Esta es una traducción de la página original en inglés.
Malware en los dispositivos móviles
El software que no es libre (privativo) a menudo es malware (diseñado para maltratar a los usuarios). El software que no es libre está controlado por quienes lo han desarrollado, lo que los coloca en una posición de poder sobre los usuarios; esa es la injusticia básica. A menudo los desarrolladores y fabricantes ejercen ese poder en perjuicio de los usuarios a cuyo servicio deberían estar.
Habitualmente, esto suele realizarse mediante funcionalidades maliciosas.
Casi todos los teléfonos móviles causan dos serios agravios a los usuarios: rastrear sus movimientos y escuchar sus conversaciones. Por este motivo los llamamos «el sueño de Stalin».
El rastreo de la ubicación de los usuarios es una consecuencia del funcionamiento de la red celular: esta necesita conocer qué torres de telefonía están próximas al terminal, de modo que pueda comunicarse con él a través de una torre cercana. Esto proporciona a la red datos de geolocalización que guarda durante meses o años. Véase abajo.
La escucha de las conversaciones funciona mediante una puerta trasera universal presente en el software del procesador que se comunica con la red de telefonía.
Además, los sistemas operativos privativos de los teléfonos «inteligentes» tienen funcionalidades maliciosas específicas, que se describen en Los sistemas operativos de Apple son malware y El software de Google es malware, respectivamente.
Muchas aplicaciones para el teléfono son también maliciosas. Véase abajo.
Si conoce algún ejemplo más que deba estar incluido en esta página, escriba por favor a <webmasters@gnu.org> para informarnos. Incluya la URL de una o dos referencias confiables para justificar su inclusión.
Localización a través de la red de telefonía
Esta sección describe una característica maliciosa de las redes de telefonía móvil: la geolocalización. La red de telefonía rastrea los movimientos de todos los teléfonos.
Para ser precisos, este rastreo no está implementado por ningún código específico de software; es consustancial a la tecnología de la red celular. La red necesita conocer qué torres de telefonía están próximas al terminal, de modo que pueda comunicarse con él a través de una torre cercana. No hay medio técnico de bloquear o evitar el rastreo y mantener a la vez la comunicación con las actuales redes celulares.
Las redes no se limitan a utilizar esos datos momentáneamente. Muchos países (incluidos EE. UU. y la UE) exigen que se guarden todos los datos de geolocalización durante meses o años, y mientras se encuentran archivados permanecen disponibles para cualquier uso que la red permita, o el Estado solicite. Esto puede suponer un serio peligro para los usuarios.
-
2022-08
En EE. UU., estados que prohíben el aborto hablan de convertir en delito ir a otro estado para abortar. Podrían utilizar varias formas de geolocalización, incluido el uso de la red, para perseguir a quienes traten de abortar. El estado podría requerir los datos, de manera que la política de «privacidad» de la red quedaría sin efecto.
Ese artículo explica las razones por las que las redes inalámbricas recogen datos de localización, una inevitable y otra evitable (llamadas de emergencia). También relata algunas de las muchas forma en que se utilizan los datos de geolocalización.
Las redes nunca deberían utilizar el sistema de geolocalización en emergencias excepto cuando se produzca efectivamente una llamada de emergencia o cuando exista una orden judicial. Debe ser ilegal que una red haga una geolocalización precisa (del tipo necesario en las llamadas de emergencia) excepto para gestionar una llamada de emergencia. Y si una red lo hace ilegalmente, se le debe exigir que informe por escrito y en papel a la persona propietaria del teléfono, presentando sus disculpas.
-
2021-01
Las autoridades venecianas rastrean los movimientos de todos los turistas que utilizan teléfonos móviles. El artículo dice que por el momento el sistema está configurado para ofrecer únicamente información agregada. Pero eso puede cambiar. ¿Qué hará ese sistema dentro de diez años? ¿Qué hará un sistema similar en otro país? Estos son los interrogantes que eso suscita.
-
2020-06
La geolocalización a través de la red de telefonía es una de las técnicas utilizadas para la publicidad selectiva.
Se han desarrollado diseños de redes que no rastrean los teléfonos, pero utilizar estos métodos requeriría nuevas redes y nuevos teléfonos.
Tipos de malware en los dispositivos móviles
Adicciones
-
2016-04
Muchos populares juegos para móviles incluyen un sistema de recompensas aleatorias llamado gacha, que es especialmente efectivo en los niños. Una variante de gacha se declaró ilegal en Japón en 2012, pero otras variantes continúan incitando a los jugadores a gastar compulsivamente cantidades enormes de dinero en juguetes virtuales.
Puertas traseras
El procesador de comunicaciones de casi todos los teléfonos tiene una puerta trasera universal que a menudo se utiliza para hacer que el teléfono transmita todas las conversaciones que escucha.
La puerta trasera puede producirse en forma de fallos que han permanecido veinte años sin corregirse. La decisión de dejar esos agujeros de seguridad es desde el punto de vista ético equivalente a colocar una puerta trasera.
La puerta trasera se encuentra en el «procesador del módem», cuyo cometido es comunicarse con la red radiofónica. En la mayoría de los teléfonos, el procesador del módem controla el micrófono. En la mayoría de los teléfonos tiene, además, la capacidad de reescribir el software del procesador principal.
Unos pocos modelos de teléfonos están especialmente diseñados para que el procesador del módem no controle el micrófono ni pueda modificar el software del procesador principal. Siguen teniendo la puerta trasera, pero al menos no es capaz de convertir el teléfono en un dispositivo de escucha.
Al parecer, la puerta trasera universal se utiliza también para hacer que los teléfonos transmitan incluso cuando están apagados. Esto significa que se rastrean sus movimientos, y que incluso podría poner en funcionamiento el sistema de escucha.
-
2020-01
Los teléfonos Android subvencionados por el Gobierno estadounidense llevan preinstalado software con fines publicitarios y una puerta trasera para forzar la instalación de aplicaciones.
El software publicitario es una versión modificada de una aplicación esencial para la configuración del sistema. La puerta trasera ha sido añadida subrepticiamente a un programa cuyo propósito explícito es ser una puerta trasera universal para firmware.
