Hace unos días comentábamos la última novedad de la Subsecretaría de Telecomunicaciones de Chile (SUBTEL) en lo que corresponde a la portabilidad total. Se trata de la unificación de cómo se marca en nuestros teléfonos, cuestión que corre para todos a partir del 6 de febrero próximo y necesita la modificación de la lista de contactos en nuestros móviles.
Para esto último, SUBTEL, presentó una aplicación de Android y iOS la cual es capaz de leer tus contactos para así identificarlos y modificar el tipo de marcado, agregando el «+56 9» en caso que estemos llamando a un teléfono móvil.
En un principio la aplicación contó con el respaldo de la gente, quienes notaron que el propósito principal de esta, daba resultados. Todo eso hasta hoy. ¿Por qué? Debido a que profesionales de seguridad informática y en programación en plataformas móviles, encontraron falencias en la fabricación de la App a cargo de la empresa ‘Cursor’.
Iré por partes para entender esta pelea online por la privacidad de datos.
1) El mal uso de recursos en la App
Primero fue el uso de módulos innecesarios detectados por Fernando Lagos (@Zerial). ¿Cámara? ¿Para qué? Si sólo necesita leer la agenda de contactos.
Frente a eso y unos tweets que compartí con Fernando sobre la posibilidad de ‘copiar y pegar’ cuestiones por defecto que vienen en las maquetas pre-hechas de algunas aplicaciones móviles, además de la poca capacidad de optimizar el trabajo por parte de la empresa Cursor, apareció un comentario. Este fue hecho por un ingeniero de esta compañía donde crearon la aplicación para SUBTEL (leer detalles al final sobre la modificación de la siguiente cita):
Dicha sentencia valida que todo se habría hecho sin un tiempo prudente, ni la capacidad de probar o encontrar fórmulas para entregar un producto óptimo a la ciudadanía. El tweet fue borrado y este ingeniero aseguró su cuenta de Twitter para evitar la lectura pública de la misma.
2) Envío de datos personales a un servidor de terceros
Después la cosa se puso más fea. Ya no sólo era sólo ‘cuestión de peso’. SPECT Research, una organización centrada en la seguridad y desarrollo de software local, advirtió que el software enviaba la ubicación del usuario, más el identificador único universal del dispositivo, conocido como UUID.
Frente a eso, Cristián Ochsenius, Gerente General de Cursor, respondió a EMOL que estos datos (ubicación y UUID) no permiten identificar al usuario o rastrearlo. Recalcó que esta información sólo se usa para saber si la ejecución por parte del usuario no está repetida. Cuestión que fue totalmente rechazada por la comunidad de analistas de seguridad online:
El detalle es que SUBTEL, en las condiciones de uso de la aplicación, dice que retendrá información para uso estadístico, incluyendo la cantidad de veces que se abre la App, además de la cantidad de contactos actualizados y las zonas geográficas donde se realizó la actualización. Pero lamentablemente, hablan por ellos y nunca se menciona la intervención de una empresa externa para la recopilación y guardado de información de los usuarios. Es decir, no se sabe con exactitud qué hace Cursor con estos datos en sus propios servidores y no en equipos físicos de la Subsecretaria de Telecomunicaciones.
Otro problema es la certificación de seguridad que tenga esta compañía para la recopilación de esta información. ¿Qué pasa si estos datos pueden ser intervenidos por malintencionados sin que Cursor y SUBTEL se den cuenta? Ahí ya entramos a otro tipo de falencias dentro de la misma concepción de esta herramienta que por muy buenas intenciones pueda tener, no justificarían el poco cuidado de la información de los dispositivos.
SUBTEL responde
Pedro Huichalaf, Subsecretario de Telecomunicaciones, se propuso calmar las aguas a través de su cuenta de Twitter, aclarando que la aplicación y SUBTEL no recopilan datos personales de los usuarios. Y más aún, dijo -en definitiva- si no le gusta, no la use.
Complementando a lo dicho por Twitter, la Subsecretaría informó que buscarán formas de mejorar el tratamiento de la información y detallarán la recopilación de estos supuestos ‘datos estadísticos’ en la misma descripción del software.
Conclusión
Eres libre de usar o no la aplicación. Puedes modificar los datos manualmente y no utilizar la herramienta. De todas maneras, esta experiencia debería servir de lección para las entidades gubernamentales que proponen desarrollar herramientas que recopilen información de usuarios y/o sus dispositivos.
Por otra parte es importante destacar que SUBTEL comete un error al validar como información ‘valiosa’ sólo lo que es para muchos evidente. Por ejemplo: un nombre, apellido, RUT o correo electrónico. También están los metadatos, los cuales deberían ser tratados de igual manera. Cuestiones como GPS o los identificadores únicos de los dispositivos no pueden estar dando vueltas por Internet y en manos de terceros.
Si aún tienes las ganas de modificar tu agenda de contactos automáticamente, también hay otras soluciones como «Actualizar Contactos Chile» de iDevSoftware, la cual está disponible en la tienda de aplicaciones de Apple sin enviar ningún tipo de información del equipo y desde el año 2012.
[9:54PM] Actualización
Posterior a la publicación de esta nota, el ingeniero que comentó personalmente a mi cuenta de Twitter en respecto al desarrollo hecho por Cursor, solicitó que no hiciéramos referencia a su persona. Nosotros como OhMyGeek! no vamos a ocultar un comentario público que fue dicho por iniciativa propia y sin presiones, pero por respeto a su solicitud, ocultamos el nombre en este escrito.
