En los ecosistemas iOS o Android hay aplicaciones que en apariencia son genuinamente inocentes. Una aplicación para saber la velocidad límite en carreteras, una para leer códigos QR o incluso una plataforma para ayudar a los musulmanes a rezar. Pero a veces que no todo es lo que parece porque algunas empresas usan Google para recopilar datos que no sabemos adónde van a dar.
Google ya ha retirado docenas de aplicaciones de su tienda Play Store al detectar que en diversas aplicaciones —descargadas millones de veces— se incluía un código para recopilar datos de sus usuarios en secreto. Esa práctica se liga con un proveedor de ciberinteligencia de la Defensa estadounidense.
Es la conclusión a la que llegaron dos investigadores que hacían labores de auditorías sobre aplicaciones disponibles en Android para comprobar sus garantías de privacidad.
Sus hallazgos son contundentes: la firma responsable del código con el que se recopilaban datos de los usuarios es una empresa panameña llamada Measurement Systems.
Esta firma panameña estaría ligada con un contratista de varias agencias de seguridad estadounidenses, según investigadores de registros web y documentos corporativos. Sus conclusiones las han compartido con la propia Google, con reguladores de la privacidad federales y con The Wall Street Journal (WSJ).
El WSJ que reveló esta práctica en un artículo que puedes consultar aquí. En él que se detalla cómo Measurement Systems pagó a desarrolladores en todo el mundo para que incorporasen su código sin detallar exactamente para qué funcionaba. La dinámica era sencilla: ofrecían un kit de desarrollo (SDK).
Gracias a la propagación y uso de su SDK en apps de todo el mundo, la firma podía recopilar datos sobre los miles y millones de usuarios. Estos hacían uso de apps diversas, detallan Serge Egelman y Joel Reardon, de la Universidad de Berkeley, California, y de la Universidad de Calgary, respectivamente.
El propio Egelman incide en cómo a menudo las apps disponibles en ecosistemas tan extendidos como el de Android incluyen códigos fruto de kits de desarrollo. A menudo, «no son auditados» ni siquiera bien «entendidos» por los usuarios (desarrolladores); que construyen sus soluciones informáticas con estos paquetes.
También, Egelman y Reardon, fundadores de AppCensus —que se dedica a la auditoría de seguridad y privacidad de aplicaciones móviles— apuntan que el SDK de Measurement Systems es, con diferencia, «el más invasivo» que han visto en los seis años que llevan dedicándose a esto. «Sin duda, puede calificarse como malware» (o código malicioso).
Además de Google —que ya emprendió acciones retirando las apps que contenían el código— y The Wall Street Journal, los investigadores compartieron sus conclusiones con la Comisión Federal del Comercio (FTC) estadounidense; que no confirmó si investigan este asunto.
Un portavoz de Google aseveró que estas aplicaciones ya se retiraron de sus tiendas de aplicaciones el pasado 25 de marzo. Estas incumplieron las normas de la plataforma al recopilar datos de sus usuarios al margen de las reglas del buscador. Pero muchas de las apps eliminadas podrán volver a estar disponibles si se actualizan y eliminan ese código.
Entre las apps retiradas se encuentran herramientas que ayudan al rezo a los musulmanes, como Al Moazin. Sus desarrolladores explicaron al periódico estadounidense ser conscientes de lo que sucedió. Lo sorprendente de este caso es que muchas de estas aplicaciones tienen su uso más extendido en países de Oriente Medio, Asia y Europa del Este.
De hecho, el SDK de Measurement Systems —aunque ya no forma parte de ninguna aplicación en Play Store de Google— sigue instalado en millones de dispositivos. Al menos, en todos aquellos de los usuarios que todavía no se enteran de este escabroso hallazgo. Los investigadores estiman que las apps con el código estarían en unos 60 millones de dispositivos.
En ese sentido, el riesgo es todavía mayor, ya que los investigadores creen que el SDK incluye código para mapear las redes wifi en las que se conectan los dispositivos afectados. El código permitía incluso leer —que no acceder— a los archivos descargados de chats de WhatsApp, e incluso leer lo que el usuario copiaba y pegaba en su portapapeles. También contraseñas.
Según The Wall Street Journal, Measurement Systems está ligada a Vostrom Holdings, una firma que fue la que registró su dominio web en 2013. Una filial de Vostrom, Packet Forensics, tiene contratos con agencias federales estadounidenses, incide este medio.
Por su parte, la firma contestó algunas (no todas) de las preguntas que los medios le remitieron. Pero rechazaron todas las acusaciones, que tildan de «falsas». Además, negado cualquier relación con contratistas de la Defensa norteamericana. «No tenemos conocimiento de ninguna conexión entre nuestra empresa y contratistas».
«Tampoco tenemos conocimiento de ninguna empresa llamada Vostrom, ni qué es Packet Forensics ni qué relación tiene con nuestro negocio», han asegurado.
AHORA LEE: Google retirará aplicaciones de YouTube de los nuevos dispositivos Roku tras meses de disputa entre ambas compañías
TAMBIÉN LEE: Los recientes registros de marca hechos por Facebook contienen pistas sobre el nuevo nombre de la compañía