK (software development kit) que se usa habitualmente es el de Google. Sin embargo, también aparecieron trackers de otras empresas que tal vez no reconozcas como Branch, mParticle y AppsFlyer.
Debido a que las comunicaciones entre el celular y los diferentes servidores están cifradas (lo que es muy bueno para las personas usuarias), nos fue imposible saber qué datos en particular son los que se están recabando. Sin embargo, revisando las diferentes documentaciones hicimos un resumen de cuáles son probablemente los datos que recaban estos trackers:
- Geolocalización basada en GPS, redes WIFI y huso horario.
- Modelo y marca del celular.
- Versión del sistema operativo.
- Características del hardware como resolución y orientación de la pantalla.
- Conexiones de red a Wifi y datos.
- Hora de llamadas realizadas.
- Versión y fecha de la instalación de la aplicación.
- Otras aplicaciones instaladas.
También sabemos que estos trackers generan un número único de identificación del usuario. Si bien esto es anónimo, eso quiere decir que distintos trackers de la misma empresa, embebidos en diferentes aplicaciones de un mismo celular, terminan por mandar los datos a los mismos servidores, donde probablemente estos se cruzan para generar un perfil más específico de cada usuario.
Algo de suma importancia es que, estos trackers, son capaces de registrar absolutamente todo lo que una persona realiza en una aplicación. Cuándo la abre; cuándo la cierra; cuánto tiempo pasa en ella; si la aplicación corre o no en segundo plano; qué función particular de la app utilizó, cuántas veces, por cuánto tiempo, etc. En resumen, cada acción que realiza un usuario desde que abre la app hasta que la cierra, queda registrada por estos trackers.
Si bien todos estos datos parecieran, a primera vista, no ser demasiado comprometedores o relevantes para cualquier persona, es importante remarcar cómo se usa esta información. La documentación del tracker de mParticle nos da una buena idea.
Entre muchos de los servicios que ofrece esta plataforma, el más relevante es que permite a quien la use, recolectar datos de un mismo usuario de diferentes fuentes, con tal de crear perfiles muy concisos. Una vez que se tiene perfiles bien delineados, la misma plataforma puede ayudar a, por ejemplo, establecer cómo los usuarios con cierto perfil, digamos mujeres de 30 años, utilizan la aplicación. En función de eso, mParticle puede ayudar a quienes desarrollan la app a establecer estrategias para modificar el comportamiento de uso de la app de este perfil de individuos o bien, por ejemplo, hacer una campaña publicitaria dirigida a mujeres de 30 años que verán anuncios de estas apps en sus mails, en las páginas de sus redes sociales y en otros lugares del internet. Es decir, el ad targeting, como suele llamarse, cada vez es más personalizado y está basado en el tipo de comportamiento que tienen diferentes perfiles de usuarios.
Probablemente, lo que ofrecen otras plataformas como mParticle, es una práctica muy común y extendida, pero la documentación de este tracker resulta interesante por lo abiertamente que se expresan al respecto de su producto.
Otro hallazgo relevante es que la mayoría de los datos recabados por los trackers terminan siendo enviados a Estados Unidos. Si bien Amazon, por ejemplo, tiene servidores en Irlanda, existe, a pesar de eso, una gran cantidad de datos enviados a sus instalaciones en Estados Unidos. Este tipo de minado de datos que atraviesa fronteras genera serios problemas a las diferentes regulaciones de privacidad de cada país. Así, los datos de europeos, mexicanos y de tantos otros países, terminan por estar sujetos a las leyes de un país del que no son nacionales ni en el que viven.
Por último, es importante remarcar lo obvio. Cuando uno instala y utiliza una app de Amazon, Google o Meta, es claro que uno sabe que los datos serán guardados y procesados por estas empresas. Pero lo que no es nada obvio, es que, si uno utiliza la app de otra empresa, en este caso de Splitwise o Tricount, los propios datos también terminarán en manos de las empresas ya mencionadas (y de otras menos conocidas como ya vimos). Pareciera que no es tan fácil escapar del oído atento de estos gigantes tecnológicos.
