Miles de aplicaciones de Android estarían registrando la actividad de los usuarios y creando un historial permanente con esa información con fines publicitarios, lo cual va en contra de las prácticas recomendadas por Google.

A esa conclusión llegó una investigación publicada por Serge Egelman, director de investigación en el grupo de Privacidad y Seguridad del Instituto Internacional de Ciencias de la Computación.

Las aplicaciones en cuestión vinculan el ID de publicidad (un marcador basado en el software del celular y que se puede eliminar de manera similar a las cookies en el navegador) con marcadores específicos del hardware. Esto hace que las apps mantengan un registro de seguimiento permanente del celular.

De qué se trata y por qué afecta la privacidad de los usuarios

El ID de publicidad es un número que se puede modificar y que se utiliza para generar publicidad personalizada. Es configurable, ya que el usuario puede limitar la cantidad de seguimiento asociada con el ID.

Pero los marcadores o identificadores del teléfono, como el número de serie, el IMEI o la dirección MAC, son únicos y no son, en principio, imposibles de modificar. Eso quiere decir que si una app recopila ese tipo de datos, termina generando un registro permanente de ese móvil en particular.

El ID de Android es también un identificador único, aunque no está vinculado al hardware. Se puede restablecer, pero solo si se hace un reinicio de fábrica en el celular.

Así, por ejemplo, una app puede enviar a una red de publicidad el número de serie del celular y cuando otra app que está instalada en ese mismo celular envía ese número de serie a esa misma red de publicidad, éstos terminan sabiendo que ese mismo usuario utiliza esas dos aplicaciones. Así, las plataformas emplean esa información para generar un perfil más preciso de consumo del usuario para luego enviar publicidad afín a esos intereses.

El problema es que si se manda a un tercero un identificador permanente del celular (como puede ser el IMEI, por ejemplo) junto con el ID de publicidad, se afecta la privacidad del usuario porque éste no puede evitar que se lo rastree. “De ahí que tanto iOS como Android cuenten con políticas que prohíben que los desarrolladores transmitan los identificadores junto con los ID de publicidad”, se detalla en la investigación.

Cuáles son las apps analizadas

Egelman explicó que unas 17 mil aplicaciones, es decir el 70% de las plataformas analizadas, transmitían el identificador de publicidad con marcadores persistentes de los equipos (IMEI o ID de Android, en estos casos). Aquí, el listado de las 20 más populares que hacen esto (el listado completo no está en el informe publicado):

Clean Master – Antivirus, Cleaner & Booster

Subway Surfers

Flipboard

My Talking Tom

Temple Run 2

3D Bowling

8 Ball Pool

Agar.io

Angry Birds Classic

Audiobooks from Audible

Azar

B612 – Beauty & Filter Camera

Banana Kong

Battery Doctor – Battery Life Saver & Battery Cooler

BeautyPlus – Easy Photo Editor & Selfie Camera

Bus Rush

CamScanner – Phone PDF Creator

Cheetah Keyboard – Emoji & Stickers Keyboard

Cooking Fever

Cut The Rope Full FREE

Qué dicen las prácticas recomendadas de Google

Menos de un tercio de las app que reúnen los identificadores toman sólo ese ID de publicidad que es lo que recomienda Google en el documento donde detalla las prácticas adecuadas para el desarrollo de aplicaciones. En ese texto, además, se explica que, de hacer una vinculación entre el ID de publicidad con un identificador permanente, se debe contar con la autorización del usuario.

“Conforme a la Política de contenido para desarrolladores de Google Play, el ID de publicidad no debe estar vinculado a información personal ni asociado a un identificador de dispositivos persistente (por ejemplo: SSAID, direcciones MAC, IMEI, etc.) sin el consentimiento explícito del usuario”, se lee en el documento.

Las medidas que está tomando la compañía

Google analizó la investigación y ya comenzó a tomar medidas al respecto. Según se publicó en una nota de CNET, “combinar los ID publicitarios con los identificadores de un dispositivo con el fin de personalizar anuncios está estrictamente prohibido. Estamos revisando constantemente las aplicaciones, incluidas las que figuran en el informe del investigador, y tomaremos medidas cuando no cumplan con nuestras políticas”, dijo un vocero de la empresa.

Por otra parte, la empresa publicó en su blog oficial que en el último año rechazó cerca de un 55% de solicitudes de aplicaciones más que en 2017, por considerarlas poco fiables o sospechosas.

“Nuestro sistema Google Play Protect escanea cerca de 50 mil millones de apps en los dispositivos de los usuarios cada día para asegurar que las apps instaladas en los equipos no se están comportando de manera inadecuada”, se informa en el blog.