2020 Artículos

Los rastreadores ocultos en tu teléfono, explicado

Print Friendly, PDF & Email

En los primeros días de la pandemia de coronavirus, un mapa animado de una compañía llamada Tectonix se volvió viral. Mostraba a los turistas que salían de una playa de Florida para volver a sus casas en los Estados Unidos, mientras una serie de pequeños puntos naranjas se congregaban en una playa a principios de marzo y se dispersaban por todo el país durante las dos semanas siguientes.

“Se hizo evidente el enorme impacto potencial que puede tener una sola reunión en la playa en la propagación de este virus a través de nuestra nación”, dijo el narrador del vídeo. “Los datos cuentan las historias que no podemos ver”.

Pero había otra historia allí que la mayoría de nosotros no puede ver: cómo los rastreadores ocultos en las aplicaciones de los teléfonos inteligentes son la fuente de cantidades increíbles de datos específicos sobre nosotros, muchos de los cuales se envían a empresas de las que nunca has oído hablar. Esto ha estado sucediendo durante años y es una parte esencial de la economía de las aplicaciones móviles. Pero fue necesaria la pandemia de Covid-19 para que algunas de estas compañías, y lo que son capaces de hacer, se pusieran en frente.

El teléfono es la herramienta ideal para los anunciantes y los corredores de datos, tanto para recoger tu información como para servirte anuncios basados en ella. Esto se hace normalmente a través de kits de desarrollo de software, o SDK, que estas empresas proporcionan a los desarrolladores de aplicaciones de forma gratuita a cambio de la información que pueden recopilar de ellos, o una parte de los anuncios que pueden vender a través de ellos. Cuando activas los servicios de localización de una aplicación meteorológica para que te proporcione un pronóstico localizado, es posible que estés enviando tus datos de localización a otra persona.

Así es como X-Mode obtuvo los datos que se utilizaron para crear el mapa de los vacacionistas de Tectonix. Una compañía llamada Unacast usó rastreadores en su SDK para calificar los condados en lo bien que sus residentes se distanciaban socialmente y permanecían en sus casas. Luego está Cuebiq, que recolectó datos de ubicación a través de su SDK y compartió esa información con el New York Times para múltiples artículos acerca de cómo el distanciamiento social cambió a medida que se levantaron las órdenes de permanecer en casa y se reabrieron los estados. Esto fue sólo unos meses después de que el periódico le dio a las prácticas de recolección de datos de localización de Cuebiq un ojo mucho más crítico en un reportaje expansivo, y muestra un posible cambio en la opinión pública ahora que estos datos invasivos podrían ser utilizados para salvar vidas o acelerar el retorno a la normalidad.

También hemos visto recientemente cómo estos datos pueden ser utilizados de maneras que muchos argumentarían que no contribuyen al bien público. Un artículo reciente del Wall Street Journal reveló que los datos de localización no sólo se vendían a comerciantes o agentes de datos, sino también a las fuerzas del orden, donde se utilizaban para ayudar a atrapar a los inmigrantes indocumentados. Más recientemente, una empresa de datos llamada Mobilewalla se jactó de su capacidad para rastrear los teléfonos celulares de los manifestantes y, a pesar de que esos datos supuestamente eran anónimos, la empresa afirmó que podía identificar la edad, el género y la raza de los manifestantes.

Mientras que la mayoría, si no todas, las aplicaciones de nuestros teléfonos utilizan varios SDK, las personas que utilizan esas aplicaciones rara vez entienden lo que son o cómo se pueden utilizar para recoger sus datos y potenciar una economía masiva entre bastidores. Así es como funciona todo.

¿Qué es un SDK y cómo me rastrea?

Los SDKs en sí mismos no son rastreadores, pero son el medio a través del cual la mayoría de los rastreos a través de aplicaciones móviles se producen. En pocas palabras, un SDK es un paquete de herramientas que ayuda a una aplicación a funcionar de alguna manera. Apple y Android ofrecen SDK de sistemas operativos para que los desarrolladores puedan crear sus aplicaciones para sus respectivos dispositivos, y terceros ofrecen SDK que permiten a los desarrolladores agregar ciertas características a esas aplicaciones rápidamente y con un mínimo esfuerzo.