En otras palabras, un programa cuya razón de ser es maliciosa tiene un propósito secundario malicioso. Todo esto por añadidura al software malicioso del propio Android.
-
2019-08
Una aplicación muy popular que se halla en la tienda Google Play contenía un módulo que estaba diseñado para instalar furtivamente programas maliciosos en el ordenador del usuario. Los desarrolladores de la aplicación lo usaban regularmente para hacer que el ordenador del usuario descargara y ejecutara cualquier código que ellos quisieran.
Este es un ejemplo concreto de los riesgos que corren los usuarios cuando ejecutan aplicaciones que no son libres. Nunca pueden tener la certeza de que una aplicación privativa sea segura.
-
2016-09
Los teléfonos Xiaomi contienen una puerta trasera universal en el procesador de aplicaciones, para uso de Xiaomi.
Esta es independiente de la puerta trasera universal presente en el procesador del módem que la compañía telefónica local puede utilizar.
-
2015-11
Moplus, la biblioteca privativa de Baidu para Android, contiene una puerta trasera que puede «subir archivos», así como instalar aplicaciones a la fuerza.
La utilizan 14.000 aplicaciones de Android.
-
2014-12
Una versión china de Android contiene una puerta trasera universal. Casi todos los modelos de teléfonos móviles tienen una puerta trasera universal en el chip del módem. De modo que ¿por qué se molestó Coolpad en introducir otra? Porque esta la controla Coolpad.
-
2014-03
Los dispositivos Samsung Galaxy que ejecutan versiones privativas de Android cuentan con una puerta trasera que permite el acceso remoto a los archivos almacenados en el dispositivo.
Trampas
-
2020-02
Muchas aplicaciones de Android engañan a los usuarios al pedirles que decidan qué permisos otorgar al programa, para a continuación ignorar sus preferencias.
Se supone que el sistema Android evita el filtrado de datos al ejecutar las aplicaciones en entornos aislados, pero los desarrolladores han encontrado maneras de acceder a los datos por otros medios. Y no hay nada que el usuario pueda hacer para evitarlo, ya que tanto el sistema como las aplicaciones son privativas.
DRM
Gestión digital de restricciones, o «DRM», se refiere a las funcionalidades diseñadas para restringir lo que los usuarios pueden hacer con los datos de sus ordenadores.
-
2015-01
La aplicación de Netflix para Android obliga a utilizar el DNS de Google. Este es uno de los métodos que emplea Netflix para aplicar las restricciones de geolocalización dictadas por los estudios cinematográficos.
Falta de seguridad
A diferencia del resto de esta página, los errores que aquí se señalan no son intencionados, por lo que no pueden considerarse malware. Los mencionamos para desmontar la falsa suposición de que el software privativo de prestigio está libre de graves fallos.
-
2022-08
Un experto en seguridad descubrió que el navegador integrado en TikTok para iOS inyecta en las páginas web externas código JavaScript capaz de registrar las pulsaciones del teclado. Ese código tiene la capacidad de rastrear todas las actividades del usuario y extraer cualquier dato personal introducido en las páginas. No hay forma de verificar la alegación de TikTok de que la inclusión de ese código obedece a propósitos exclusivamente técnicos. Algunos de los datos obtenidos bien podrían quedar guardados en los servidores de la compañía, e incluso enviarse a terceros. Esto abriría la puerta a una vigilancia extensiva, incluso por parte del Gobierno chino (con el que TikTok tiene vínculos indirectos). Existe también el riesgo de que los datos sean robados por delincuentes informáticos y utilizados para lanzar ataques con malware.
Los navegadores integrados en Instagram y Facebook para iOS se comportan esencialmente de la misma forma que el de TikTok. La diferencia principal es que Instagram y Facebook permiten al usuario acceder a las páginas de terceros con su navegador predeterminado, mientras que TikTok lo hace casi imposible.
El experto no investigó las versiones para Android de los navegadores integrados, pero no hay razones para suponer que sean más seguros que las versiones para iOS.
Advierta que el artículo utiliza erróneamente el término «hacker» para referirse a los «crackers».
-
2019-08
De las 21 aplicaciones antivirus gratuitas de Android estudiadas por expertos en seguridad, ocho fallaron en la detección de un virus de prueba. Todas ellas solicitaban peligrosos permisos o contenían rastreadores publicitarios, y siete representaban mayor riesgo que la media de las cien aplicaciones de Android más populares.
(Observe que el artículo se refiere a esas aplicaciones privativas como «free». En lugar ello, debería decir «gratis».)
-
2018-07
Siri, Alexa y todos los demás sistemas de control vocal pueden ser secuestrados por programas que envían órdenes mediante ultrasonidos inaudibles para los humanos.
-
2018-07
Algunos teléfonos de Samsung envían fotos, al azar, a gente que se encuentra en la lista de contactos del propietario.
-
2017-04
Muchos dispositivos Android pueden ser atacados a través de sus chips Wi-Fi debido a un fallo en el firmware privativo de Broadcom.
-
2017-03
La CIA aprovechó vulnerabilidades existentes en teléfonos y televisores «inteligentes» para diseñar un software malicioso capaz de espiar mediante sus micrófonos y cámaras mientras parecían estar apagados. Puesto que este software espía capta las señales, sortea el encriptado.
-
2017-02
Las aplicaciones de los móviles para comunicarse con un automóvil supuestamente «inteligente» ofrecen poca seguridad.
A esto se añade el hecho de que el vehículo lleva un módem de radiocomunicación que informa permanentemente al Gran Hermano de su localización. Si posee un automóvil de este tipo, sería razonable desconectar el módem a fin de evitar el rastreo.
-
2017-01
Los teléfonos de Samsung tienen un agujero de seguridad que permite que un mensaje de SMS instale ransomware (virus secuestrador del sistema).
-
2017-01
WhatsApp tiene una función que se ha descrito como «puerta trasera», ya que permitiría a los Gobiernos anular su encriptación.
