Sobre privacidad en aplicaciones móviles y cómo hay quien no la está respetando

Los descubrimientos de aplicaciones que, literalmente, se quedaban con nuestros datos sin pedir permiso al usuario ni notificarle han proliferado demasiado rápido. Concretamente con nuestra agenda de contactos. Una vez descubiertos, por supuesto, los desarrolladores han comenzado a recular y publicar sendas actualizaciones modificando este comportamiento. Tal fue el caso de Path y Hipster.

Pero se da la circunstancia de que se han descubierto muchas más aplicaciones que tienen la misma manía de enviarse una copia de nuestra agenda telefónica para encontrar a nuestros contactos en esa red social. Y, desde mi punto de vista, prácticamente ninguna de ellas se ha comportado bien en relación a este asunto.

Un vistazo a…
Cómo mejorar la SEGURIDAD EN INTERNET: VPN, DNS y páginas con HTTPS

Los actores: ¿quién envía una copia de nuestros datos a sus servidores?

Algunos de los nombres son notorios: desde Twitter hasta Facebook, pasando por Foursquare, Instagram. Algunas se portaban un tanto mejor y enviaban datos cifrados (Instapaper). Algunas se portaban un poco mejor y avisaban cuando accedían a los datos. Algunas, como Foodspotting, ni avisan ni se molestan en cifrar los datos o en usar HTTPS. Aunque debo reconocer que el caso de Twitter es especialmente notorio, dado que la información permanece en los servidores de Twitter durante año y medio.

Debo decir a favor de todas estas empresas que sí, que la característica para encontrar a nuestros amigos en las distintas redes sociales sí que requiere de una serie de datos enviados a los servidores para hacer consultas. Aunque quizá no tantos y tan detallados como los que envían algunas aplicaciones.

El verdadero detalle que debemos tener en cuenta, para mí, no es el hecho de que lo hicieran. El punto más bien es que llevan haciéndolo desde siempre y no se han decidido a hacer estos cambios hasta que ha saltado la rana. “Huy, nos habéis pillado, lo sentimos. Ahora avisaremos cuando cojamos una copia de vuestra agenda telefónica“.

Para mí ese es el verdadero detalle que debemos tener en cuenta y que es el que a mí me preocupa es que si sabemos de estos casos porque han sido descubiertos. A saber la de violaciones de nuestra privacidad que sufrimos día tras día, sobre las que no tenemos conocimiento alguno. Pero no es momento de volverse paranoicos.

¿Debemos preocuparnos por estos hechos? ¿Quién es el responsable?

Sinceramente creo que no es razón para volvernos paranoicos cuando utilicemos nuestros smartphones. Es razón, únicamente, para dar un toque a quien corresponda pidiendo algo más de privacidad. Parece contradictorio cuando estamos hablando de redes sociales, pero hay una sutil diferencia: si yo soy usuario de, por ejemplo, Facebook, es porque estoy dispuesto a exponer una parte de mí, lo cual no implica automáticamente que esté dispuesto a enviar datos de mis contactos.

Es responsabilidad de los desarrolladores no caer en este tipo de prácticas (y no hablo de enviar datos a sus servidores, sino de hacerlo sin avisar y en ocasiones no de la manera más adecuada). No enviar datos que puedan identificar a los usuarios (y una técnica de hashing ayudaría mucho en este caso), y no enviar más datos de los estrictamente necesarios. Y por supuesto nada de almacenarlos en sus servidores, y utilizando siempre transmisiones seguras. Nunca se sabe quién puede estar escuchando en algún punto del camino o quién puede llamar a puertas que no debe.

Incluso el Congreso de los Estados Unidos ha tomado cartas en el asunto, aunque quizá ha tocado la puerta equivocada, enviando una carta a Apple pidiendo explicaciones. No obstante ha acabado siendo efectivo el aviso: Apple ya planea lanzar una actualización de iOS que haga que el acceso a los datos de la agenda sea explícito y aceptado por el usuario (no valdrá con darle esos permisos a una aplicación), y debe contestar una serie de preguntas antes del próximo 29 (entre ellas si consideran a la libreta de direcciones como datos acerca de un usuario).

No considero en ningún caso que sea responsabilidad de la tienda porque para mí la tienda es un mero intermediario y no tiene por qué saber lo que hace la aplicación en detalle. Y quien sí debería tomar cartas en el asunto sería la agencia reguladora de turno (en el caso de España, la AEPD), dando un marco y una normativa que buscara, ante todo, proteger la privacidad de los usuarios. Es su misión al fin y al cabo, ¿no?

Más información | The Next Web | VentureBeat
En Genbeta | Path y la polémica con su uso de la agenda de contactos del móvil | Hipster, otra red social obligada a disculparse por una polémica sobre la privacidad
Imagen | Boobooo

Portada de Genbeta