“El nombre del juego durante los últimos doce años ha sido hacer lo más fácil posible que la gente desarrolle aplicaciones”, dijo a Recode Norman Sadeh, director del Laboratorio de Comercio Móvil y del Laboratorio de Gestión de la Cadena de Suministro Electrónico de la Universidad Carnegie Mellon, y codirector de su Programa de Ingeniería Privada del MSIT.

Por ejemplo, si un desarrollador quiere que los usuarios inicien sesión en una aplicación con sus cuentas de Facebook, querrán el SDK de inicio de sesión de Facebook. Si su aplicación necesita mapas o datos de mapas, podrían usar el Map SDK de Google. Sin SDKs, los desarrolladores tendrían que construir esas cosas completamente desde cero. Eso lleva tiempo y podría estar más allá de las habilidades o presupuestos de un pequeño desarrollador. Los SDK también pueden ayudar a las aplicaciones a comunicarse con terceros a través de lo que se denomina una Interfaz de Programación de Aplicaciones (API). Usando el SDK de inicio de sesión de Facebook como ejemplo de nuevo, el SDK ayuda al desarrollador a crear e implementar la función de inicio de sesión en su aplicación, mientras que la API permite que la aplicación y Facebook se comuniquen entre sí para que el inicio de sesión pueda tener lugar.

“Ahora tienes todas estas API y bibliotecas de terceros que se han introducido en este ecosistema, ya sea para la publicidad, para conectarse a las redes sociales, para propósitos de análisis”, dijo Sadeh. “Este ecosistema se ha vuelto extremadamente complejo, y los flujos de datos que resultan de todo esto son extremadamente diversos y muy, muy preocupantes”.

A veces, los SDK recogen y envían datos a la tercera parte que los proporciona, lo cual no es parte de la funcionalidad de la aplicación. Hace unos meses, la aplicación móvil iOS de Zoom fue sorprendida enviando datos extra a Facebook a través de su SDK, lo cual Zoom dijo que no era intencional. Muchas otras aplicaciones han hecho lo mismo.

Aquí es donde entra el rastreo. Los datos que la aplicación de su dispositivo envía a un tercero pueden ser usados para construir un perfil del usuario de la aplicación, que los anunciantes pueden usar para anuncios dirigidos. Es probable que ni siquiera sepas qué datos salen de tu dispositivo, cómo se pueden usar para rastrearte o adónde van. Los datos de ubicación son los que más atención reciben porque son los más invasivos (como dijo el New York Times: “Tus aplicaciones saben dónde estuviste anoche y no lo mantienen en secreto“), pero hay muchas otras maneras de rastrearte o de hacer inferencias sobre quién eres para dirigirte los anuncios. Las empresas quieren poner sus SDK en tantas aplicaciones como sea posible para recoger la mayor cantidad de información de la mayor cantidad de gente posible. Incluso los desarrolladores pueden no saber (o no importarles) cuándo y cómo se invade la privacidad de sus usuarios.

“Si soy un principiante, estoy iniciando una aplicación muy rápidamente – necesito hacer algo rápido. Sólo tengo que reunir un montón de SDKs, compilar la aplicación y enviarla a la App Store”, dijo Sean O’Brien, fundador y director ejecutivo del Laboratorio de Privacidad de Yale, a Recode. “Y puede que ni siquiera sea consciente, literalmente, como desarrollador, de lo que hay en mi propia aplicación.”

“Si soy un principiante, estoy arrancando una aplicación muy rápido – necesito hacer algo rápido. Sólo tengo que reunir un montón de SDKs, compilar la aplicación y enviarla a la App Store”, dijo Sean O’Brien, fundador y director ejecutivo del Laboratorio de Privacidad de Yale, a Recode. “Y puede que ni siquiera sea consciente, literalmente, como desarrollador, de lo que hay en mi propia aplicación.”

