El examen de apps (y IV): los datos

24/07/2017

¿Qué saben las apps de nosotros y por qué? Nunca podremos estar seguros al 100% de todas las aplicaciones que instalamos, pero hay algunos consejos que nos pueden ayudar a minimizar los riesgos.

En esta cuarta entrega del examen de apps vamos a poner el foco en los datos personales que guardan de nosotros las apps de nuestro teléfono o tableta. De esta manera completaremos los contenidos publicados en este blog sobre las tiendas de aplicaciones, los permisos, y los términos y condiciones.

¿Cuánto saben las aplicaciones de nosotros? Si consideramos que el teléfono es un dispositivo que nos acompaña día y noche, en el trabajo y en el ocio, y que además potencialmente puede ver, oír, grabar, y participar en nuestras conversaciones, podemos pensar que mucho. Afortunadamente, como vimos en el capítulo dedicado a los permisos, el sistema operativo se encarga de que cada app acceda solamente a los datos y a los ‘sentidos’ del teléfono que hemos permitido al instalarla o configurarla.

Aun así, son muchas las cosas que una app sencilla, como un juego o un portal de una tienda online puede saber: por ejemplo, la posición geográfica desde donde la usamos o desde donde actualiza sus datos, gracias al GPS, a las redes wifi o al 3g; nuestros hábitos horarios o de calendario por los momentos en que la usamos; las amistades con las que comparto partidas o envío ofertas; mi cuenta de correo, mis alias o mi contraseña, que puede estar compartida con otras aplicaciones; e incluso imágenes o vídeos para los que he dado permiso de acceso.

Una vez tratados los datos que una app puede aprender de nosotros podríamos preguntarnos qué hace con ellos o dónde los guarda. Las apps utilizan parcelas aisladas de la memoria de nuestro teléfono o tarjeta para guardar información, pero también hablan con sus servidores para muchas tareas. A veces este diálogo con el servidor forma parte de la propia funcionalidad, y es que la app nos muestra datos elaborados fuera de ella, como los mapas del tiempo; otras veces la app no necesitaría comunicarse con su servidor para su función pero nos ofrece una dimensión social de compartir datos con otros usuarios: citas, partidas de juegos, alertas o mensajes; en ocasiones simplemente se conecta para enseñarme anuncios, y otras veces simplemente no sabemos para qué se está conectando. El diálogo de la app de nuestro teléfono con su servidor se realiza a través de internet, y puede estar encriptado para que un tercero que analiza el tráfico no sepa lo que se están diciendo. En estas condiciones, es muy fácil que salga información personal desde nuestro teléfono a un servidor en la nube.

Con nuestros datos personales en un servidor ajeno, técnicamente es muy poco lo que podemos hacer por protegerlos, y debemos confiar en los términos y condiciones que en su día acordamos con el proveedor para instalar la aplicación. En el mejor de los casos, la empresa o el desarrollador que mantiene la aplicación será un proveedor responsable que ofrece un servicio, cuida tanto las aplicaciones como los servidores, y obtiene un beneficio de los usuarios o los anunciantes. El peor escenario podría ser el de una organización que emplea o vende los datos almacenados en sus servidores para otros fines distintos de los que declara; que oculta las brechas de seguridad y los robos de datos de los mismos, o simplemente que cesa su actividad y apaga las máquinas sin dar explicaciones.

Nunca podremos estar seguros al cien por cien de todas las aplicaciones, de que el sistema operativo de nuestro teléfono no tiene vulnerabilidades y de que nuestras comunicaciones son seguras, pero hay algunos consejos que nos pueden ayudar a minimizar el riesgo:

  • El consejo ‘extremo’ debe estar presente: si no quieres que tu teléfono sepa algo de ti, no se lo cuentes. Siempre hay un riesgo mínimo de que una foto, un contacto o un dato cualquiera en un teléfono inteligente acabe en un servidor de un tercero en la nube.
  • Pensando en el robo de datos, el segundo consejo sería no dar pistas a un posible atacante de cuáles son nuestros datos más valiosos: usar apodos para personas y lugares importantes, usar números y nombres de contactos falsos para guardar pines y contraseñas, etcétera. Lo que queremos es que los datos del teléfono no sean suficientes para que alguien distinto de nosotros los aproveche. En esta misma categoría, para los servicios delicados, como las compras o la banca online, debemos usar las apps oficiales y actualizadas, no dejar que el sistema recuerde las contraseñas, y cerrar siempre las sesiones al acabar.
  • Como uno de los riesgos más comunes es la pérdida o el robo del aparato, trabajemos esa amenaza en los dos sentidos: que los datos del teléfono sean inaccesibles para un tercero, poniendo una contraseña para acceder a ellos; y que dispongamos de una copia de seguridad actualizada en casa, o en un servidor de confianza y sepamos que esa copia se puede recuperar (esta segunda parte no siempre se contempla).
  • Por último, para proteger nuestro entorno, enseñemos hábitos seguros a los que están a nuestro lado. Aunque esta recomendación parece más bien solidaria, alberga también un propósito de autodefensa, puesto que la información que las personas que nos rodean tienen de nosotros es mucha, y a veces puede verse comprometida fácilmente.

Una guía fácil de leer con recomendaciones para proteger nuestros datos es la elaborada por la Agencia Española de Protección de Datos junto con el INCIBE. Está disponible en la Guía de privacidad y seguridad en internet.