Los desarrolladores afirman que su propósito no era introducir una puerta trasera. Y esto bien puede ser cierto, pero deja en el aire la cuestión de si funciona como tal. Como el programa no es libre, no podemos estudiarlo para comprobarlo.
-
2016-12
Los juguetes «inteligentes» My Friend Cayla y i-Que se pueden controlar a distancia con un teléfono móvil, no es necesario acceder físicamente. Esto permitiría a los delincuentes informáticos escuchar las conversaciones de los niños e incluso hablarles a través de los juguetes.
Esto significa que un ladrón podría, a través de los juguetes, pedirle al niño que abra la puerta de la casa mientras su mamá está distraída.
-
2016-07
Los mensajes «borrados» de WhatsApp no se borran completamente. Hay diversas maneras de recuperarlos.
-
2016-07
Esta es una crítica miope de una aplicación rastreadora: descubrió que burdos fallos permitían a cualquiera husmear en los datos personales del usuario. La crítica no expresa la menor preocupación por el hecho de que la aplicación envía los datos personales a un servidor donde el desarrollador los recopila. ¡Es un «servicio» para incautos!
El servidor tiene seguramente una «política de privacidad», y seguramente no sirve de nada, ya que casi todos la tienen.
-
2016-07
Un fallo en la biblioteca privativa ASN.1, utilizada en torres de telefonía móvil, así como en teléfonos móviles y enrutadores, permite tomar el control de esos sistemas.
-
2016-05
El sistema «Smart Home» de Samsung tiene un gran agujero de seguridad: puede ser controlado a distancia por personas sin autorización.
Samsung dice que se trata de una plataforma «abierta», por lo que los desarrolladores de aplicaciones son en parte los responsables del problema. Esto es claramente cierto en el caso de aplicaciones privativas.
Todo lo que incluye la palabra «inteligente» (smart) en el nombre con toda probabilidad está diseñado para engañar.
-
2016-03
Muchas aplicaciones privativas de pago transmiten datos personales de manera insegura. Sin embargo, lo peor de estas aplicaciones es que el pago no es anónimo.
-
2015-05
Multitud de aplicaciones para teléfonos inteligentes utilizan métodos de autenticación inseguros al almacenar los datos personales en servidores remotos. Esto hace que la información personal, como direcciones de correo, contraseñas e información sanitaria, sea vulnerable. Dado que muchas de estas aplicaciones son privativas, es complicado o hasta imposible saber qué aplicaciones suponen un riesgo.
-
2014-05
Una aplicación para evitar el «robo de identidad» (acceso a los datos personales), y que para ello guardaba los datos del usuario en un servidor especial, fue desactivada por su desarrollador al descubrir un fallo de seguridad.
El desarrollador parece ser diligente con respecto a la protección de los datos personales frente a terceros en general, pero no puede proteger los datos frente al Estado. Todo lo contrario: confiar los datos personales a un servidor ajeno, si antes no han sido encriptados por uno mismo con software libre, socava sus derechos.
-
2014-02
La inseguridad de WhatsApp facilita la interceptación de las comunicaciones.
-
2013-11
La NSA puede pinchar datos en los teléfonos inteligentes, incluyendo los iPhone, Android y BlackBerry. Si bien el artículo no ofrece mayores detalles, al parecer estos dispositivos no utilizan la puerta trasera universal que, como sabemos, casi todos los teléfonos móviles tienen. Puede que su funcionamiento implique la explotación de diversos fallos. El software de radio de los teléfonos contiene multitud de fallos.
Interferencias
En esta sección se ofrecen ejemplos de software de aplicaciones para móviles que importunan, molestan o causan problemas al usuario. Estas acciones son parecidas al sabotaje, pero la palabra «sabotaje» es demasiado fuerte para referirse a ellas.
-
2023-11
El servicio Push de Samsung, una aplicación privativa, envía al usuario del teléfono notificaciones acerca de «actualizaciones» de aplicaciones Samsung, incluida la plataforma Gaming Hub, pero solo en ocasiones estas actualizaciones corresponden a una nueva versión de la aplicación. A menudo las notificaciones de Gaming Hub son simplemente anuncios de juegos que, basándose en los datos recopilados del usuario, piensan que este podría instalar. Y, lo que es más importante, no pueden deshabilitarse permanentemente.
-
2021-04
La aplicación WeddingWire guarda las fotos de boda de la gente para siempre y proporciona los datos a terceros, sin dar a los usuarios el control sobre sus datos e información personal. La aplicación muestra también de vez en cuando a los usuarios viejas fotos y recuerdos, sin darles tampoco ningún control sobre ello.
-
2019-01
Los teléfonos Samsung llevan preinstalada una versión de la aplicación de Facebook que no puede eliminarse. Facebook afirma que eso es un residuo que no hace nada, pero tenemos que creerles, y existe un riesgo permanente de que la aplicación se active mediante una actualización automática.
La preinstalación de programas basura es una práctica común en los sistemas operativos que no son libres, pero al hacer que esos programas no puedan eliminarse, Facebook and Samsung(entre otros) están dando un paso más en su secuestro de los dispositivos de los usuarios.
Manipulación
-
2019-05
La aplicación de «fertilidad» Femm sirve suprepticiamente como instrumento de propaganda de cristianos natalistas. Siembra desconfianza con respecto a la contracepción.
Además, espía a los usuarios, como cabe esperar de cualquier programa que no sea libre.
Sabotaje
-
2023-11
Para impedir que nadie que no sea la propia Apple repare sus aparatos, Apple codifica el número de serie de los iMonstruos en las piezas originales. A esto se lo denomina parts pairing (vinculación de piezas). El intercambio de piezas entre iMonstruos del mismo modelo provoca fallos o la pérdida de algunas funcionalidades. La sustitución de piezas también puede provocar alertas persistentes, a menos que haya sido realizada en un taller de Apple.
-
2020-11
Una nueva aplicación publicada por Google permite a bancos y prestamistas desactivar los dispositivos Android de sus deudores en caso de falta de pago en el plazo requerido. Si se desactiva el dispositivo, este quedará limitado a las funcionalidades básicas, tales como las llamadas de emergencia y el acceso a la configuración del aparato.