También ha habido historias de SDKs que intencionalmente y maliciosamente agarran muchos más datos de los que se supone que deben, posiblemente sin el conocimiento de los desarrolladores, y ciertamente sin el del usuario. O’Brien recomienda que los desarrolladores hagan auditorías de privacidad en sus aplicaciones para evitar esto, pero eso no siempre es algo a lo que incluso las grandes empresas como Zoom quieren destinar recursos.

El ecosistema de las aplicaciones

El rastreo a través del SDK está firmemente, quizás inextricablemente, arraigado en el ecosistema de la aplicación. De esta manera, es similar a Internet. Casi todo lo que hacemos en línea ha sido rastreado y monetizado desde el principio (ver: cookies). Debido a que las aplicaciones están en el propio dispositivo, en lugar de ser accedidas a través de un sitio web, y debido a que ahora usamos aplicaciones para tantas cosas diferentes y llevamos el dispositivo que están con nosotros durante todo el día, son capaces de recoger una tonelada de información sobre nosotros.

“Los SDKs son como el equivalente móvil de las cookies en este momento, pero con más poder”, dijo Whitney Merrill, abogada y tecnóloga de la privacidad, a Recode.

Los desarrolladores instalarán SDKs de redes publicitarias en sus aplicaciones, lo que les permite servir anuncios dirigidos a los usuarios, así como recoger algunos datos de los usuarios para enviarlos a la red publicitaria. Por ejemplo, el SDK publicitario de Facebook mostrará anuncios dirigidos a usted, basados en lo que Facebook sabe de usted, en cualquier aplicación de su dispositivo que tenga el SDK – lo cual, según el SDK y la empresa de inteligencia de aplicaciones MightySignal, hacen cientos de miles de aplicaciones.

En 2019, las empresas gastaron 190.000 millones de dólares en anuncios para móviles, según el informe de App Annie sobre el estado de la telefonía móvil en 2020. Se trata de anuncios predominantemente dirigidos que utilizan datos recopilados a través de SDK así como otras fuentes, y que se envían en gran medida a las aplicaciones a través de SDK de la red publicitaria. Las aplicaciones gratuitas (e incluso, a veces, las aplicaciones por las que se paga) normalmente sólo existen por el dinero que ganan con los anuncios o por los datos de localización que proporcionan. Los anuncios que no están dirigidos valen menos, y tener que contratar a alguien para obtener anuncios para su aplicación cuesta dinero, mientras que un SDK para redes publicitarias que lo hace automáticamente es gratuito.

La mayoría de las empresas que producen estos SDK dirán que los datos que recogen no son identificables personalmente (normalmente eso sólo significa que están adjuntos al ID del dispositivo, en lugar del ID del propietario del dispositivo), que los clientes deben optar por su recogida, y que las políticas de privacidad mantienen a los usuarios informados sobre cómo se utilizan sus datos. Pero los expertos en privacidad dicen que los datos desidentificados a menudo pueden volver a identificarse y nunca son verdaderamente anónimos, especialmente cuando los intermediarios de datos tienen tantos de ellos de tantas fuentes.

“La cantidad de datos que tienen sobre nosotros es increíble”, dijo Sadeh. “Los corredores básicamente reensamblan todos estos datos, y son bastante buenos en ello”.

X-Mode y Cuebiq, que tienen SDKs en 300 y 180 aplicaciones con una tasa de inclusión de seguimiento de localización del 55 al 85 por ciento y del 20 al 45 por ciento, respectivamente, dijeron a Recode que la privacidad es y siempre ha sido importante para ellos, que cumplen plenamente con las leyes de privacidad y que creen que hay una manera de preservar la privacidad y al mismo tiempo obtener valiosos conocimientos sobre los datos recogidos.