Otras ideas derivadas de esta investigación: perfiles específicos basados en datos anónimos
Aunque pudiera parecer ingenuo, es importante remarcar que existen dos tipos de datos. Los datos estadísticos, como aquellos recolectados por los trackers, y los datos que, como usuarios, ofrecemos sin pensar demasiado en las empresas a las que se los damos: ya sea nuestro nombre, año de nacimiento y género cuando abrimos una cuenta de email; ya sea fotos, pensamientos, comentarios, interacciones y videos cuando estamos en redes sociales; ya sea nuestros hábitos de gastos con aplicaciones fintech; nuestros hábitos de salud (modos de alimentación en apps de dietas; entrenamientos en apps de deportes; sesiones de meditación en apps de mindfulness); nuestro hábitos de compras en cualquier app de ventas por internet; pensamientos, pendientes, ideas en apps de notas y to-do’s, etc.
En la medida en que nos apoyamos más en la tecnología para desarrollar nuestras actividades cotidianas, estas grandes empresas tecnológicas saben a detalle cómo nos comportamos. En algún momento, los datos estadísticos son relacionados con los datos no anónimos para generar un perfil hiper detallado. Y no se trata siempre de aducir a cuáles son las consecuencias de esto para alguien en particular, sino también las afectaciones en lo colectivo: lo grave que es la facilidad con que se puede delinear el comportamiento humano si pensamos que no sólo tienen mis datos, sino los datos de millones de personas que todos los días están abonando cada vez más y más información.
¿Y qué podemos hacer para protegernos del rastreo de datos?
Lo primero, resulta claro, es estar informado/a como usuario/a. Los trackers no están a la vista del público y, como recolectan información anónima, pareciera ser que no es importante mencionarlos demasiado en los debates públicos. Lo segundo es usar las apps con criterio. Preguntarse ¿qué datos les estoy ofreciendo?, ¿quiero que una empresa fintech sepa cuánto gasto en alcohol cuando me voy de fiesta o cuánto gasto en medicinas al mes?, ¿quiero que Facebook e Instagram sepan qué desayuné el día de hoy, a qué hora y dónde?
Como ya lo dijimos anteriormente, los datos que ofrecemos de manera voluntaria, luego se cruzan con los datos anónimos (pero no por eso menos relevantes) para así generar un perfil muy detallado de nosotros. Por un lado tenemos que presionar a los gobiernos para que obliguen a las empresas a ser transparentes con todos los datos que recolectan, cómo los procesan, cómo los usan y dónde los guardan. En los avisos de privacidad debe de quedar claro cuáles son todas las empresas que, al yo utilizar determinada aplicación, están recabando información.
En lo que eso sucede, sin embargo, como usuarios podemos seguir las recomendaciones de privacidad que están en este otro post y tomar conciencia de qué implica utilizar la tecnología en nuestra vida cotidiana.
Links de interés:
- Aquí puedes acceder a la investigación completa: Tu cartera ya no está en tu bolsillo, sino en tu móvil: ¿qué saben de ti las aplicaciones de control de gastos?
- The Depth of Your Virtual Purse: What do fintech apps know about you – Tactical Tech (inglés)
- Reporte técnico (inglés)
- ¿Cómo funcionan los rastreadores ocultos en tu teléfono?
Textos publicados por Maldita.es:
- Tu cartera ya no está en tu bolsillo, sino en tu móvil: ¿qué saben de ti las aplicaciones de control de gastos?
- A mis amigos no, a los anunciantes todo: cómo revelamos nuestros gastos a las aplicaciones de control presupuestario
- Guía para controlar qué pasa con mis datos financieros en una aplicación de gastos: del derecho de acceso a la concienciación del usuario