-
2020-10
A partir de una actualización del software en septiembre de 2020, Samsung obliga a los usuarios de sus smartphones en Hong Kong (y Macao) a utilizar una DNS pública de China continental, lo que provoca gran inquietud y preocupación con respecto a la privacidad.
-
2019-02
Ventinueve aplicaciones de retoque de fotos (beauty camera apps) que solían estar en Google Play tenían una o más funcionalidades maliciosas, tales como robar las fotos de los usuarios en lugar de «embellecerlas», enviar a los usuarios anuncios no deseados y a menudo maliciosos, y redirigirlos a webs que suplantan otra identidad para así robar sus credenciales. Además, la interfaz de usuario de la mayoría de ellas está diseñada para dificultar su desinstalación.
Por supuesto, los usuarios deberían desinstalar estas peligrosas aplicaciones si no lo han hecho ya, pero deberían también mantenerse alejados de las aplicaciones que no sean libres en general. Todas las aplicaciones que no son libres entrañan un riesgo potencial, ya que no es fácil saber qué hacen realmente.
-
2018-10
Apple y Samsung reducen deliberadamente el rendimiento de los teléfonos viejos para obligar a los usuarios a comprarse uno nuevo.
Vigilancia
Más arriba nos referimos a la puerta trasera universal general presente en prácticamente todos los teléfonos móviles, lo que permite convertirlos en dispositivos de escucha a tiempo completo.
-
2023-08
La empresa Yandex ha comenzado a entregar datos de los viajes en sus taxis Yango al Servicio Federal de Seguridad de la Federación de Rusia (FSB). De este modo, el Gobierno ruso (y cualquier otro que reciba los datos) tiene acceso a una ingente cantidad de información personal, que incluye quién viajó a dónde, cuándo y con qué conductor. Yandex afirma que cumple las normas europeas relativas a la recopilación de datos dentro del Espacio Económico Europeo, Suiza o Israel. ¿Pero qué hay del resto del mundo?
-
2023-04
La aplicación Pinduoduo espía en otras aplicaciones y las toma bajo su control. También instala malware adicional que es difícil eliminar.
-
2022-06
Canadá ha multado a la compañía Tim Hortons por hacer una aplicación que rastrea los movimientos de la gente, con el fin de conocer cosas tales como el lugar donde viven, el lugar donde trabajan y cuándo visitan comercios de la competencia.
-
2022-01
El corredor de datos X-Mode adquirió los datos de localización de unas 20.000 personas recogidos por alrededor de cien aplicaciones maliciosas diferentes.
-
2021-06
Casi todas las aplicaciones privativas de salud capturan datos de los usuarios, incluida información sensible sobre su estado de salud, utilizando identificadores y cookies con el fin de rastrear sus actividades. Algunas de estas aplicaciones siguen el rastro de los usuarios por diferentes plataformas.
-
2021-06
Las aplicaciones de TikTok recogen identificadores e información biométricos de los usuarios de smartphones, además de todo otro tipo de datos.
-
2021-02
Muchas aplicaciones, desarrolladas por varias compañías para varias organizaciones, hacen un rastreo de la localización sin el conocimiento de esas compañías y organizaciones. Son de hecho algunas bibliotecas muy utilizadas las que hacen el rastreo.
Lo que es aquí inusual es que el desarrollador del software privativo A engaña a los desarrolladores de software privativo B1 … B50 para crear plataformas que permiten a A maltratar al usuario final.
-
2020-12
Se ha descubierto que las aplicaciones de Baidu filtran datos personales sensibles que pueden utilizarse para rastrear de por vida a los usuarios y ponerlos así en peligro. Más de 1.400 millones de personas en todo el mundo se ven afectadas por estas aplicaciones privativas, y la privacidad de los usuarios se ve comprometida por esta herramienta de vigilancia. Los datos recopilados por Baidu pueden estar siendo cedidos al Gobierno chino, poniendo así posiblemente en peligro a muchas personas de ese país.
-
2020-06
La mayoría de las aplicaciones son malware, pero la aplicación de la campaña de Trump, al igual que la de Modi[1], es particularmente nociva, pues no solo ella misma espía a los usuarios, sino que además ayuda a empresas a espiarlos.
El artículo dice que la aplicación de Biden tiene un enfoque general menos manipulador, pero no nos dice si tiene funcionalidades que consideramos maliciosas, como el envío de datos sin que el usuario lo haya solicitado de forma explícita.
-
2020-04
Los teléfonos Xiaomi registran muchas de las acciones del usuario: ejecutar una aplicación, abrir una carpeta, visitar un sitio web, escuchar una canción... También envían información identificativa del dispositivo.
Otros programas que no son libres también espían. Por ejemplo, Spotify y otros antiservicios de transmisión en continuo elaboran un dosier de cada usuario y exigen que los usuarios se identifiquen para pagar. ¡Vade retro, Spotify!
Forbes exculpa de los mismos agravios cuando los culpables no son chinos, pero nosotros los condenamos sin importar quién los cometa.
-
2020-04
Google, Apple y Microsoft (y probablemente algunas otras compañías más) obtienen los datos correspondientes a los puntos de acceso y coordenadas GPS de los usuarios (lo que permite determinar con precisión su ubicación), incluso cuando el GPS está desactivado. Utilizan para ello el software privativo implementado en el smartphone, y lo hacen sin el consentimiento de la persona. No obstante, tampoco solicitar permiso bastaría para legitimarlo.
-
2020-03
La aplicación Health Code de Alipay estima si el usuario está infectado por el Covid-19 e informa a la policía directamente.
-
2019-12
La aplicación de mensajería ToToc parece ser una herramienta de espionaje del Gobierno de Emiratos Árabes Unidos. Cualquier programa que no sea libre puede estar espiándonos, lo cual es una buena razón para utilizar en su lugar software libre.
(Nota: en este artículo se utiliza el término «free» en el sentido de «gratis».)
