Son las tres de la mañana. ¿Sabes qué está haciendo tu iPhone?
El mío ha estado alarmantemente ocupado. A pesar de que la pantalla está apagada y yo estoy roncando, las aplicaciones están transmitiendo un montón de información acerca de mí a compañías de las que nunca he oído hablar. Tu iPhone probablemente está haciendo lo mismo, y Apple podría estar haciendo más para detenerlo.
Una noche de lunes reciente, una docena de compañías de mercadotecnia y otros grandes consumidores de información personal obtuvieron reportes desde mi iPhone. A las 11:43 P.M., una compañía llamada Amplitude se aprendió mi número telefónico, correo electrónico y mi ubicación exacta. A las 3:58 A.M., otra llamada Appboy obtuvo la huella digital de mi teléfono. A las 6:35 A.M., un rastreador llamado Demdex obtuvo una forma de identificar mi móvil y me envió una lista de otros rastreadores para que pudieran vincularse.
Y toda la noche ocurrió un comportamiento sorprendente por parte de un nombre familiar: Yelp. Estaba recibiendo un mensaje que incluía mi dirección IP una vez cada cinco minutos.
Nuestra información tiene una vida secreta en muchos de los dispositivos que usamos todos los días, desde las bocinas parlantes de Alexa hasta las televisiones inteligentes. Pero tenemos un gigantesco punto ciego cuando se trata de los datos que las compañías están investigando en nuestros teléfonos.
Podrías asumir que puedes contar con que Apple trabaje duramente en todos los detalles sobre privacidad. Después de todo, presumió en un reciente anuncio, «Lo que pasa en tu iPhone se queda en tu iPhone». Mi investigación sugiere otra cosa.
Las aplicaciones del iPhone que descubrí que me rastreaban por medio de terceros –justo mientras estaba dormido– incluyen a Microsoft OneDrive, Intuit’s Mint, Nike, Spotify, The Washington Post y el canal del clima de IBM. Una aplicación, el servicio de alertas de crimen Citizen, compartió información personal identificable en una violación de su propia política de privacidad.
Y es que tu iPhone no solamente alimenta a los rastreadores de datos mientras duermes. En una semana, encontré más de 5.400 rastreadores, la mayoría ubicados en aplicaciones, sin incluir el incesante tráfico de Yelp. De acuerdo con la firma de privacidad Disconnect, que ayudó a examinar mi teléfono, los rastreadores no deseados habrían arrojado 1,5 gigas de datos en el lapso de un mes. Eso es la mitad de un plan de servicio básico inalámbrico de AT&T.
«Estos son tus datos. ¿Por qué deberían dejar tu teléfono? ¿Por qué deberían ser recolectados por alguien cuando no sabes qué es lo que van a hacer con ellos?», señaló Patrick Jackson, un investigador de la Agencia de seguridad nacional (NSA por sus siglas en inglés) que ahora es jefe de la oficina de tecnología en Disconnect. Él conectó mi iPhone a un software especial para que pudiéramos examinar el tráfico. «Conozco el valor de los datos, y yo no quiero que los míos estén en ningún lugar donde no tengan que estar», me dijo.
En un mundo de agentes de datos, Jackson es el solucionador de datos. Desarrolló una aplicación llamada «Privacy Pro» que identifica y bloquea muchos rastreadores. Si eres un poco techie, recomiendo probar la versión gratuita para iOS y entrever la vida secreta de tu iPhone.
Sí, los rastreadores también son un problema en los teléfonos que funcionan con Android, el sistema operativo desarrollado por Google. Google ni siquiera deja que el software de protección contra rastreadores de Disconnect pueda aparecer en la Play Store. (Las reglas de la compañía prohíben aplicaciones que quizá interfieran con otras que muestran anuncios.)
Una de las objeciones de Jackson sobre los rastreadores es que muchos alimentan la economía de los datos personales, que se utiliza para dirigir anuncios y mensajes políticos. Los fiascos de Facebook nos han hecho a todos más conscientes de cómo nuestra información puede ser transmitida a otros, robada y mal utilizada, pero ‘Cambridge Analytica’ fue apenas el comienzo.
