El desarrollo de software ha experimentado profundos cambios en la última década con la adopción masiva de metodologías de desarrollo ágiles, la adopción de modelos de negocios basados ​​en datos y el surgimiento de plataformas móviles, web e IoT que permiten acceder, almacenar y procesar datos personales y contextuales a gran escala. La combinación de estos factores ha creado problemas sociales con repercusiones de largo alcance como lo demuestran varios escándalos recientes de privacidad. El desarrollo de nuevos esfuerzos regulatorios como el
GDPR no puede corregir las prácticas de la industria, y ha creado nuevas fricciones entre la ingeniería de privacidad (y la regulación) en un extremo, y la ingeniería de software y los modelos de monetización de software en el otro. No está claro si la regulación sin mecanismos para su cumplimiento son suficientes para disuadir las malas prácticas de la industria.

Desafortunadamente, el arsenal actual de métodos de análisis de software es incapaz de obtener una imagen completa, empírica y reproducible del comportamiento del software moderno debido a suposiciones incompletas y desalineadas con la realidad, así como a su incapacidad para escalar a millones de muestras de software y de diversa naturaleza. La mayoría de las herramientas disponibles se centran en detectar comportamientos maliciosos (a menudo excluyendo la recopilación de datos personales), como el abuso, el fraude, muchas veces dentro de familias de malware ya conocidas. En segundo lugar, no pueden capturar de una forma integral toda la complejidad y riqueza del software actual. Muchas aplicaciones descargan cómputo a la nube (lo que impide el acceso a la lógica y los archivos binarios del software), además de una creciente integración con el entorno físico, el uso de nuevas tecnologías de interacción humana basada en la voz, la integración de componentes de terceros como SDKs para facilitar el desarrollo y monetizar software, o el uso de técnicas anti-monitoreo. Estas características hacen que las técnicas actuales de análisis estático y dinámico sean insuficientes.

En esta propuesta, solicito fondos para apoyar la preparación de una propuesta ERC competitiva para abordar las limitaciones de las técnicas de análisis de software existentes. En este proyecto, mi objetivo es cerrar la brecha existente entre las comunidades de investigación, técnicas y políticas para tratar los problemas de privacidad y seguridad en línea emergentes y futuros de manera más efectiva. Primero, buscaré sistematizar el conocimiento de las técnicas actuales de análisis de software, identificando sus limitaciones y fortalezas. Luego, incorporaré las perspectivas de
ingeniería de privacidad, políticas, regulación y protección del consumidor en nuevos métodos de análisis de software para definir los principios de las herramientas de próxima generación.

Este proyecto contribuirá a cerrar la brecha entre las comunidades de investigación técnicas y políticas al incorporar sus perspectivas y metodologías complementarias en un marco de investigación unificador. Mi ambición es establecer las bases para futuros estudios de privacidad reproducibles e interdisciplinarios mediante el diseño, desarrollo y validación de nuevas metodologías de análisis de software.

El proyecto EIN2020-112344 ha sido financiado por el Ministerio de Ciencia e Innovación (MCIN/AEI/10.13039/501100011033) y por la Unión Europea “NextGenerationEU”/PRTR en la Convocatoria de Ayudas Europa Investigación 2020.