La privacidad en las aplicaciones móviles

Por Germán Realpe
Gerente Cloud Seguro
@Germannube

Que pensaría si un fin de semana, realiza un pedido de domicilio por una aplicación móvil, y en vez de que le llegue su domicilio, le toca la puerta la policía con una persona diciendo que el celular de donde solicitó el domicilio es robado.

Esto le ocurrió en Bogotá el pasado 15 de febrero a Andrés Santamaría personero del Consejo de Cali, quien utilizó la reconocida aplicación domicilios.com, la cual integra reconocidas marcas de restaurantes.

Luego del incidente de dar explicaciones a la policía y a la dueña del celular robado, la empresa de la aplicación de domicilios respondió Andrés informando que todo esto se debió a un error de la plataforma, la cual envió un correo a una persona que le habían robado el celular hace unos días, confirmando un pedido realizado desde el celular de Andrés.

El correo que llega informa quien lo realizó, con teléfono, dirección y datos de contacto. La sorpresa es doble, tanto a la persona que le robaron su celular y que le informan un pedido que nunca realizó, y Andrés que realiza un domicilio desde su propio teléfono y se ve envuelto en un episodio que compromete su nombre, integridad e intimidad.

Andrés, ya ha interpuesto las denuncias correspondientes, entre ellas en contra de la aplicación móvil por el delito  de violación de datos personales, como a la policía denunciado el procedimiento inusual, el cual no tenia una orden judicial.

Lo que nos debe preocupar es a cuantas personas les ha ocurrido casos similares por el mal manejo de datos personales,  y que en muchas oportunidades no saben como denunciar, o que simplemente se quedan callados. Así mismo, genera asombro la respuesta de la aplicación en señalar que es un error de la plataforma el cual no debe pasar por ningún motivo.

SEGURIDAD Y PRIVACIDAD EN LAS APLICACIONES MÓVILES

El caso por curioso que parezca deja muchos interrogantes, el primero cual es la seguridad y privacidad de las aplicaciones móviles. Es evidente que muchas no cuentan con políticas de protección de datos. Las plataformas están diseñadas para ofrecer servicios, pero muchas no invierten en la privacidad y seguridad de los usuarios.

El caso de Andrés no es único, en el 2014 una  aplicación móvil para solicitar taxi en Bogotá, se vio envuelta en un incidente de  mal manejo de datos por parte de un taxista, quien fue recolectando datos personales de una pasajera para luego extorsionarla, el taxista fue capturado pero no se ha vuelto a discutir el tema, como preguntar a las aplicaciones de taxi o de trasporte que vienen haciendo para mejorar su seguridad en el manejo de datos de los usuarios.

En Colombia muchas personas hablan de emprendimiento, de realizar aplicaciones que sean exitosas, pero no existe una cultura de la protección de información para las aplicaciones móviles. Como me lo comentó hace unos días, un reconocido desarrollador, o se invierne en la seguridad o en la aplicación pero no se tiene presupuesto o tiempo para hacer las dos.

Las empresas de aplicaciones móviles no tienen la cultura de cifrar los datos y mucho menos tienen políticas de protección de datos de acuerdo a la ley 1581 de 2012.

Existe un desconocimiento general de muchas aplicaciones móviles en temas de protección de la información, este problema es a nivel mundial, en donde muchas compañías de seguridad  como Future Tense Central,  Latch, Riskiq, han expuesto los peligros de aplicaciones para teléfonos inteligentes. Esta ultima en un informe del 2014, señaló como que existen más de 212.000 aplicaciones con acceso a la cámara, más de 184.000 aplicaciones que pueden acceder a tus contactos y más de 66.000 a tus mensajes de texto.

PRIVACIDAD POR DEFECTO

El concepto de privacidad por defecto se traduce en que una aplicación, software o sistema desde el momento en que se crea debe tomar medidas para proteger la información de los usuarios, como la seguridad de los datos.

Para esto ya existen metodologías que revisan desde el mismo código de la aplicación y que dan pautas para la seguridad entre ellas el cifrado de datos, protocolos SSL-TLS, pruebas de vulnerabilidades, auditorias, mecanismos de autenticación, almacenamiento, etc.

Una iniciativa que deben mirar los desarrolladores de aplicaciones es la metodología de OWASP (Open Web Application Security Project), la cual se centra en el análisis de seguridad de aplicaciones y tiene una gran variedad de controles. En Colombia el tema es relativamente nuevo y no es fácil encontrar empresas o personas que se enfoquen en la auditoria de aplicaciones móviles.

La Superintendencia de Industria y Comercio en el 2014, se unió a otros organismos internacionales de protección de datos, para solicitar a las tiendas de aplicaciones móviles que obliguen a los desarrolladores que comercialicen sus “Apps” a incluir enlaces a las políticas de privacidad, antes de realizar la respectiva descarga. Está fue una iniciativa de la Red Global de Vigilancia de la Privacidad (Global Privacy Enforcement Network, o GPEN por su sigla en inglés) entre ellos Canadá, Irlanda, Reino Unido, Australia, Nueva Zelanda, Francia, entre otros países que la integran.

QUE PUEDO HACER COMO USUARIO

La principal recomendación para el usuario es que tenga mucho cuidado cuando entrega sus datos personales a las aplicaciones, es recomendable no ceder datos sensibles, así mismo analizar que tipo de información entrego para el registro de la aplicación.

No es solo que la aplicación tenga una política de protección de datos que se traduce  en un texto en word que en ocasiones nadie entiende o lee, la importancia radica en saber que información entrego y que finalidad tiene.

Muy bien lo dice John McAfe, creador del antivirus, por qué una aplicación de linterna necesita tener acceso a mis datos para poder ser instalada. El usuario es el principal eslabón de la cadena de aplicaciones y tiene todos los derechos para que le respeten su privacidad, y en el caso de que le ocurra un hecho relacionado con los datos tiene varios mecanismos en Colombia entre ellos la queja ante la SIC  o la denuncia penal por el delito de violación de datos, contemplado en la Ley 1273 de 2009.

Lo que le pasó Andrés Santamaría, le puede pasar a cualquier ciudadano es por eso que llegó la hora que reaccionemos y nos demos cuenta que somos vulnerables al usar aplicaciones en nuestros celulares.