Una investigación revela un error de Google en la privacidad de las aplicaciones de rastreo de contactos

Google y Apple presentaron en primavera de 2020 su sistema de rastreo de contactos para combatir la pandemia. En su declaración de intenciones inicial, la promesa era privacidad y seguridad para todos: “Entendemos que el éxito de este enfoque depende de que la gente tenga la confianza de que su información privada será protegida”. Pero en realidad, para los usuarios de móviles con sistema operativo Android, desarrollado por Google, no ha sido así.

Las aplicaciones de rastreo de contactos debían ayudar a combatir la pandemia. Millones de usuarios descargaron aplicaciones nacionales basadas en el sistema de Google y Apple. En Europa, Reino Unido, reticente al principio, ha sido el país con una mayor penetración. Millones de españoles, alemanes, suizos, italianos o belgas descargaron versiones nacionales del sistema. Sin embargo, su éxito, empezando por la española Radar Covid, ha sido relativo.

Ahora, además, una investigación de la empresa de privacidad AppCensus, con sede en San Francisco, revela que la implementación de Google fue deficiente. Google permitía que datos privados de la aplicación quedarán registrados en el archivo interno de actividad del dispositivo (más conocido como log), donde eran accesibles para cientos de aplicaciones preinstaladas en los móviles. Esa vulnerabilidad podía permitir vincular la identidad del dueño del móvil con su localización, sus contactos sociales y si era positivo.

“Es una vulnerabilidad que puede ser solventada porque no es un error de diseño de la tecnología de rastreo”, dice Narseo Vallina-Rodríguez, uno de los autores de la investigación, miembro de AppCensus e investigador de Imdea Networks. “Los errores de implementación son una constante en el mundo digital y en todos los productos que tenemos instalados en nuestros dispositivos”, añade. La compañía encontró la vulnerabilidad mientras analizaba el sistema como parte de un contrato que tiene con el Departamento de Seguridad Interior de EE UU. De momento, dicen en su post publicado hoy, sigue ahí: los logs registran aún esa información.

Carmela Troncoso, ingeniera de la Escuela Politécnica de Lausana que lideró el proyecto DP-3T, adaptado por Google y Apple en su protocolo, considera que han fallado a los usuarios. “Es un error bastante estúpido, pero significa que rompen su promesa de que los datos no iban a ser accesibles para nadie”, dice Troncoso. “Ha supuesto un riesgo porque esos datos han estado disponibles. Es algo que no debería pasar, aunque no hay ninguna evidencia de que ninguna app los haya cogido o utilizado”.

Los únicos potenciales afectados directamente por esta brecha son los usuarios de Android. AppCensus no ha encontrado un problema similar en Apple. Aunque los propietarios de iPhones pueden haberse visto afectados a consecuencia de aparecer como contactos para los usuarios de Android.

El Supervisor Europeo de Protección de Datos (SEPD) dice: “Tras analizar la información de AppCensus, llegamos a la conclusión de que se trata de una vulnerabilidad que expone datos especialmente protegidos como son los de salud y afecta, solo en la Unión Europea, a millones de personas. El SEPD contribuirá a las acciones que se decidan en el seno del Comité Europeo de Protección de Datos, pero no tiene previsto iniciar una investigación debido a que solo es competente sobre los tratamientos realizados por las instituciones europeas o por terceros en su nombre y ninguna institución europea está tratando los datos personales obtenidos de aplicaciones de rastreo”.

La complejidad y opacidad de los sistemas tecnológicos de las grandes compañías hace que estos errores sean más difíciles de detectar. “Es otro ejemplo de por qué sistemas críticos de interés público deberían ser de código abierto”, dice Vallina-Rodríguez. “La opacidad del sistema no ha permitido detectar estas vulnerabilidades durante casi un año”.

El problema de las aplicaciones preinstaladas

El registro (log) del móvil no es accesible para las aplicaciones que un usuario descarga desde Google Play. No tienen los permisos necesarios para acceder a esos datos internos. Pero las aplicaciones que llegan preinstaladas en el dispositivo desde fábrica sí que tienen esos accesos. En la investigación explican dos ejemplos de móviles Xiaomi y Samsung, donde hay 54 y 89 aplicaciones, respectivamente, que pueden consultar esa información. Xiaomi y Samsung son solo dos casos: la inmensa mayoría de fabricantes de móviles Android usan aplicaciones que van incorporadas de fábrica y que tienen acceso a mucha información sin que el usuario sea consciente, como ya reveló EL PAÍS.

Los investigadores advirtieron a Google el 19 de febrero de esta vulnerabilidad. Después de 60 días sin que la compañía haya puesto remedio, han publicado sus resultados y la han comunicado a las autoridades competentes. “Lo potencialmente grave de este problema es que el daño para muchos usuarios puede ya estar hecho”, explica Vallina-Rodríguez. “Cada dispositivo Android tiene aplicaciones preinstaladas con los privilegios necesarios para leer los logs del sistema, y los suben a sus servidores sin saber muy bien qué va en esos registros, incluyendo datos de salud. Es muy difícil cuantificar la magnitud del problema y es algo que debería dirimirse en las investigaciones que se lleven a cabo por los reguladores.”

En una declaración de un portavoz, Google admite haber recibido la comunicación y minimiza el supuesto riesgo: “Se nos notificó un problema mediante el que los identificadores de bluetooth eran accesibles temporalmente para otras aplicaciones preinstaladas con el objetivo de depurar e inmediatamente empezamos a trabajar para solucionarlo”, dice el portavoz de la compañía. “Estos identificadores no revelan la localización de un usuario ni proporcionan ninguna otra información identificadora y no tenemos ninguna indicación de que haya sido usada, ni de que ni siquiera alguna app estuviera al corriente de esto”.

Después de este primer comunicado, llegó un segundo de la compañía sobre los plazos de corrección: “Tenemos un proceso estándar para este tipo de investigación. Inmediatamente después de conocerla, comenzamos el proceso necesario para revisar el problema, considerar las mitigaciones y actualizar el código. La implementación de esta actualización para los dispositivos Android comenzó hace varias semanas y estará completa en los próximos días”.

En su post, AppCensus explica lo fácil que es vincular estos identificadores, que ciertamente por sí mismos no revelan nada, con datos personales de cada usuario. “Una entidad que recoge el log puede también asociarlo a la identidad del usuario. Cualquier app, incluyendo las preinstaladas, puede tener permisos para conseguir la dirección de correo o el número de teléfono del dispositivo”, escriben. No solo eso, con la ayuda de otras bases de datos que recojan más datos, la información del sistema de rastreo de contactos puede también llevar a la localización y los contactos físicos de cada usuario: los identificadores aleatorios del sistema de rastreo de contactos pueden convertirse en una dirección MAC (que identifica un dispositivo), “y con acceso a bases de datos existentes, pueden convertir esa dirección MAC en una geolocalización, lo que permite llegar a la localización histórica de un usuario”.

La gravedad y consecuencias de la vulnerabilidad será algo que las autoridades competentes deberán valorar. Dependiendo de la gravedad de los hechos que se demuestren, sobre todo si alguien ha accedido a esos datos registrados en el log, puede haber una multa considerable para la compañía estadounidense.

Puedes seguir a EL PAÍS TECNOLOGÍA en Facebook y Twitter.