Por Guilherme Damasio Goulart e Vinícius da Silveira Serafim | #Boletín15

Muchas aplicaciones que se utilizan en la actualidad, desde aquellas con funciones más simples hasta las más complejas, forman parte de un intrincado ecosistema de recolección de datos. Aunque esto sea invisible a los ojos de los usuarios, ese ecosistema abarca cientos[1] de empresas que recogen, procesan y venden datos personales. En tal sentido, es posible distinguir dos modos principales de recolección de datos en las aplicaciones móviles: la primera tiene que ver con los datos recogidos por la propia aplicación, como las fotos, textos y metadatos que la aplicación de Facebook recoge de los usuarios para el uso de la propia plataforma (o los datos que cualquier aplicación recoge para su propio funcionamiento); la segunda, en cambio, tiene que ver con las actividades de recolección de datos realizadas por terceros, o sea, empresas diferentes de la empresa que ofrece la aplicación. Esta última modalidad es conocida como third party tracking. Esas empresas ofrecen sus SDK[2] para realizar la integración de sus servicios con las aplicaciones desarrolladas por sus clientes.

También existen los llamados “tracking brokers”, o sea, empresas que intermedian la relación entre los desarrolladores de las aplicaciones y los servicios de tracking. Estas empresas funcionan como intermediarios entre la aplicación y las empresas de tracking. En esos casos, el desarrollador de la aplicación incluye solo la integración con el broker y este, por su parte, hace la integración con decenas de trackers. Este sería un cuarto agente en la dinámica de la publicidad móvil.

El third party tracking no es una actividad realizada exclusivamente en el ambiente móvil. Al contrario, se trata de algo bien conocido también en los desktops. Es un ecosistema con varias puertas de entrada. A pesar de que este artículo se enfoca en el ambiente móvil, no es inusual, dependiendo del caso concreto, que se muestren propagandas en el smartphone en función de los datos recogidos en el desktop, y viceversa.

Hay una serie de técnicas que involucran el tracking, ya sea mediante el uso de cookies, tracking pixels, tracking en flash, etc. Dos ejemplos de esa dinámica son:

• la aplicación realiza el download, normalmente a través de HTTP/HTTPS (en algunos casos, sin la validación de certificados), de una imagen (gif o png) que contiene un único píxel transparente. Típicamente, al hacer el pedido para la obtención de la imagen, la aplicación envía al servidor del tracker un identificador exclusivo que permite el rastreo del aparato móvil en cuestión;
• la aplicación recoge las más variadas informaciones sobre el aparato móvil (p.ej.: carga de la batería, horarios en que se enciende y apaga el aparato, modelo del aparato, tamaño de la pantalla, etc.). Algunas aplicaciones recogen incluso el IMEI (identificador único de un dispositivo móvil en el mundo) y el número de teléfono. Entonces, ese conjunto de datos se envía a través de HTTP/HTTPS al servidor del tracker.

El incentivo para estas actividades, como no podría ser de otra manera, es comercial. Hace mucho tiempo que internet se transformó en un gran mostrador de negocios para la venta de publicidad. La idea es reunir el máximo de información posible sobre los hábitos de los usuarios y componer un perfil para ofrecer la llamada “publicidad comportamental”. Los sitios web y las aplicaciones que deciden formar parte del ecosistema de tracking deben, antes que nada, vincular sus ambientes a las empresas que realizan dichas actividades. Una vez que se realiza esta vinculación, las empresas de tracking comienzan a recibir los datos de los visitantes del sitio web o la aplicación. Se habla de un ecosistema ya que la empresa de tracking, al reunir datos de varias aplicaciones o sistema distintos, y consecuentemente de sus usuarios, logra realizar cruces e inferencias orientadas a lograr un público cada vez más personalizado. Así, si dos empresas diferentes (la empresa A y la empresa B) están vinculadas, por ejemplo, a DoubleClick, y un usuario accede al sitio web o la aplicación de la empresa A y después al de la empresa B, DoubleClick se enterará de ese movimiento. El uso de esa información recolectada en diferentes sitios web y/o plataformas para alcanzar nuevamente al usuario con propaganda en otros medios es conocido como retargeting.

En las aplicaciones móviles gratuitas ya se espera que haya algún tipo de publicidad, muchas veces viabilizada por la propia plataforma móvil. IOS y Android, por ejemplo, proporcionan API para la monetización de las aplicaciones con el uso de publicidad (los AD de las plataformas). Sin embargo, la recolección de información con el objetivo de crear perfiles para el envío de propaganda está muy lejos de limitarse a los AD de las plataformas y, menos todavía, a las aplicaciones gratuitas. Diversas aplicaciones de tiendas, librerías, bancos, etc. usan servicios de tracking suministrados por terceros.