-
2019-12
Cuando se utilizan en el trabajo, los iMonstruos y los teléfonos Android proporcionan a los empleadores potentes capacidades de espionaje y sabotaje en el caso de que estos instalen su propio software en el dispositivo. Muchos empleadores exigen hacerlo. Para el empleado esto no es sino otro software privativo, tan fundamentalmente injusto y peligroso como cualquier otro software privativo.
-
2019-09
La aplicación de Facebook rastrea a los usuarios incluso cuando está cerrada, tras haberles embaucado para que den a la aplicación amplios permisos a fin de utilizar una de sus funcionalidades.
-
2019-09
Algunas aplicaciones privativas para controlar el ciclo menstrual, incluidas MIA Fem y Maya envían a Facebook detalles íntimos de la vida de las usuarias.
-
2019-09
Mantener un registro de quienes se descargan un programa privativo es una forma de vigilancia. Existe un programa privativo para ajustar la mira de cierto rifle telescópico. Un fiscal estadounidense ha solicitado la lista de las 10.000 o más personas que se lo han instalado.
Con un programa libre no existiría ninguna lista de los que se lo han descargado.
-
2019-07
Muchos desarrolladores de aplicaciones para móviles faltos de escrúpulos siguen encontrando maneras de eludir las preferencias del usuario, las regulaciones y las características del sistema operativo que favorecen la privacidad, a fin de obtener la mayor cantidad de datos privados que les sea posible.
De modo que no podemos confiar en las normas contra el espionaje. En lo que podemos depositar nuestra confianza es en tener el control del software que ejecutamos.
-
2019-07
Muchas aplicaciones de Android pueden rastrear los movimientos del usuario incluso cuando este no les permite obtener datos de localización.
Al parecer se trata de un defecto no intencionado de Android, aprovechado intencionalmente por aplicaciones maliciosas.
-
2019-05
A pesar del supuesto compromiso de Apple con la privacidad, las aplicaciones para el iPhone contienen rastreadores que funcionan por la noche y envían información personal del usuario a terceras partes.
El artículo menciona ejemplos concretos: Microsoft OneDrive, el Mint de Intuit, Nike, Spotify, The Washington Post, The Weather Channel (propiedad de IBM), el servicio de alerta criminal Citizen, Yelp y DoorDash. Pero es probable que la mayoría de las aplicaciones que no son libres contengan rastreadores. Algunas de ellas envían datos de identificación personal tales como la huella digital telefónica, la localización exacta, la dirección de correo electrónico, el número de teléfono o incluso la dirección de entrega (en el caso de DoorDash). Una vez que la compañía ha recogido esta información, no hay manera de saber para qué va a utilizarla.
-
2019-05
BlizzCon 2019 imposed a requirement to run a proprietary phone app to be allowed into the event.
Esta aplicación es un programa espía capaz de husmear en multitud de datos sensibles, incluida la localización del usuario y su lista de contactos, y que toma control casi total del teléfono.
-
2019-04
Los datos recopilados por las aplicaciones de control menstrual y de embarazo se ponen a menudo a disposición de los empleadores y compañías de seguros. Aun cuando los datos son «anonimizados y agregados», se puede fácilmente seguir su rastro hasta llegar a la mujer que utiliza la aplicación.
Esto tiene graves consecuencias para los derechos de las mujeres a la igualdad en el trabajo y a su libertad de elección con respecto a la maternidad. No utilice estas aplicaciones ni siquiera cuando le ofrezcan una recompensa por hacerlo. Puede obtener una aplicación de software libre que hace más o menos lo mismo en F-Droid, y hay una nueva en desarrollo.
-
2019-03
Muchos teléfonos Android vienen con gran cantidad de aplicaciones privativas que tienen acceso a datos sensibles sin el conocimiento de los usuarios. Estas aplicaciones ocultas pueden enviar los datos a sus desarrolladores, o bien pasárselos a aplicaciones instaladas por el usuario que tienen acceso a la red pero no acceso directo a los datos. El resultado es una vigilancia masiva sobre la que el usuario no tiene ningún control en absoluto.
-
2019-03
El antiservicio MoviePass tiene planes de utilizar el reconocimiento facial para rastrear el movimiento de los ojos del usuario a fin de asegurarse de que este no deje el teléfono o mire hacia a otra parte para evitar los anuncios y el rastreo.
-
2019-03
Un estudio sobre 24 aplicaciones de «salud» descubrió que 19 de ellas envían datos sensibles a terceras partes, que pueden luego utilizarlos para enviar publicidad intrusiva o discriminar a las personas en malas condiciones médicas.
Cuando se solicita el «consentimiento» del usuario, se esconde en unos extensos Términos del servicio difíciles de entender. En cualquier caso, el «consentimiento» no es suficiente para legitimar el espionaje.
-
2019-02
Facebook presentó una biblioteca privativa muy práctica para hacer aplicaciones para móviles, pero también enviaba datos personales a Facebook. Muchas compañías hicieron aplicaciones con ella y las publicaron, sin darse cuenta de que todos los datos personales que recogían acabarían también en manos de Facebook.
Esto muestra que nadie puede confiar en un programa que no es libre, tampoco los desarrolladores de otros programas que no son libres.
-
2019-02
La base de datos AppCensus ofrece información de cómo las aplicaciones de Android usan y abusan de los datos personales del usuario. Hasta marzo de 2019, se habían analizado casi 78.000, de las cuales 24.000 (el 31%) transmitían el identificador publicitario a otras compañías, y 18.000 (el 23% del total) enlazaban este identificador con identificadores de hardware, de modo que los usuarios no podían evitar el rastreo reiniciándolo.
Recoger identificadores de hardware constituye una clara violación de las políticas de Google. Parece que Google no estaba enterada de ello, pero una vez informada tampoco se dio mucha prisa en actuar. Esto da prueba de que las políticas de una plataforma de desarrollo son ineficaces para evitar que los desarrolladores de software no libre incluyan software malicioso en sus programas.
-
2019-02
Multitud de aplicaciones no libres cuentan con una funcionalidad de vigilancia que permite registrar todas las acciones del usuario en su interacción con la aplicación.
