Universidad
Politécnica de Madrid

19.02.24

Un equipo de investigadores de la Universidad Politécnica de Madrid (UPM), junto con expertos de Carnegie Mellon University (CMU), han llevado a cabo un estudio pionero que saca a la luz una preocupante realidad sobre la privacidad de datos en aplicaciones Android. Para llevar a cabo el trabajo, el equipo de científicos ha desarrollado un método para capturar prácticas de intercambio de datos en aplicaciones de Android y evaluar su divulgación adecuada de acuerdo con el Reglamento General de Protección de Datos de la UE (RGPD). Los resultados del análisis han revelado que más del 80% de las aplicaciones que envían datos personales fuera del teléfono móvil incumplen con los requisitos de transparencia de la ley europea de protección de datos, lo que significa que comparten información de usuarios con otras organizaciones sin su conocimiento.

El trabajo muestra ejemplos prácticos de aplicaciones que estarían potencialmente incumpliendo la ley. Por ejemplo, una aplicación de transferencia de archivos con más de mil millones de descargas envía un identificador de usuario a tres empresas diferentes. Este dato está vinculado a la identidad de un usuario, y es generalmente utilizado para conocer los gustos y comportamientos de los usuarios con fines comerciales. Sin embargo, en su política de privacidad no se menciona de forma clara con quién se compartirán estos datos, como sí obliga la ley. Como señala José María del Álamo, investigador de la UPM que ha liderado el proyecto “al cometer este incumplimiento de la ley de protección de datos, los creadores de las aplicaciones podrían ser sancionados con multas millonarias, como a las que ya se han enfrentado Google y Meta en el pasado, al ser ellos los responsables de proteger el derecho a la privacidad de sus usuarios y velar por una adecuada protección de sus datos personales”. Sin embargo, continúa del Álamo, “los desarrolladores a menudo no son conscientes de que sus aplicaciones incumplen la ley, ya que desconocen el comportamiento de algunos de los componentes de uso común y gratuito en el desarrollo de aplicaciones móviles”.

Para poder obtener estos resultados, investigadores del grupo de la UPM Sistemas de tiempo real y arquitectura de servicios telemáticos (STRAST) han empleado ChatGPT junto con un conjunto de técnicas de ciberseguridad. ChatGPT les ha permitido procesar la información de miles de políticas de privacidad para conocer a qué empresas dicen compartir los datos, incorporando esta novedosa herramienta en tareas de investigación. A su vez, las técnicas de ciberseguridad empleadas han permitido observar qué datos personales recopilan las aplicaciones móviles y con quién se comparten. “Al cruzar esta información, hemos conseguido saber si el responsable de la aplicación incumple con la legislación al no mencionarlo de forma transparente en su política de privacidad, como requiere la ley”, comenta David Rodríguez Torrado, otro de los investigadores UPM que ha formado parte del equipo de trabajo.

Esta investigación ha sido pionera en medir y reportar otro hecho preocupante. Más del 70% de los datos personales que envían las aplicaciones terminan en manos de sólo 10 empresas. Este hallazgo tiene una importante implicación, y es que confiere un gran poder a pocas organizaciones, permitiéndoles cruzar información para conocer con gran precisión a casi cualquier persona. Google y Meta son las dos empresas que más datos personales reciben, lo que les permite una gran capacidad de vigilancia y de perfilado de usuarios, sin que los afectados sean realmente conocedores de ello.

Todo esto resulta alarmante dado que millones de personas en todo el mundo utilizan diariamente aplicaciones móviles para diversas funciones, desde comunicación y entretenimiento hasta gestión financiera y salud. La falta de transparencia respecto a la compartición de datos personales no solo vulnera la legislación europea de protección de datos, sino que también pone en riesgo la privacidad y seguridad de los usuarios, exponiéndolos a posibles usos indebidos de su información personal.

“Los resultados del estudio resaltan la urgente necesidad de una mayor supervisión y control de las prácticas de privacidad de las aplicaciones móviles”, indican los investigadores. “Además, han de servir como una llamada de atención para los desarrolladores de aplicaciones, instándolos a adoptar prácticas más transparentes y respetuosas con la privacidad de los usuarios, asegurando que las políticas de privacidad no solo sean respetadas, sino comunicadas claramente”, concluyen los investigadores.

Rodríguez, David; del Álamo, Jose M.; Fernández-Aller, Celia; Sadeh, Norman. Sharing is Not Always Caring: Delving Into Personal Data Transfer Compliance in Android Apps. IEEE ACCESS, 2024. Volume 12, Page5256-5269. https://doi.org/10.1109/ACCESS.2024.3349425