La principal preocupación de Jackson es la transparencia: si no sabemos a dónde van nuestros datos, ¿cómo podemos siquiera pensar en mantenerlos privados?
La brecha de las aplicaciones (‘App gap’)
Los rastreadores de las aplicaciones son como las cookies en los sitios web que aletargan el tiempo de carga, agotan la batería y generan anuncios horripilantes que te persiguen en internet. Excepto en las aplicaciones, hay pocos avisos de que los rastreadores están al acecho y que no puedes elegir un navegador diferente para bloquearlos.
¿Por qué los rastreadores se activan en medio de la noche? Algunos desarrolladores de aplicaciones las programan para que se reporten cuando el teléfono está conectado, o cuando piensan que no interferirán con otras funciones. Estos encuentros tan tardíos suceden en el iPhone si tiene activada la «actualización de aplicaciones de fondo», que es el modo predeterminado de Apple.
Con Yelp, la compañía asegura que el comportamiento que descubrí no era un rastreador sino una «situación involuntaria» que está funcionando como un rastreador. Yelp piensa que mi descubrimiento afecta al 1% de los usuarios de iOS, particualrmente aquellos que han hecho reservaciones a través de Apple Maps. En el mejor de los casos, es un software de mala calidad que envió datos que Yelp no necesitaba. En el peor escenario, Yelp estaba acumulando un paquete de datos que podía usarse para mapear los viajes de las personas, incluso cuando no estaban usando la app.
Un ejemplo más común es el de DoorDash, el servicio de entrega de comida a domicilio. Si usas la app, estás enviando tus datos a nueve actores terceros que usan rastreadores, a pesar de que tú no tienes manera de saberlo.
Los desarrolladores de aplicaciones usualmente usan rastreadores porque son accesos directos a investigaciones o a ingresos. Recorren toda la gama, desde inocuos hasta insidiosos. Algunos son como consultores que la app financia para analizar lo que la gente ve o donde hace click. Otros rastreadores pagan a los diseñadores de apps, obteniendo ingresos gracias a nuestros datos para diseñar anuncios.
En el caso de DoorDash, el rastreador llamado Sift Science obtiene una «huella dactilar» de tu teléfono (nombre del dispositivo, modelo, identificador y tamaño de la memoria) e incluso datos que identifican fraude. Tres rastreadores más ayudan a DoorDash a supervisar el rendimiento de la aplicación, incluido uno llamado Segment que dibuja las rutas, la dirección de entrega, el nombre, el correo electrónico y la compañía del operador del teléfono.
Los otros cinco rastreadores de DoorDash, incluidos Facebook y los servicios de Google Ad, lo ayudan a entender la efectividad de su mercadotecnia. Su presencia significa que Google y Facebook saben de todas las veces que abres dicha app.
La compañía de entregas a domicilio me dijo que no permite que rastreadores vendan o compartan tus datos, lo cual es fantástico. Pero su política de privacidad no pone las manos en el fuego: «DoorDash no es responsable por las prácticas de privacidad de estas entidades», dice.
Todos menos uno de los nueve rastreadores de DoorDash alcanzaron a entrar a la «lista sucia» de Jacskon para Disconnect, la cual dispara el navegador de Firefox en modo privado. Para Eller, cualquier tercero que recolecte y retenga nuestros datos es sospechoso a menos que también tenga una política de privacidad que favorezca al consumidor, tal como limitar el tiempo de retención de datos y volverlos anónimos.
Microsoft, Nike y el Canal del clima me dijeron que estaban usando los rastreadores que descubrí para mejorar su desempeño. Mint, cuya dueña es Intuit, dijo que usa un rastreador de mercadeo de Adobe para entender cómo realizar anuncios para sus usuarios. El Post dijo que sus rastreadores fueron usados para mejorar los anuncios. Spotify me dirigió a sus políticas de privacidad.
Estas políticas no necesariamente proporcionan protección. Citizen, la app para reportar crímenes con base en dónde ocurrieron, publicó que no compartiría «tu nombre o cualquier otra información personal». Sin embargo, cuando realicé mi análisis, encontré que repetidamente enviaba mi número de teléfono, correo electrónico y las coordinadas exactas del GPS al rastreador de Amplitude.