-
2019-02
En una investigación acerca de las 150 aplicaciones gratuitas de VPN más populares incluidas en Google Play, se descubrió que el 25 % no es capaz de proteger la privacidad de sus usuariosdebido a la filtración de los DNS. Además, el código fuente del 85 % de ellas contiene permisos o funciones intrusivas (a menudo utilizadas para enviar publicidad invasiva) que podrían utilizarse para espiar a los usuarios. Se encontraron también otros fallos técnicos.
Más aún, en una investigación anterior se descubrió que la mitad de las diez principales aplicaciones de VPN gratuitas tienen una política de privacidad deplorable.
(Es una lástima que estos artículos hablen de «free apps». Estas aplicaciones son gratuitas, pero no son software libre.)
-
2019-01
La aplicación meteorológica Weather Channel registra la geolocalización de los usuarios en el servidor de la compañía. Esta está siendo objeto de una demanda en la que se le exige que notifique a los usuarios qué va a hacer con los datos.
Pensamos que esta demanda aborda un asunto colateral. Lo que la compañía haga con los datos es una cuestión secundaria. El principal daño aquí es que la compañía recoja esos datos.
Otras aplicaciones de información meteorológica, incluidas Accuweather y WeatherBug, rastrean la ubicación de los usuarios.
-
2018-12
Alrededor del 40 % de las aplicaciones gratuitas de Android informan a Facebook de las acciones del usuario.
A menudo envían el «identificador publicitario» de la máquina, de modo que Facebook puede correlacionar los datos que obtiene de la misma máquina a través de diversas aplicaciones. Algunos de ellas envían a Facebook información detallada acerca de las actividades del usuario en la aplicación; otras solo informan de que el usuario está utilizando la aplicación, pero a menudo estos es ya bastante informativo.
El espionaje se produce con independencia de que el usuario tenga cuenta en Facebook.
-
2018-12
La aplicación de Facebook obtenía el «consentimiento» del usuario para enviar automáticamente al servidor el registro de llamadas de los teléfonos Android, ocultando cuál era el objeto de ese «consentimiento».
-
2018-10
Algunas aplicaciones de Android rastrean los teléfonos de los usuarios que las han eliminado.
-
2018-06
La aplicación para la transmisión en directo del fútbol español rastrea los movimientos del usuario y escucha a través del micrófono.
Esto hace que los usuarios actúen como espías al servicio de la aplicación de las licencias.
Suponemos que también implementa el DRM, que no hay manera de guardar una grabación, aunque no podemos estar seguros a partir de lo que dice el artículo.
Si aprende a dar menos importancia a los deportes, se beneficiará de muchas maneras. Esta es una más.
-
2018-04
Se ha descubierto que más del 50 % de las 5.855 aplicaciones de Android estudiadas por investigadores espían y recopilan información de los usuarios, mientras que el 40 % de ellas los delatan. Además, solo han podido detectar algunos de los métodos de espionaje, ya que en estas aplicaciones privativas no se puede examinar el código fuente. Las demás podrían estar espiando de otras maneras.
Esto prueba que las aplicaciones privativas, en general, operan en contra de los usuarios Para proteger su privacidad y libertad, los usuarios de Android han de deshacerse del software privativo: tanto del Android privativo, pasándose a Replicant, como de las aplicaciones privativas, instalando solo software libre del repositorio F-Droid, que advierte claramente al usuario si una aplicación contiene funcionalidades nocivas.
-
2018-04
Grindr recoge información sobre qué usuarios son seropositivos, luego proporciona esa información a otras empresas.
Grindr no debería tener tanta información sobre sus usuarios. Se podría diseñar de tal modo que los usuarios se comunicaran esa información entre ellos, pero no a la base de datos del servidor.
-
2018-03
La aplicación MoviePass y su antiservicio espía a los usuarios aún más de lo que estos podrían esperar. Registra sus desplazamientos antes y después de ir a ver una película.
No permita que le rastreen, ¡pague con dinero en efectivo!
-
2017-11
El software de seguimiento está muy extendido en las aplicaciones más populares de Android, y en ocasiones es muy ingenioso. Algunos rastreadores pueden seguir los movimientos del usuario dentro de una tienda física detectando las redes WiFi.
-
2017-11
Las aplicaciones de asistencia a la conducción de vehículos mediante inteligencia artificial rastrean todos sus movimientos.
-
2017-08
La aplicación Sarahah app transfiere todos los números de teléfono y direcciones de correo electrónico de la libreta de direcciones del usuario al servidor de los desarrolladores del programa.
(Advierta que este artículo emplea mal las palabras “software libre” para referirse a gratuito.)
-
2017-07
Veinte deshonestas aplicaciones de Android grababan llamadas telefónicas y las enviaban, junto con mensajes de texto y correos electrónicos, a husmeadores.
Google no tenía intención de que estas aplicaciones espiaran; al contrario, procuró de diversas maneras evitarlo, y las borró cuando descubrió lo que hacían. De modo que no podemos culpar a Google por el espionaje de estas aplicaciones.
Pero, por otra parte, Google redistribuye aplicaciones de Android que no son libres, y por tanto comparte la responsabilidad de la injusticia de que no sean libres. También distribuye sus propias aplicaciones que no son libres, como Google Play, que son maliciosas.
¿Podría Google haber evitado las trampas de estas aplicaciones de manera más eficiente? Ni Google ni los usuarios de Android cuentan con una manera sistemática de inspeccionar las aplicaciones privativas ejecutables para ver lo que hacen.
Google podría pedir el código fuente de estas aplicaciones y estudiarlo para determinar si maltrata a los usuarios de una u otra manera. Si hiciera ahí un buen trabajo, podría evitar más o menos ese espionaje, excepto cuando los desarrolladores de la aplicación fueran lo bastante listos para burlar la inspección.
Pero dado que el propio Google desarrolla aplicaciones maliciosas, no podemos confiar en que Google nos proteja. Hemos de exigir la publicación del código fuente, de modo que podamos contar los unos con los otros.
-
2017-05
Las aplicaciones de la red de transporte de San Francisco (BART) espía a los usuarios.
