Los spyware son códigos maliciosos que tienen por característica principal el robo de información del sistema infectado. Suelen tomar datos confidenciales de los usuarios y enviarlos a un atacante para algún fin delictivo. Por lo general, suelen estar enmascarados bajo alguna técnica de Ingeniería Social, simulando ser alguna aplicación de utilidad. Pero, ¿las aplicaciones populares también suelen enviar información sin que el usuario lo sepa?
Esta pregunta viene a colación a un interesante estudio realizado por el Wall Street Journal, que analizó las características de 101 populares aplicaciones para dispositivos móviles y publicó los (¿escalofriantes?) resultados en una nota titulada Your Apps Are Watching You ("Tus aplicaciones te están espiando"). Como bien indica el artículo fuente en sus primeras lineas, "pocos dispositivos conocen tanto sobre las personas como los dispositivos móviles", y este dato no es pasado por alto por las empresas desarrolladoras de software que, aparentemente, y según el informe, algunas están cruzando la raya al enviar información sensible desde el dispositivo hacia el fabricante, sin el consentimiento del usuario.
El estudio fue realizado sobre aplicaciones para iPhone y Android, y los números son concluyentes. Por ejemplo, 56 de las 101 aplicaciones envían el ID del dispositivo móvil (también conocido como IMEI) a terceros, en todos los casos sin que el usuario haya aceptado el envío de dicha información. Algunos otros datos interesantes extraídos del artículo:
- Las aplicaciones para iPhone transmitían más información que aquellas para Android.
- Entre las aplicaciones que enviaban más información, aparece TextPlus 4, una popular aplicación para envío de mensajes de texto en iPhone. Esta envía el IMEI a ocho compañías publicitarias con el código de área del teléfono, junto con la edad del usuario y el género a dos de ellas.
- Las versiones para iPhone y Android de Pandora, una popular aplicación de música, envían edad, género, geo localización y número de teléfono a varias redes publicitarias.
- Ambas versiones del juego Paper Toss envían información al menos a cinco compañías. Grindr, una aplicación de iPhone para conocer parejas homosexuales, envía información a tres compañías.
Es posible visualizar un reporte detallado y completo sobre las aplicaciones que se analizaron, y qué tipo de información enviaba cada una de ellas al fabricante, sin el consentimiento del usuario. Muchas de las empresas involucradas declararon en su defensa que "la información no es personal ya que no puede ser asociada a una persona" o certificaron que "siempre se pide permiso al usuario", aunque el estudio diga lo contrario. Algunas otras prefirieron el silencio. Ninguna de las respuestas es muy alentadora. Quien mejor resumió la historia fue Michael Backer, de la Mobile Marketing Association, quien declaró:
En el mundo móvil, no hay anonimato.
En resumen, el informe pone en evidencia cómo muchas empresas de software están realizando acciones sin el consentimiento del usuario, muy similares a las realizadas por malware convencional, como es el caso del spyware.
Pero es el caso aún, cuando varias de estas aplicaciones están legitimadas en los sitios web de los fabricantes de los sistemas operativos, aumentando la gravedad del caso, ya que este hecho aumenta la confianza del usuario sobre las mismas.
Entonces, ¿está legitimado el spyware en los dispositivos móviles? Como bien indica el informe, en muchos casos no son solo aplicaciones meramente maliciosas, diseñadas con estos fines, sino muchas veces populares programas están "robando" información del usuario de forma oculta.
Muchas de estas aplicaciones están legitimadas por los propios usuarios, por las empresas que las fabrican o por la misma industria, y por lo tanto la linea entre si son o no códigos maliciosos es demasiado fina, incluso muchas de ellas entrarían en la categoría de Grayware. Informes como este certifican que, más allá de la educación del usuario y de la existencia de herramientas de detección de malware para dispositivos móviles, como ESET Mobile Security, es necesaria e indispensable la decisión de las empresas desarrolladores de software para no crear aplicaciones que extraigan información del usuario de forma innecesaria, rozando la delgada linea entre una aplicación legítima y el spyware. Sin lugar a dudas, el único perjudicado es el usuario.
Sebastián Bortnik
Coordinador de Awareness & Research