Un nuevo estudio revela que miles de aplicaciones de Android recopilan
datos de ubicación de forma encubierta mediante balizas Bluetooth y WiFi, lo que permite el seguimiento continuo y la elaboración de perfiles de los
usuarios sin consentimiento explícito.
Los investigadores descubrieron que el 86% de las aplicaciones analizadas
recopilan datos confidenciales, como identificadores de dispositivos,
coordenadas GPS y resultados de escaneos WiFi, a menudo eludiendo los
controles de privacidad de Android.
Las herramientas de seguimiento ocultas que se encuentran en estas
aplicaciones se presentan en forma de Kits de Desarrollo de Software (SDK). Un
SDK es un conjunto de código prediseñado que los desarrolladores de
aplicaciones utilizan para añadir funciones sin tener que crear todo desde
cero.
Sin embargo, muchos SDK también incluyen funciones de recopilación de datos
que rastrean el comportamiento de los usuarios. Incluso si el desarrollador de
la aplicación no te está espiando intencionalmente, los SDK que integran
pueden estar recopilando silenciosamente tus datos y enviándolos a empresas de
terceros, a veces incluso vendiéndolos a anunciantes, profesionales del
marketing o intermediarios de datos.
Cómo los SDK inalámbricos explotan el modelo de permisos de Android
Este estudio, realizado por investigadores de IMDEA Networks, la Universidad
Carlos III de Madrid y la Universidad de Calgary, analizó sistemáticamente 52
SDK de escaneo inalámbrico en 9.976 aplicaciones Android.
A pesar de las mejoras de privacidad de Android que restringen el acceso
directo al GPS, las aplicaciones aún infieren la ubicación de los usuarios
mediante el escaneo de puntos de acceso WiFi y balizas BLE, que están
vinculadas a ubicaciones físicas como centros comerciales, aeropuertos y
tiendas. El estudio descubrió que muchos SDK utilizan puentes de ID (ID Bridging), una
técnica en la que se vinculan identificadores persistentes y reiniciables,
como los ID de publicidad de Android (AAID) y las direcciones MAC de WiFi.
Esto permite el seguimiento de usuarios a largo plazo, incluso después de que
intenten restablecer su configuración de privacidad.
Resultados clave
- Se analizaron 9.976 aplicaciones con SDK de escaneo inalámbrico, que abarcan 55.000 millones de instalaciones.
-
El 86% de las aplicaciones recopilaron al menos un tipo de dato sensible,
incluyendo resultados de escaneo de GPS, WiFi y BLE. El 19% de los SDK
utilizaban puentes de identidad, lo que infringía las expectativas de
privacidad y, potencialmente, las políticas de Google Play. -
El intercambio de datos entre SDK era frecuente: 28 SDK facilitaban el
intercambio de datos entre aplicaciones, lo que aumentaba los riesgos de
rastreo. -
Algunos SDK explotaban vulnerabilidades de Android en dispositivos sin parches
para eludir las restricciones de permisos de Bluetooth y Wi-Fi.
De los SDK estudiados, AltBeacon, Kochava, Salesforce Marketing Cloud y Adobe
Experience Platform se encontraban entre las herramientas de rastreo
integradas más comunes. Estos SDK no solo recopilan datos de geolocalización,
sino que también se integran con otras plataformas de publicidad y análisis,
lo que amplía la escala de agregación de datos.
Un mercado de «ubicación oculta»
El estudio subraya cómo esta recopilación encubierta de datos impulsa un
ecosistema de rastreo de ubicación más amplio y sin regulación. Se ha
descubierto que empresas especializadas en publicidad, detección de fraude e
incluso vigilancia gubernamental compran datos de ubicación obtenidos de
aplicaciones móviles. Informes anteriores han revelado que empresas como Venntel y X-Mode (ahora Outlogic) vendieron datos de ubicación sensibles a las
fuerzas del orden, lo que plantea preocupaciones constitucionales y éticas.
Este tipo de rastreo pasivo plantea riesgos significativos para la privacidad
del usuario, ya que permite la creación de perfiles de movilidad detallados
que podrían revelar ubicaciones de trabajo y hogar, visitas religiosas, citas
médicas y afiliaciones políticas. Los investigadores también citaron casos de
uso indebido de datos de ubicación para rastrear a personas en lugares
sensibles como clínicas de aborto e instalaciones militares.
Dada la creciente prevalencia del rastreo de ubicación encubierto, los
usuarios preocupados por la privacidad deben tomar las siguientes medidas:
- Limitar los permisos de escaneo de Bluetooth y WiFi desactivándolos cuando no
los utilice. -
Utilizar ROM de Android centradas en la privacidad o administradores de
permisos personalizados como XPrivacyLua. Revisar los permisos de las
aplicaciones con regularidad y denegar el acceso a la ubicación a las
aplicaciones que no lo necesiten. -
Usar herramientas de bloqueo de rastreadores, como NetGuard o TrackerControl,
para supervisar el tráfico de red de las aplicaciones. - Desactivar el seguimiento de anuncios restableciendo tu ID de publicidad de Android con frecuencia.
-
Usar la menor cantidad de aplicaciones necesarias y evitar instalar herramientas
innecesarias.