Con aplicaciones de software libre, los usuarios podrían cerciorarse de que nadie los espía.
Con aplicaciones privativas, uno solo puede esperar que no lo hagan.
-
2017-05
Un estudio descubrió 234 aplicaciones para Android que rastreaban a los usuarios al permanecer a la escucha para captar los ultrasonidos emitidos por comercios o programas de televisión.
-
2017-04
Faceapp parece ejercer una amplia vigilancia, a juzgar por la magnitud del acceso que pide a los datos personales presentes en el dispositivo.
-
2017-04
Los usuarios están llevando a Bose a los tribunales por distribuir una aplicación espía para sus auriculares. Concretamente, la aplicación grabaría los nombres de los archivos de audio que se escuchan, asociándolos al número de serie individual de los auriculares.
Se acusa a Bose de haberlo hecho sin el consentimiento de los usuarios. Si la letra pequeña de la aplicación dijera que los usuarios dan su consentimiento, ¿sería aceptable? ¡De ninguna manera! Debe ser completamente ilegal diseñar la aplicación para cualquier forma de espionaje.
-
2017-04
Puede haber colusión entre pares de aplicaciones de Android para transmitir datos personales de los usuarios a los servidores. Una investigación ha descubierto decenas de miles de pares de aplicaciones que coluden.
-
2017-03
Verizon ha anunciado una aplicación privativa opcional de búsqueda que preinstalará en algunos de sus teléfonos. La aplicación dará a Verizon la misma información acerca de las búsquedas del usuario que Google obtiene normalmente cuando se utiliza su motor de búsqueda.
Actualmente la aplicación se está preinstalando solo en un teléfono, y el usuario ha de dar explícitamente su consentimiento antes de que la aplicación entre en funcionamiento. No obstante, la aplicación es software espía, y un software espía «optativo» sigue siendo software espía.
-
2017-03
Un vibrador computarizado espiaba a los usuarios a través de la aplicación privativa de control.
La aplicación informaba de la temperatura del vibrador minuto a minuto (por lo tanto, si se encontraba o no cerca de un cuerpo humano), como as'i también la frecuencia de vibración.
La solución que se propone es totalmente inadecuada. Se propone una norma de etiquetado que obligaría a los fabricantes a hacer declaraciones sobre sus productos, en lugar de software libre que los usuarios podrían verificar y cambiar.
La empresa que fabricó el vibrador fue demandada por recoger gran cantidad de información personal de la gente que lo usaba.
La compañía declaró que anonimizaba los datos, y puede que sea cierto, pero eso no es lo realmente importante. Si los hubiese vendido a una empresa de datos, esa empresa podría haber descubierto la identidad del usuario.
Como resultado del juicio, se dispuso que la compañía pagara un total de 4 millones de dólares canadienses a sus clientes.
-
2017-01
La aplicación para la edición de fotos Meitu envía datos del usuario a una compañía china.
-
2016-11
La aplicación de Uber rastrea los movimientos del cliente antes y después del viaje.
Este ejemplo muestra que «obtener el consentimiento del usuario» para ser rastreado no una protección adecuada contra la vigilancia masiva.
-
2016-11
Un trabajo de investigación que estudió la privacidad y seguridad de 283 aplicaciones de VPN para Android concluyó que «a pesar de las promesas de privacidad, seguridad y anonimato expresadas por la mayoría de las aplicaciones de VPN, millones de usuarios podrían, sin saberlo, estar depositando su confianza en falsas garantías de seguridad y siendo objeto de prácticas abusivas por parte de estas aplicaciones».
A continuación presentamos una lista no exhaustiva de aplicaciones de VPN privativas, mencionadas en ese trabajo de investigación, que rastrean a los usuarios y vulneran su privacidad:
- SurfEasy
- Contiene bibliotecas de rastreo tales como NativeX y Appflood, pensadas para rastrear a los usuarios y mostrarles anuncios personalizados.
- sFly Network Booster
- Tras su instalación, solicita los permisos
READ_SMS
ySEND_SMS
, lo que significa que tiene total acceso a los mensajes de texto de los usuarios. - DroidVPN y TigerVPN
- Solicita el permiso
READ_LOGS
para leer los registros de otras aplicaciones y también los del núcleo del sistema. Los desarrolladores de TigerVPN lo han confirmado. - HideMyAss
- Envía tráfico a LinkedIn. Además, almacena registros detallados que puede remitir al Gobierno británico si este lo solicita.
- VPN Services HotspotShield
- Inserta código JavaScript en las páginas HTML reenviadas a los usuarios. El propósito declarado de la inserción de JS es mostrar anuncios. Utiliza unas cinco bibliotecas de rastreo. Además, redirige el tráfico de los usuarios a través de valueclick.com (una página de publicidad personalizada).
- WiFi Protector VPN
- Inserta código JavaScript en las páginas HTML y utiliza también alrededor de cinco bibliotecas de rastreo. Los desarrolladores de esta aplicación han confirmado que la versón non-premium de la aplicación inserta código JavaScript para rastrear a los usuarios y mostrarles anuncios.
-
2016-11
Algunos teléfonos móviles se venden con programas espía que envían cantidad de datos a China.
-
2016-06
La nueva aplicación de Facebook, Magic Photo, escanea la colección de fotos de su teléfono móvil en busca de rostros conocidos, y le sugiere difundir las fotos que toma según quién aparezca en la imagen.
Parece que esta funcionalidad espía requiere el acceso online a alguna base de datos de rostros conocidos, lo que significa que las fotos son probablemente enviadas a servidores de Facebook para aplicarles algoritmos de reconocimiento de rostros.
De ser así, todas las fotos de los usuarios de Facebook habrán dejado de ser privadas, aun cuando el usuario no las haya subido a ese servicio.
-
2016-05
La aplicación de Facebook está a la escucha permanentemente, para espiar lo que la gente está escuchando o mirando. Además, puede estar analizando las conversaciones de los usuarios a fin de presentarles anuncios personalizados.
-
2016-04
Una aplicación que controla los tests de embarazo no solo puede espiar en muchos tipos de datos personales guardados en el teléfono o en servidores, también puede modificarlos.
