Un experto en ciberseguridad analiza la polémica aplicación de LaLiga y su 'espionaje': "Faltan a la verdad sobre lo que hace"

Si el domingo conocimos que la aplicación de LaLiga usa el micrófono y la ubicación de los teléfonos de sus usuarios para detectar bares que ponen fútbol sin licencia, horas más tarde la Liga de Fútbol Profesional lo reconocía y la Agencia Española de Protección de Datos anunciaba el inicio de una investigación. Ahora, el análisis técnico de un experto en ciberseguridad asegura que LaLiga faltó a la verdad en su comunicado sobre lo que hace su aplicación.

David Castro, conocido como SadFud, publicó ayer un análisis de la app futbolística con unas conclusiones contundentes: "Después de analizar la aplicación y ver cómo LaLiga por el motivo que sea, falta a la verdad sobre lo que hace su aplicación, me queda la duda del por qué".

"Por el motivo que sea, falta a la verdad sobre lo que hace su aplicación"

Según su opinión, "ahorraría muchos malentendidos explicar claramente a los usuarios qué se graba, para qué y a quién se le dan los datos". Su análisis, de ser correcto, dejaría en evidencia a la Liga de Fútbol Profesional respecto a lo que aseguró el lunes en su nota informativa publicada en su página web.

Castro explica a Genbeta que nadie se ha puesto en contacto con él, ni desde LaLiga o la empresa que menciona en su análisis, ni tampoco él con ellos.

Un vistazo a…
Cómo mejorar la SEGURIDAD EN INTERNET: VPN, DNS y páginas con HTTPS

Envío de datos a terceros, geolocalización cada 30 minutos...

Las contradicciones del comunicado de LaLiga con lo que hace la aplicación, según este análisis, son diversos. En primer lugar, la fecha en la que se habilitó el uso del micrófono y la geolocalización de los dispositivos. Según el organismo deportivo, la funcionalidad para escuchar retransmisiones de fútbol en establecimientos públicos se puso en marcha el 8 de junio de 2018.

Sin embargo, el experto asegura que desde la versión 6.4.0 publicada el 21 de febrero de este año la aplicación contaba con la capacidad de recopilar dicha información. "Puede que se implementase en una versión anterior, es cuestión de mirarlo, pero con este ejemplo es suficiente para desmontar esa parte del comunicado. A no ser que la 'funcionalidad' a la que se refieran sea la de pedir permiso y no a la de 'espiar usuarios'", explica.

La aplicación tendría la capacidad de grabar y geolocalizar desde el 21 de febrero, según el experto, y no desde el 8 de junio como aseguró LaLiga en su comunicado

En un tuit, también aseguró que la versión 6.4.5 publicada el 7 de junio de 2018 ya enviaba los datos recopilados del micrófono y de la ubicación, pero el usuario no era informado en la nota legal como sí lo fue en la versión 6.4.7.

Más llamativa es la frecuencia con la que la aplicación recopila la localización según SadFud. Mientras que LaLiga asegura que "sólo activará el micrófono y geoposicionamiento del dispositivo móvil durante las franjas horarias de partidos", el especialista indica que la geolocalización se recopila cada 30 minutos y se envía a una empresa llamada Fluzo, "que hace uso de las funcionalidades polémicas" según él, si ha recibido una respuesta positiva del servidor.

En relación a las escuchas, dice que "salta a la vista la burrada de decir que el micrófono no graba fragmentos de audio". Asegura que "es contradictorio decir que se analiza la grabación [...] y en la línea siguiente [del comunicado se diga] que nunca se accederá al contenido". Lo que Castro no ha conseguido saber es cada cuánto tiempo se usa el micrófono para grabar.

Castro no ha conseguido saber cada cuánto tiempo se usa el micrófono para grabar, pero sí que esas grabaciones se envían a un tercero, extremo no confirmado por LaLiga

El especialista también cuestiona el no acceso de LaLiga a los fragmentos de audio captados. "Aquí ya el comunicado pierde toda la credibilidad que pudiera tener", asegura. Esa afirmación contenida en la nota informativa, en la que también se dice que lo grabado se convierte "de forma automática en un código binario en el propio dispositivo", no la cree. "¿Lo que nos intentan decir es que están generando un hash progresivo con su aplicación después de grabar el audio y en el propio terminal? O dicho de otra manera, ¿se refieren a que su aplicación hace lo que Shazam (valorada en 400 millones de euros)?", escribe.

Según él, "envían la grabación a otro servicio para identificarla", aunque LaLiga sostenga que todo se lleva a cabo de forma local. La empresa que recibiría esta información sería Fluzo, como señalábamos antes citando al experto. "Si buscamos referencias a esa URL fluzo.com ya empezamos a ver que donde hay geolocalización o grabación del micrófono, acaban apareciendo de una u otra manera endpoints", dice. David Castro considera que quien escribió el comunicado no conocía el funcionamiento real de la aplicación, según nos cuenta.

Desde Genbeta también nos hemos puesto en contacto con LaLiga y con Fluzo para recabar su postura respecto a este análisis y sus conclusiones pero, por el momento, no hemos recibido respuesta alguna. Actualizaremos con cualquier novedad al respecto de este asunto.

En Genbeta | Sabemos y aceptamos que tienen nuestros datos, ¿por qué no nos dicen toda la verdad?

Ver todos los comentarios en https://www.genbeta.com

VER 0 Comentario

Portada de Genbeta