“Soy un creyente en la importancia de los grandes datos”, dijo Antonio Tomarchio, CEO de Cuebiq, a Recode. “Pero también creo en el hecho de que tiene que hacerse con el marco adecuado.”

Cómo puedes minimizar tu exposición al seguimiento del SDK

A lo largo de los años, las tiendas de aplicaciones y los sistemas operativos han tomado medidas enérgicas contra algunos de estos rastreos. Han permitido que los usuarios seleccionen qué aplicaciones pueden tener acceso a ciertas partes de su teléfono, han cerrado las brechas que permitían a las aplicaciones rastrear ubicaciones incluso con los servicios de GPS desactivados y han creado identificadores de dispositivos específicos para los anunciantes con el fin de ocultar el identificador real del dispositivo, que no se puede cambiar y que era una de las principales formas en que las empresas de datos y los anunciantes rastreaban a las personas a través de las aplicaciones.

Es un poco como jugar a un juego de “whack-a-mole”; las empresas de datos están constantemente buscando nuevas formas de rastrear a los usuarios que los sistemas operativos, a su vez, están constantemente buscando formas de detener o controlar mejor.

Si no quiere simplemente confiar en que una empresa de datos de localización, un agente de datos o una compañía de publicidad se preocupe por sus intereses de privacidad, hay cosas que puede hacer para evitar que su información salga a la luz. Apple y Android ahora le dan a los propietarios de dispositivos la opción de limitar el rastreo de anuncios, así que puedes hacerlo si aún no lo has hecho. También puede limitar el seguimiento de los anuncios en servicios como Facebook, Google y Twitter. Si una aplicación pide permiso para usar una función del dispositivo, como su ubicación, sólo acepta si es algo que realmente necesita y sólo activa los servicios de ubicación cuando los usa. Además, lee las políticas de privacidad de las aplicaciones que descargues para tener la mejor idea posible de si están compartiendo tus datos y con quién los están compartiendo, y opta por no compartirlos con empresas de localización de datos cuando sea posible; tanto X-Mode como Cuebiq ofrecen formas de hacerlo directamente. La mayoría de los expertos en privacidad creen que es imposible dejar de rastrear en estos dispositivos y a través de sus aplicaciones, pero esto debería al menos reducirlo.

El incierto futuro del rastreo a través del SDK

Hasta hace unos años, dependíamos en gran medida de estas empresas para regularse, lo que la mayoría de ellas dicen que hacen. Pero sus prácticas de manejo de datos son a menudo demasiado opacas para saber con seguridad si eso es cierto, y lo que los precedentes indican que probablemente no lo es – el New York Times por sí solo ha tenido acceso a los registros de datos de localización sensibles no una vez, sino dos veces. Sólo la presión externa parece haber hecho algún tipo de cambio.

A nivel de sistema operativo, Apple ha instituido varias mejoras de privacidad y control a lo largo de los años, y recientemente anunció que el próximo iOS 14 se basa en eso. Entre ellas: Las aplicaciones tendrán que decirle que quieren rastrearlo y obtener su consentimiento para hacerlo; tendrán que decirle a los usuarios qué información sobre ellos está siendo recolectada por los rastreadores y si está siendo vinculada a su identidad.

Pero Apple también tiene que equilibrar las necesidades de sus desarrolladores de la App Store, cuyo modelo de negocio puede depender de los anuncios, con los deseos de sus clientes, que probablemente preferirían no ser rastreados y dedicar el mínimo esfuerzo para evitarlo.

“Hay otra escuela de pensamiento que prevalece, que es que si le das a la gente demasiadas opciones, se cansarán de la publicidad”, dijo Merrill. Abrir una aplicación recién instalada y tener que hacer clic en, digamos, 20 permisos de dispositivos diferentes probablemente no sea la experiencia que los usuarios quieren.

Merrill añadió: “Será una experiencia horrible, porque se ven todas estas ventanas emergentes y uno se pregunta: ‘Sólo quiero usar la maldita aplicación'”.