Tras contactar a Citizen, ellos actualizaron su aplicación y removieron el rastreador de Ampitude. (Amplitude, por su parte, dijo que los datos que recolecta para sus clientes son mantenidos de forma privada y no están a la venta.)
«Haremos un mejor trabajo para asegurarnos de que nuestra política de privacidad es clara acerca de los tipos específicos de datos que compartimos con nuestros proveedores», declaró un portavoz de Citizen, J. Peter Donald. «No vendemos los datos de nuestros usuarios. Nunca lo hemos hecho ni nunca lo hacemos».
El problema es que, entre más información personal vuela, más difícil es de responsabilizar a las empresas por su comportamiento, incluidas las inevitables filtraciones.
Además, como Jackson me recordaba: «Estos son tus datos».
La decepción
Lo que me decepciona es que toda la información gratuita para todos que descubrí está sucediendo en un iPhone. ¿No se supone que Apple tendría que hacerlo mejor con la privacidad?
«En Apple estamos haciendo un gran esfuerzo para ayudar a nuestros usuarios a mantener sus datos privados», dijo la compañía en un comunicado. «El hardware y el software de Apple están diseñados para proporcionar seguridad y privacidad avanzadas en todos los niveles del sistema«.
En algunas áreas, Apple está adelantado. La mayoría de las apps y servicios de Apple se encargan de encriptar datos, o mejor aún, de no recopilarlos en primer lugar. Apple ofrece una configuración de privacidad llamada «Limitar el rastreo de anuncios» (tristemente desactivada de forma predeterminada) que dificulta un poco a las empresas que te rastrean en todas tus aplicaciones, por medio de un identificador único para cada iPhone.
Y con el iOS 12, Apple golpeó la economía de datos al mejorar la «prevención de seguimiento inteligente» en su navegador, Safari.
Sin embargo, en estos días, pasamos cada vez más tiempo en las aplicaciones. Apple es estricta en cuanto a requerir que las aplicaciones obtengan permiso para acceder a ciertas partes del iPhone, incluido la cámara, el micrófono y la ubicación, así como la información de salud, fotos y contactos. (Puedes verificar y cambiar esos permisos en la configuración de privacidad.) Pero Apple se hace el ciego con lo que las apps hacen con los datos que les proporcionamos o que generan de nosotros: usted es testigo del tipo de seguimiento que encontré debajo de la alfombra apenas en unos días.
«Para los datos y servicios que las aplicaciones crean por su cuenta, nuestras pautas de la App Store requieren que los desarrolladores tengan políticas de privacidad claramente publicadas y que soliciten permiso a los usuarios para recopilar datos antes de hacerlo. Cuando sabemos que las apps no han seguido las indicaciones en estas áreas, o bien hacemos que las aplicaciones cambien sus prácticas o evitamos que esas aplicaciones estén en nuestra tienda», explicó Apple.
Sin embargo, muy pocas aplicaciones que descubrí que usan rastreadores de terceros revelaron los nombres de esas compañías o cómo protegen mis datos. ¿De qué sirve enterrar esa información en las políticas de privacidad? Lo que necesitamos es la rendición de cuentas.
Implicarse más profundamente en las prácticas de la recopilación de datos de las apps es complicado para Apple. La tecnología de hoy con frecuencia está construida en servicios de terceros, por lo que Apple no podría simplemente prohibir todas las conexiones a servidores externos. Y algunas compañías son tan grandes que ni siquiera necesitan la ayuda de esos terceros para rastrearnos.
El resultado no debería aumentar el poder de Apple. «Me gustaría asegurarme de que no estén sofocando la innovación», expresó Andrés Arrieta, el director de ingeniería de privacidad del consumidor de la Fundación Electric Frontier. Si Apple se convierte en la policía de la privacidad del internet, podría clausurar a sus rivales.
Jackson sugiere que Apple también podría agregar controles en iOS como los integrados en Privacy Pro para dar a todos más visibilidad.
O quizá Apple podría requerir que las aplicaciones se etiqueten cuando estén usando rastreadores de terceros. Si abro la app de DoorDash y veo nueve notificaciones de rastreadores, podría hacerme pensar dos veces antes de usarla