Un artículo llamado An Analysis of Pre-installed Android Software pone de manifiesto que existen una serie de desarrolladores y de contratos comerciales para que las aplicaciones que vienen preinstaladas en los teléfonos Android dispongan de permisos privilegiados. Por otro lado, este tipo de apps no se pueden desinstalar por un usuario de nivel medio, sin complejos conocimientos técnicos sobre su teléfono. La Agencia Española de Protección de Datos viene a destacar el impacto masivo de los resultados de dicho estudio, respecto a lo que implica en cuanto a la vulnerabilidad de la privacidad de los datos de los usuarios de los teléfonos.
¿Cuáles son los detalles del estudio sobre los riesgos de privacidad en Android?
Este artículo, que se presentará en el 41th IEEE Symposium on Security and Privacy ha sido publicado por el instituto IMDEA Networks y la Universidad Carlos III de Madrid. En él se han llegado a identificar más de 1200 empresas cuyas aplicaciones vienen preinstaladas en los sistemas Android, así como más de 11 000 librerías relacionadas con la publicidad y la monitorización de la actividad de manera online con fines publicitarios y comerciales.
El artículo señala que los modelos de permisos del sistema operativo de los teléfonos Android y de sus aplicaciones dan carta blanca a un sin número de entidades para monitorizar y recabar información personal de los usuarios. Estos desconocen normalmente la existencia de dichas aplicaciones y las consecuencias que su actividad pueden conllevar para su privacidad. Estos programas cuentan con privilegios sobre el sistema que además hacen muy difícil su eliminación para los usuarios, sin tener conocimiento especializado en el uso del teléfono.
¿Qué problema existe con estas aplicaciones preinstaladas?
El análisis profundo del comportamiento de al menos un 50 % de las aplicaciones que se identifican desvela que la mayor parte tiene un comportamiento que se considera potencialmente malicioso o indeseado para los intereses de los usuarios. Entre dichos comportamientos se encuentran incluso muestras de malware, programas troyanos de tipo genérico y otro software preinstalado que serviría para poder poner en práctica acciones de carácter fraudulento.
El informe también recaba información sobre el momento de poner en marcha un nuevo terminal recién adquirido, poniéndose de manifiesto un claro perjuicio en la transparencia de las aplicaciones y del mismo sistema operativo Android en cuanto a mostrar los permisos reales al usuario del dispositivo. La diferencia con la realidad de los permisos de dichos programas limita en gran medida la capacidad de los dueños de los terminales para decidir sobre el control de su información personal.
¿Qué acciones se pondrán en marcha por parte de la AEPD?
La Agencia Española de Protección de Datos presentará el informe y sus propias conclusiones al respecto en las reuniones de los subgrupos de trabajo del Comité Europeo de Protección de Datos. Este organismo de la Unión Europea comprende a la misma AEPD y a otras autoridades europeas relacionadas con las tareas de protección de datos personales, además del Supervisor Europeo. Dicho Comité Europeo cuenta entre sus funciones con la de poner facilidades en la cooperación de las distintas autoridades en materia de protección de datos.
La AEPD dispone de un Plan Estratégico, en cuyo eje establece los canales de colaboración necesarios con los grupos de investigación, los responsables de la industria y los distintos desarrolladores en pos de un aumento de la confianza en la actividad de economía digital online. Se busca de este modo una alineación más adecuada con la normativa recogida en el Reglamento General de Protección de Datos.
Por tanto, el estudio del que es materia este artículo sirve para poner más fácil a los desarrolladores, fabricantes y distribuidores de productos y servicios electrónicos o digitales la aplicación de los principios de privacidad indefectible y a partir del diseño que se definen en el RGPD. Todo ello, con el objetivo final de proteger los derechos y libertades de sus clientes finales. Con la difusión de este estudio desarrollado por IMDEA Network y la Universidad Carlos III se completa una parte de las acciones de debida información y sinergia en favor de la protección de la privacidad de las personas, y ello no producirá obstáculo alguno para otras acciones derivadas de la normativa RGPD.
¿Qué debería ocurrir a partir de ahora?
Es el turno de los desarrolladores del sistema Android y de las empresas que diseñan las aplicaciones preinstaladas para tratar de ajustarse a la necesidad de respetar la seguridad de los datos de sus usuarios. El primer paso sería empezar a facilitar la información real y comunicada de la manera adecuada para que los usuarios sepan a qué atenerse. El segundo paso lógico sería poner en sus manos, de una manera comprensible y sencilla, la posibilidad de limitar la actividad de dichas aplicaciones, ya fuera con el control de su configuración o mediante su desinstalación de manera sencilla.
El futuro de la privacidad en los dispositivos personales como tablets y smartphones necesita una revisión que se ajuste a la realidad de las necesidades de clientes y empresas.