Apple le dijo a Recode que está constantemente refinando su sistema operativo para minimizar los datos del usuario que salen de su dispositivo y se envían a las aplicaciones, mientras sigue habilitando la funcionalidad y sin forzar a los usuarios a hacer clic a través de un montón de ventanas emergentes de permiso.

También hay leyes que exigen ciertas divulgaciones y consentimiento, y ciertamente parece haber un impulso para promulgar más. Junto con el Reglamento General de Protección de Datos de la Unión Europea, está la Ley de Privacidad del Consumidor de California. Otros estados están siguiendo el ejemplo con sus propias propuestas de leyes de privacidad de datos, y se han introducido varias versiones federales. Muchos expertos en privacidad creen que esa legislación, si se hace correctamente, es la única manera de regular realmente la industria de los datos. Los directores generales de las empresas de datos de localización dicen que la acogen con agrado.

“Creo que va a legitimar y madurar la industria”, dijo Joshua Anton, fundador y CEO de X-Mode, a Recode. “Creo que lo que estamos pasando es similar a lo que pasó con CAN-SPAM a principios de la década de 2000. … La legislación es algo positivo. Y espero que nuestra empresa y muchas otras como la nuestra formen parte de la conversación para crear una legislación que dé a los consumidores más control sobre sus datos de localización”.

O’Brien, por otro lado, piensa que el problema del seguimiento de los anuncios en los móviles no se resolverá con leyes, sino con lo mismo que lo creó: el dinero.

“Creo que va a haber un pequeño ajuste de cuentas”, dijo O’Brien. “Ya ha comenzado a haber una para algunas de estas empresas, especialmente cuando la economía comienza a hundirse y cuando el fondo comienza a caer en el negocio de la publicidad dirigida – lo que parece estar sucediendo realmente. Las compañías que se están retirando de Facebook en este momento no sólo se están retirando de Facebook porque están horrorizados de que Mark Zuckerberg no modere la plataforma o permita que Trump haga lo que sea. Lo están haciendo porque no han visto los beneficios que han pagado, por una década, a Facebook por los anuncios.”

Algunas investigaciones han demostrado ahora que los anuncios dirigidos son sólo marginalmente más valiosos para las marcas que los no dirigidos, y pueden incluso valer menos cuando se tiene en cuenta la pérdida de confianza del usuario, las tarifas de la red publicitaria y el gasto de las herramientas que cumplen con la ley de privacidad.

“Las corporaciones que tradicionalmente canalizan el dinero hacia los Googles y los Facebooks, etc., están en un terreno muy inestable en este momento”, dijo O’Brien. “Y la capacidad de tratar a Big Tech como una especie de casino, donde están lanzando dinero en la máquina tragamonedas, no va a suceder por mucho tiempo.”

Por otra parte, el negocio de la publicidad en Twitter sufrió el año pasado porque, según la empresa, tuvo que reducir la cantidad de datos que recopilaba (estaba recopilando “accidentalmente” demasiada información de los usuarios, incluso después de que éstos pidieran específicamente a la empresa que no lo hiciera) que luego se utilizarían para orientar los anuncios. Pero esto sólo demuestra que las nuevas reglamentaciones y los deseos de privacidad de los usuarios están teniendo un efecto en el negocio de los anuncios dirigidos, lo que podría, a su vez, conducir a un cambio.

Por ahora, sin embargo, sus datos son lo que los anunciantes quieren y lo que el ecosistema de aplicaciones móviles ha sido creado para proporcionar. Si la información reunida sobre usted a través de los rastreadores del SDK puede ser usada para ayudar a detener el coronavirus, ese podría ser un intercambio que usted está dispuesto a hacer. Si está siendo usado para una inquietante y específica visión de los manifestantes, eso podría no ser tan agradable. En ausencia de buenas leyes federales que regulen la forma en que se recogen y utilizan sus datos, sólo tiene que confiar en que las empresas de datos de localización y los desarrolladores de aplicaciones realmente se preocupan por su privacidad tanto como dicen.

Fuente