En los dispositivos móviles, sin embargo, la situación es un poco más delicada que en el tracking que se realiza en ambientes desktop. Es que en esos dispositivos se recolecta información más delicada. Como las personas llevan sus smartphones a todas partes y los aparatos también tienen GPS, se abre un flanco para que las aplicaciones puedan recoger esa información y utilizarla para fines no siempre previsibles. Un ejemplo llamativo se produjo con Uber. La empresa anunció que recogería datos de geolocalización hasta 5 minutos después de que el usuario hubiera llegado a destino. Se destaca que dicho comportamiento de la aplicación no puede ser controlado por el usuario. La justificación dada por la empresa es que los datos se recogen para “proporcionar mejores partidas y arribos”. Ese tipo de justificativa amplia y genérica es muy común en aplicaciones de plataformas móviles. En este punto, existe una potencial violación de algunos principios bien conocidos de protección de datos, entre ellos: el principio de la finalidad y la adecuación, por el cual los datos solo pueden tratarse para finalidades específicas, que deben ser adecuadas al contexto en el cual se recogieron; y también el principio de la necesidad, o sea, que los datos recogidos deben limitarse al mínimo necesario para la finalidad propuesta.

Además, en los dispositivos móviles hay una disminución de las posibilidades de control y bloqueo, en comparación con las desktops. Las versiones más antiguas de Android, por ejemplo, no permiten un control por parte del usuario del acceso detallado a las aplicaciones. Por lo tanto, cuando el usuario instala una aplicación que pide muchos permisos, no puede bloquear aquellos que no desea otorgar. Acerca del IMEI,[3] mencionando anteriormente, es necesario destacar que se trata de un dato persistente, es decir, que no se altera. O sea, aunque el aparato sea formateado y el usuario cree una nueva cuenta de acceso, o incluso le venda el aparato a otra persona, todavía será posible identificar que determinadas actividades partieron de ese aparato en particular. Incluso es posible establecer relaciones cruzadas entre las aplicaciones, o sea, sería posible conocer todas las aplicaciones que se usan en el aparato cuando más de una aplicación recoge el IMEI y lo envía a los trackers.[4]

Además, es posible afirmar que existe un problema de transparencia en estas actividades. Eso se debe a que el usuario, en la gran mayoría de las oportunidades, no nota las actividades de tracking ni tiene medios técnicos para hacerlo. Hay una falla evidente en el deber de informar, que debe cumplirse incluso al utilizar aplicaciones aparentemente “gratuitas”. A pesar de que el Marco Civil de Internet brasileño disponga que es un deber proporcionar información calificada, así como también sobre la necesidad de un “consentimiento libre, expreso e informado” para el suministro de datos personales a terceros, se verifica que dicha información no siempre se ofrece y que, además, los usuarios no leen (o no comprenden) las políticas de uso y de privacidad relacionadas con la actividad. No es necesario un estudio para ello, basta observar el uso que cada uno hace de su smartphone.

Hace algún tiempo, cuando los celulares dejaron de ser simples aparatos telefónicos y pasaron a ser computadoras, superamos la distopía de George Orwell, en 1984, en lo que respecta a la recolección de datos (monitoreo) de los ciudadanos. Sin duda, existe un potencial todavía no explorado presente en este escenario en el que las personas adquieren, mantienen y transportan en todo momento, ellas mismas, un recolector de datos en forma de dispositivo móvil. Es necesario dar una mayor transparencia a estas prácticas y empoderar al usuario para que ejerza más control sobre qué datos proporciona. Para eso, se debe eliminar la opacidad de esas prácticas. En Brasil, esa solución también sería viable mediante la creación de una ley general de protección de datos personales y de una autoridad de control. Con eso, se daría un paso en dirección a un mejor control de las prácticas de tracking y de publicidad comportamental.

[1]Es posible verificar este resultado en un amplio estudio llamado The ICSI Haystack Panopticon. Se trata de un mapa interactivo que enumera una serie de trackers usados en varias de las aplicaciones más utilizadas. https://www.haystack.mobi/panopticon/

[2]SDK es el acrónimo de Software Development Kit. Se trata de recursos ofrecidos por un desarrollador de software para facilitar la integración con una solución.

[3]Cf. HAN, Seungyeop; JUNG, Jaeyeon; WETHERALL, David. A study of Third-Party Tracking by Mobile Apps in the Wild. University of Washington Technical Report UW-CSE-12-03-01. Disponible en: <http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.225.2284&rep=rep1&type=pdf>. Además, el estudio indica que se recogen datos como ID de sistema, ID de dispositivo (que incluye el IMEI) e ID de la tarjeta SIM. En uno de los casos, los investigadores observaron que una aplicación recogió más de 600 coordenadas de GPS en tres semanas (lo que significa aproximadamente 28 por día).

[4]Ibidem.

Guilherme Damasio Goulart (guilherme at direitodatecnologia.com) tiene un máster y es doctorando en derecho de la Universidad Federal de Rio Grande do Sul y es socio/consultor de BrownPipe Consultoria em Segurança da Informação e Proteção de Dados.

Vinícius da Silveira Serafim vinicius at serafim.eti.br tiene un máster en computación de la Universidad Federal de Rio Grande do Sul y es socio/consultor de BrownPipe Consultoria em Segurança da Informação e Proteção de Dados.