-
2016-01
Las aplicaciones que incluyen el software de vigilancia Symphony husmea para detectar qué programas de radio y televisión están pasando en las inmediaciones. También espían lo que los usuarios envían a varios sitios tales come Facebook, Google+ y Twitter.
-
2016-01
Monitorizar a las personas a través del teléfono que supuestamente les pertenece conduce naturalmente al uso de software privativo, para garantizar que no puedan burlar el sistema.
-
2015-11
«Comunicación críptica», no relacionada con las funcionalidades de la aplicación, se ha hallado en las 500 aplicaciones gratuitas más populares de Android.
El artículo no debería haber descrito estas aplicaciones como «libres», pues no son software libre. La manera correcta de decir que son a «precio cero» es «gratuitas».
El artículo da por hecho que las herramientas de análisis habituales son legítimas, pero ¿es así? Los desarrolladores de software no tienen derecho a analizar lo que hacen los usuarios hacen o cómo lo hacen. Las herramientas «de análisis» que fisgonean son tan malas como cualquier otra forma de fisgonear.
-
2015-10
Más del 73% de las aplicaciones móviles para Android, y más del 47% para iOS, ceden a terceros información personal, del comportamiento y la ubicación de los usuarios.
-
2015-10
Según Edward Snowden, agencias gubernamentales pueden tomar el control de teléfonos inteligentes enviando mensajes de texto ocultos que les permiten encender y apagar los teléfonos, escuchar a través del micrófono, obtener datos de la geolocalización por medio del GPS, tomar fotografías, leer los mensajes de texto, acceder al historial de llamadas, localizaciones y navegación, y leer la lista de contactos. Este malware está diseñado para ocultarse y evitar ser detectado en investigaciones.
-
2015-08
Como la mayoría de los antiservicios de transmisión de música, Spotify se basa en malware privativo (DRM y software espía). En agosto de 2015 exigió a los usuarios que aceptaran una mayor intromisión, y algunos están empezando a darse cuenta de que esto no es bueno.
Este artículo muestra las retorcidas maneras en que presentan su espionaje como una forma de «servir» mejor a los usuarios, sin importar si es eso lo que quieren. Este es un ejemplo típico de la actitud de la industria del software privativo frente a aquellos a quienes ha subyugado.
¡Vade retro, Spotify!
-
2015-07
Muchas empresas minoristas publican aplicaciones maliciosas que piden espiar los datos personales del usuario, a menudo datos de todo tipo.
Estas compañías saben que el uso de teléfonos que espían habitúa a la gente a decir sí a casi cualquier tipo de espionaje.
-
2015-07
Los teléfonos de Samsung contienen aplicaciones que los usuarios no pueden borrar, y que envían tal cantidad de datos que su transmisión supone un gasto significativo para los usuarios. Dicha transmisión, ni deseada ni solicitada, claramente ha de suponer alguna forma de espionaje.
-
2015-06
Un estudio de 2015 desveló que el 90% de las principales aplicaciones de Android gratuitas y privativas contenían bibliotecas que rastrean a los usuarios. En el caso de las aplicaciones privativas de pago, la proporción era del 60%.
Este artículo induce a confusión, ya que describe las aplicaciones gratuitas como «libres» (free), cuando la mayoría de ellas no son en realidad software libre. También emplea la fea palabra «monetizar». Un buen sustitutivo de esa palabra es «explotar»; casi siempre encajará a la perfección.
-
2015-05
Las aplicaciones gratuitas (pero no libres) de Android se conectan de media a un centenar de URL especializadas en rastreo y publicidad.
-
2015-04
Muchas de las muy difundidas aplicaciones privativas para leer códigos QR espían al usuario. Esto se suma al espionaje por parte de la empresa telefónica y, posiblemente, del sistema operativo del teléfono.
No desvíe su atención pensando en si los desarrolladores de la aplicación solicitan o no que el usuario diga «acepto», esa cuestión no justifica el malware.
-
2014-11
Muchas aplicaciones privativas para dispositivos móviles envían informes sobre cuáles otras aplicaciones el usuario tiene instaladas. Twitter lo hace de una manera que por lo menos es visible y opcional, no tan malo como lo que hacen los otros.
-
2014-03
La puerta trasera de Samsung permite el acceso a cualquier archivo del sistema.
-
2014-01
El teclado Simeji es una versión para teléfonos inteligentes del espía IME de Baidu.
-
2013-12
El principal propósito de la aplicación privativa Snapchat es restringir el uso de datos en el equipo del usuario, pero también hace labores de vigilancia: trata de obtener la lista de números telefónicos de otras personas que tiene el usuario.
-
2013-12
La aplicación de linterna Brightest Flashlight envía datos del usuario, incluida su geolocalización, para su utilización por empresas.
La FTC (Comisión Federal de Comercio) ha criticado esta aplicación porque pregunta al usuario si autoriza el envío de datos personales al desarrollador de la aplicación, pero no dice nada acerca de su envío a otras empresas. Esto muestra la debilidad de la «solución» a la vigilancia del «diga no si no quiere que le espíen»: ¿por qué una aplicación de linterna tendría que enviar información a nadie? Una aplicación de linterna con software libre no lo haría.
-
2013-07
Los teléfonos móviles con GPS envían la ubicación GPS mediante comando remoto y los usuarios no pueden detenerlos. (EE. UU. dice que eventualmente exigirá que todos los teléfonos móviles nuevos tengan GPS).
-
2012-12
La FTC dice que la mayoría de las aplicaciones de móviles para niños no respetan la privacidad: https://arstechnica.com/information-technology/2012/12/ftc-disclosures-severely-lacking-in-kids-mobile-appsand-its-getting-worse/.
-
2011-11
Algunos fabricantes añaden un paquete de vigilancia general oculto como Carrier IQ.
Prisiones
Prisiones son sistemas que imponen la censura en los programas de aplicación.
Tiranos
Tiranos son sistemas que rechazan cualquier sistema operativo que no esté «autorizado» por el fabricante.