Miles de aplicaciones móviles para niños pueden estar violando su privacidad

24 Abril 2018

Miles de las aplicaciones y juegos infantiles más populares disponibles, en su mayoría gratuitamente, en la tienda Google Play, hacen un seguimiento o ‘tracking’ potencialmente ilegal del uso que realizan los niños, según un estudio internacional a gran escala del que es coautor Narseo Vallina-Rodriguez, investigador del Instituto IMDEA Networks en Madrid y de ICSI, el Instituto Internacional de Ciencias de la Computación de la Universidad de California, Berkeley (EE.UU.).


Un grupo internacional de siete investigadores analizó 5,855 aplicaciones (‘apps’) para niños y descubrió que un 57% puede estar violando la Ley de Protección de la Privacidad Infantil en Internet (COPPA, por sus siglas en inglés) en vigor en EE.UU. Miles de las aplicaciones probadas recogieron y compartieron con terceros los datos personales de niños menores de 13 años sin el permiso de los padres. Los servicios a los que llega esta información, como la publicidad en línea y la monitorización de usuarios, están en su mayor parte destinados a compartir datos con terceros, según este estudio.

Los investigadores encontraron que el 28% de estas aplicaciones accedieron a datos confidenciales protegidos por permisos de Android y que el 73% de las aplicaciones probadas transmitieron datos confidenciales a través de Internet. Entre las aplicaciones analizadas, 4.8% presentaron «violaciones claras cuando las aplicaciones compartían información de ubicación o contacto sin consentimiento», 40% compartieron información personal sin aplicar medidas de seguridad razonables, 18% compartieron con servicios o socios empresariales identificadores persistentes (como el IMEI del móvil) para fines prohibidos, por ejemplo la publicidad dirigida, y 39 % «no parecen tomar medidas suficientes para proteger la privacidad de los niños», de acuerdo con Vallina-Rodriguez.

«Si bien acceder a un recurso confidencial o compartirlo a través de Internet no significa necesariamente que una aplicación viole COPPA, ninguna de estas aplicaciones logró el consentimiento paterno verificable: si la [prueba automatizada que realizamos] fue capaz de activar la funcionalidad, entonces un niño también lo haría», afirman los investigadores.

Además, muchas de estas aplicaciones utilizan servicios proporcionados por terceros cuyos términos de servicio prohíben su utilización en apps dirigidas a menores. Por tanto las apps que integran el software de tracking proporcionado por estos servicios no solo pueden estar infringiendo COPPA, sino los términos legales por los que se rigen dichos servicios. Un ejemplo de estos terceros, de entre los muchos que menciona el estudio, es el servicio Crashlytics cuyo propietario es Alphabet (multinacional matriz de Google)

Cada una de las apps estudiadas fue instalada, de media, más de 750,000 veces, lo que significa que pueden estar siendo potencialmente utilizadas en millones de dispositivos a escala global. Entre las aplicaciones analizadas se incluyen algunas muy populares como los juegos ‘¿Dónde está mi agua?’ de Disney y ‘Minion Rush’ de Gameloft, así como ‘Duolingo’, un app para el aprendizaje de idiomas. Disney, Gameloft y Google han declarado a medios internacionales en respuesta a este estudio que la protección de los derechos de los niños es de gran importancia para ellos y se han comprometido a investigar lo sucedido.

Gigantes de Silicon Valley en el punto de mira

Estos hallazgos salen a la luz en un momento en el que Facebook, otro gigante de Silicon Valley con enorme interés en el negocio de la publicidad digital, está en el radar de las agencias internacionales de protección de datos por la filtración ilegal de información de 87 millones de americanos a la empresa Cambridge Analytica.

Críticos de Google, Facebook y otros interesados que dominan el mercado de las aplicaciones digitales, afirman que se han beneficiado enormemente de los avances en la tecnología de seguimiento de datos para promover sus fines comerciales, incluso cuando los reguladores no han podido mantenerse al día sobre las intrusiones de privacidad resultantes. La ley existe en EE.UU y a finales de mayo la Unión Europea pondrá en funcionamiento la nueva legislación GDPR (en España será conocida como RGPD) para la regulación de la privacidad en Internet. Esta ley paneuropea está orientada a atajar y controlar el uso fraudulento y transnacional de la ingente cantidad de datos personales que fluyen en la red, un negocio en boga de compra-venta de datos, que es desconocido para el consumidor, a pesar de ser su producto estrella.

No obstante, según Vallina-Rodriguez, “hasta la fecha, estos intentos reguladores parecen haber tenido poco efecto en frenar estas prácticas. Todavía hay innumerables ejemplos de juegos y aplicaciones para niños que utilizan servicios de terceros que recopilan datos de seguimiento sin el consentimiento de los padres. Google, por ejemplo, tiene un programa para desarrolladores de apps destinadas a familias (el programa ‘DFF’, por sus siglas en inglés), el cual requiere a los desarrolladores el cumplimiento de COPPA pero, como muestran nuestros resultados, parece que no hay ninguna (o solo limitada) aplicación de la ley ya que no se impone su cumplimiento». Además, el análisis realizado de las aplicaciones certificadas como “seguras” por el programa de ‘puerto seguro’ de la Comisión Federal de Comercio de EE. UU. (FTC) no dio mejores resultados. La mayoría seguían violando COPPA, a pesar de la certificación obtenida.

Los resultados de este estudio agravan la candente preocupación sobre la escasez de transparencia de las empresas a las que día a día adultos y menores, padres e hijos, confiamos información altamente sensible.  «De acuerdo con nuestros datos, no está claro que la autorregulación de la industria haya resultado en estándares de privacidad más elevados; algunos de nuestros datos sugieren lo contrario. Por lo tanto, la autorregulación de la industria parece ser ineficaz», escribieron los investigadores. Según ellos, se requieren esfuerzos centralizados de regulación y control por parte del gobierno ya que la violación de los derechos de los consumidores es prevalente y masiva.

Fuente(s): IMDEA Networks Institute
Recursos:

Irwin Reyes, Primal Wijesekera, Joel Reardon, Amit Elazari Bar On, Abbas Razaghpanah, Narseo Vallina-Rodriguez, Serge Egelman (julio 2018)
“Won’t Somebody Think of the Children?” Examining COPPA Compliance at Scale [PDF]
En: The 18th Privacy Enhancing Technologies Symposium (PETS 2018), 24–27 julio 2018, Barcelona, España.

Categorizado en:

Archivos

Categorías