«La privacidad no debería ser un lujo». Es la frase que usan los defensores quieren que Google haga más por la privacidad de teléfonos baratos.
Si posees un teléfono, particularmente uno que ejecuta el sistema operativo Android de Google, sin duda habrá notado que viene con un montón de aplicaciones preinstaladas que no puede eliminar. Algunos de estos son necesarios para que el dispositivo funcione; otros no lo son, y es posible que no los desee, pero de todos modos se quedará con ellos. Estos se conocen como bloatware. A veces no solo son molestos: pueden comprometer su privacidad al rastrear sus actividades, incluso, en un caso famoso, al registrar sus pulsaciones de teclas y mensajes de texto. También son una fuente potencial de virus y malware que comprometen la privacidad de teléfonos baratos.
Es por eso que un grupo de más de 50 defensores de la privacidad y los derechos humanos envió recientemente una carta abierta al CEO de Alphabet, Sundar Pichai. ¿La razón? Exigen que haga más para defender a los usuarios de Android de aplicaciones preinstaladas maliciosas o defectuosas.
El fabricante, el proveedor y el operador de telefonía móvil de tu teléfono deciden qué aplicaciones vienen preinstaladas. Es por eso que el bloatware malicioso es menos problemático para los iPhone: porque solo Apple controla lo que viene preinstalado en sus dispositivos. Android es todo lo contrario. ¿Por qué? Porque es una plataforma de código abierto que está disponible para fabricantes y vendedores de teléfonos en todo el mundo. ¿Cómo cuáles? Como compañías masivas como Samsung hasta marcas menos conocidas como Wileyfox y Amgoo.
Y así es como el bloatware puede salirse de control
Algunas de estas compañías tienen buena reputación y examinan cuidadosamente la seguridad de tu teléfono y aplicaciones preinstaladas. Por su parte, otras pueden, intencionalmente o no, preinstalar malware en tu móvil.
Este malware puede tomar varias formas. ¿Cómo cuáles? Como las puertas traseras, que le dan a un usuario remoto acceso y control sobre un dispositivo, y hacen clic en aplicaciones de fraude, que obligan a un teléfono a ir a un sitio web con anuncios de pago por clic. De esta manera, crea vistas falsas que el el sitio web es pagado por la compañía publicitaria. Debido a que la aplicación se ejecuta en segundo plano, el propietario de un teléfono generalmente no tiene idea de que irá a todos estos sitios web; y usará sus datos hasta que llegue la factura sorpresa.
Las vulnerabilidades y exploits de aplicaciones preinstaladas son un problema conocido. El propio informe de seguridad de Google de 2018 señaló que los malos actores han utilizado cada vez más aplicaciones preinstaladas para infectar teléfonos. Esto se debe a que estas aplicaciones pueden acceder a partes de los teléfonos sin necesitar el permiso del usuario para realizar funciones. ¿Cómo cuáles? Como es el caso de las aplicaciones que se instalan a través de la tienda de aplicaciones. Estas son mucho más difíciles (si no imposibles) de eliminar por completo de un móvil.
¿La privacidad de teléfonos baratos es una garantía de Google?
Si bien los iPhones no están libres de malware, son más seguros que los teléfono Android. También son más caros que algunos teléfonos Android. Los nuevos iPhones van desde $ 449 (iPhone 8, lanzado en septiembre de 2017) a $ 1,449 (un iPhone 11 Pro completamente cargado, que es el modelo más nuevo de Apple), con descuentos para permutas. Verizon Wireless, por otro lado, ofrece teléfonos Android por tan solo $ 99 para un Alcatel Avalon V, con un crédito de $ 99 que hace que el teléfono sea esencialmente gratuito.
Esto significa que las personas de bajos ingresos tienen más probabilidades de tener teléfonos Android. Por ejemplo, India, considerada por el Banco Mundial como «ingreso medio bajo» (ingreso anual per cápita entre $ 996 y $ 3,895), es el mercado más grande de Android. Por su parte, solo 1 a 2 por ciento de los teléfonos de la India funcionan con iOS de Apple.
La desventaja de los teléfonos de menor precio es que sus fabricantes a veces hacen recortes para producir un teléfono más barato. En el mejor de los casos, solo pueden mantener los precios bajos a través de acuerdos con fabricantes de aplicaciones para preinstalar sus productos en tu móvil en primer lugar. Eso significa que las personas de bajos ingresos, tanto en los EE.UU. como en el resto del mundo, están más expuestas a violaciones de privacidad que las personas más ricas que pueden pagar teléfonos más caros y más seguros.
