Un nuevo estudio revela que miles de aplicaciones de Android recopilan datos de ubicación de forma encubierta mediante balizas Bluetooth y WiFi, lo que permite el seguimiento continuo y la elaboración de perfiles de los usuarios sin consentimiento explícito.
Los investigadores descubrieron que el 86% de las aplicaciones analizadas recopilan datos confidenciales, como identificadores de dispositivos, coordenadas GPS y resultados de escaneos WiFi, a menudo eludiendo los controles de privacidad de Android.
Las herramientas de seguimiento ocultas que se encuentran en estas aplicaciones se presentan en forma de Kits de Desarrollo de Software (SDK). Un SDK es un conjunto de código prediseñado que los desarrolladores de aplicaciones utilizan para añadir funciones sin tener que crear todo desde cero.
Sin embargo, muchos SDK también incluyen funciones de recopilación de datos que rastrean el comportamiento de los usuarios. Incluso si el desarrollador de la aplicación no te está espiando intencionalmente, los SDK que integran pueden estar recopilando silenciosamente tus datos y enviándolos a empresas de terceros, a veces incluso vendiéndolos a anunciantes, profesionales del marketing o intermediarios de datos.
Cómo los SDK inalámbricos explotan el modelo de permisos de Android
Este estudio, realizado por investigadores de IMDEA Networks, la Universidad Carlos III de Madrid y la Universidad de Calgary, analizó sistemáticamente 52 SDK de escaneo inalámbrico en 9.976 aplicaciones Android.
A pesar de las mejoras de privacidad de Android que restringen el acceso directo al GPS, las aplicaciones aún infieren la ubicación de los usuarios mediante el escaneo de puntos de acceso WiFi y balizas BLE, que están vinculadas a ubicaciones físicas como centros comerciales, aeropuertos y tiendas. El estudio descubrió que muchos SDK utilizan puentes de ID (ID Bridging), una técnica en la que se vinculan identificadores persistentes y reiniciables, como los ID de publicidad de Android (AAID) y las direcciones MAC de WiFi. Esto permite el seguimiento de usuarios a largo plazo, incluso después de que intenten restablecer su configuración de privacidad.
Resultados clave
- Se analizaron 9.976 aplicaciones con SDK de escaneo inalámbrico, que abarcan 55.000 millones de instalaciones.
- El 86% de las aplicaciones recopilaron al menos un tipo de dato sensible, incluyendo resultados de escaneo de GPS, WiFi y BLE. El 19% de los SDK utilizaban puentes de identidad, lo que infringía las expectativas de privacidad y, potencialmente, las políticas de Google Play.
- El intercambio de datos entre SDK era frecuente: 28 SDK facilitaban el intercambio de datos entre aplicaciones, lo que aumentaba los riesgos de rastreo.
- Algunos SDK explotaban vulnerabilidades de Android en dispositivos sin parches para eludir las restricciones de permisos de Bluetooth y Wi-Fi.
De los SDK estudiados, AltBeacon, Kochava, Salesforce Marketing Cloud y Adobe Experience Platform se encontraban entre las herramientas de rastreo integradas más comunes. Estos SDK no solo recopilan datos de geolocalización, sino que también se integran con otras plataformas de publicidad y análisis, lo que amplía la escala de agregación de datos.
Un mercado de "ubicación oculta"
El estudio subraya cómo esta recopilación encubierta de datos impulsa un ecosistema de rastreo de ubicación más amplio y sin regulación. Se ha descubierto que empresas especializadas en publicidad, detección de fraude e incluso vigilancia gubernamental compran datos de ubicación obtenidos de aplicaciones móviles. Informes anteriores han revelado que empresas como Venntel y X-Mode (ahora Outlogic) vendieron datos de ubicación sensibles a las fuerzas del orden, lo que plantea preocupaciones constitucionales y éticas.
Este tipo de rastreo pasivo plantea riesgos significativos para la privacidad del usuario, ya que permite la creación de perfiles de movilidad detallados que podrían revelar ubicaciones de trabajo y hogar, visitas religiosas, citas médicas y afiliaciones políticas. Los investigadores también citaron casos de uso indebido de datos de ubicación para rastrear a personas en lugares sensibles como clínicas de aborto e instalaciones militares.
Dada la creciente prevalencia del rastreo de ubicación encubierto, los usuarios preocupados por la privacidad deben tomar las siguientes medidas:
- Limitar los permisos de escaneo de Bluetooth y WiFi desactivándolos cuando no los utilice.
- Utilizar ROM de Android centradas en la privacidad o administradores de permisos personalizados como XPrivacyLua. Revisar los permisos de las aplicaciones con regularidad y denegar el acceso a la ubicación a las aplicaciones que no lo necesiten.
- Usar herramientas de bloqueo de rastreadores, como NetGuard o TrackerControl, para supervisar el tráfico de red de las aplicaciones.
- Desactivar el seguimiento de anuncios restableciendo tu ID de publicidad de Android con frecuencia.
- Usar la menor cantidad de aplicaciones necesarias y evitar instalar herramientas innecesarias.