Privacy International se toma en serio la privacidad de los móviles
«Cuando se trata de dispositivos de bajo costo, vemos bastantes prácticas de seguridad deficientes», dijo Christopher Weatherhead, líder de tecnología de Privacy International, a Recode. «Creemos que la privacidad no debería ser un lujo que solo aquellos que pueden pagar los dispositivos más caros (como los iPhones) pueden lograr».
Para un miembro de Privacy International, esta experiencia es personal. En 2018, viajaban por Filipinas cuando compraron un teléfono myA2 de la marca MyPhone con sistema operativo Android. (Privacy International dijo que el teléfono cuesta $ 19; actualmente se vende por alrededor de $ 30). MyPhone, un proveedor de teléfonos filipino, figura como socio certificado de Android Play Protect. Esto significa que sus dispositivos deben cumplir con los estándares de seguridad de Android. Además, deben ofrecer a los consumidores cierto nivel de protección y vigilancia. Sin embargo, el teléfono venía con aplicaciones problemáticas específicas de MyPhone preinstaladas, incluida una llamada MyPhoneRegistration.
MyPhoneRegistration permite que el propietario de un teléfono registre tu teléfono. Sin embargo, cuando Privacy International obtuvo el teléfono, el servidor que debía recibir esa información ya no estaba funcionando. Sin nada con lo que conectarse, el teléfono estaba atrapado en un bucle sin fin. Enviaba información personal confidencial cada cinco minutos en una búsqueda inútil para cumplir la misión de la aplicación. No había forma de actualizar la aplicación para detenerla o eliminarla por completo del teléfono. Y debido a que MyPhone no cifró los datos, que incluían el nombre, la edad, el sexo y la ubicación del propietario, que envió repetidamente, Weatherhead dice: «cualquier persona en la misma red puede leer esa información (en cafeterías o aeropuertos de forma gratuita Wifi).»
MyPhone informó que sus teléfonos myA2 anteriores a 2018 ya no podían acceder o actualizar aplicaciones preinstaladas. Esto significa que la vulnerabilidad de la privacidad de teléfonos baratos permanece sin reparar. Sin embargo, añadió que «seguimos comprometidos a proporcionar una plataforma segura a nuestros teléfonos nuevos y futuros. Con esto esperamos cumplir con los últimos requisitos de Google para la privacidad de teléfonos baratos». La compañía agregó que ahora tiene una política de privacidad.
Este problema no se limita a las naciones en desarrollo
El día antes de que se publicara la carta abierta la semana pasada, la compañía de seguridad de Internet Malwarebytes reveló que encontró dos tipos de malware preinstalados en los teléfonos Assurance Wireless. Estos se entregan a los estadounidenses de bajos ingresos como parte del programa Lifeline Assistance de la Comisión Federal de Comunicaciones.
La carta de Privacy International le pide a Google que realice tres cambios en la forma en que las aplicaciones preinstaladas se administran y ejecutan en teléfonos certificados Play Protect:
- Permitir a los usuarios desinstalar aplicaciones.
- Mantenerlos en el mismo escrutinio que las aplicaciones disponibles en Google Play Store.
- Que las aplicaciones preinstaladas tengan un mecanismo de actualización.
¿Qué dice Google al respecto?
Por su parte, Google dijo que ha intensificado sus medidas de seguridad en los últimos años, incluido el trabajo con fabricantes de teléfonos. ¿Para qué? Para escanear aplicaciones preinstaladas en busca de software dañino antes de que salgan al mercado. Además, Google considera que las aplicaciones preinstaladas son «similares» estándares «como aplicaciones de Google Play Store.
La Unión Americana de Libertades Civiles, Amnistía Internacional, el Centro para la Democracia Digital y la Fundación Electronic Frontier, entre otros 50, firmaron la carta abierta de Privacy International.
:)«Google domina el mercado de sistemas operativos de teléfonos móviles con su sistema Android», dijo Jeffrey Chester, director ejecutivo del Centro para la Democracia Digital. «Esta llamada organizada por PI y respaldada por grupos líderes para que Google actúe de manera responsable cuando se trata de la privacidad de la aplicación. Es una llamada de atención muy necesaria para esa compañía».