Una investigación dirigida por científicos españoles ha revelado que los móviles Android (de Google) monitorizan al usuario sin que él lo sepa y acceden a sus datos personales de forma masiva a través de un gran número de aplicaciones preinstaladas que apenas pueden retirarse del terminal.
Las conclusiones de la investigación realizada por el Instituto IMDEA Networks con sede en Leganes y la Universidad Carlos III de Madrid se recogen en el artículo “An Analysis of Pre-installed Android Software”, que difunde hoy la Agencia Española de Protección de Datos (AEPD) debido al “impacto masivo” de sus resultados sobre la privacidad y la protección de los datos personales de los ciudadanos, explica la entidad en una nota.
De hecho, la AEPD presentará este estudio y sus conclusiones en los subgrupos de trabajo del Comité Europeo de Protección de Datos (CEPD), organismo de la Unión Europea del que forma parte la entidad junto a otras autoridades europeas de protección de datos y el supervisor europeo. La investigación incluye más de 82.000 aplicaciones preinstaladas en más de 1.700 dispositivos con sistema operativo Android fabricados por 214 marcas.
Prácticamente en todos los fabricantes se ha detectado algún tipo de software preinstalado que utiliza acceso privilegiado sin conocimiento del usuario a recursos del sistema para la obtención de datos personales, según sus responsables.
La conclusión es que existe un complejo sistema de desarrolladores y acuerdos comerciales con aplicaciones preinstaladas que disponen de permisos que no se corresponden con los originarios de Android para dar acceso a sus servicios sin posibilidad de que un usuario medio pueda desinstalarlas.
Falta transparencia
El problema es que “no hay transparencia” en torno a la actividad de esas aplicaciones que el usuario no tiene capacidad para desinstalar y que vienen predeterminadas con el terminal, ha explicado uno de los autores de la investigación, Narseo Vallina-Rodríguez, de IMDEA Networks.
En ocasiones, puede que este haya dado el consentimiento para el acceso a un servicio pero en otros, puede ser totalmente inconsciente de qué está pasando con su información personal, añade el experto.
Según el estudio, el modelo de permisos para el acceso a las aplicaciones preinstaladas en Android que son distintos a los que incluye por defecto el sistema operativo de Google, permite monitorizar y obtener información personal a nivel operativo sin conocimiento del afectado, por parte de “un gran número de actores”.
Entre estos hay multitud de compañías que van desde fabricantes, hasta operadores, redes sociales, empresas multimedia, de videojuegos, de antivirus, y un sinfin más, que podrían obtener directamente beneficios por el acceso a esos datos de los usuarios para alguna actividad comercial o venderlos a otros agentes a cambio de dinero.
De hecho, el informe pretendía revelar acuerdos comerciales entre vendedores de dispositivos Android y terceros, incluyendo organizaciones especializadas en la monitorización y rastreo de usuarios y en proporcionar publicidad en internet, así como detectar y analizar vulnerabilidades y otras prácticas opacas y analizar la transparencia en la información proporcionada al usuario.
Se han identificado más de 1.200 compañías relacionadas con las aplicaciones preinstaladas, y más de 11.000 librerías (software incluido en las apps para proporcionar servicios añadidos) de las cuales muchas están relacionadas con actividades de publicidad y monitorización “on line” con fines comerciales.
Un análisis exhaustivo del comportamiento del 50 % de las aplicaciones identificadas revela que una fracción importante de las mismas presenta comportamientos potencialmente maliciosos o no deseados, como muestras de malware, troyanos genéricos o software preinstalado que facilitaría prácticas fraudulentas.
#agenciaespañoladeprotecciondedatos #protecciondedatos #usofraudulentodedatos
Fuente: Efefuturo
La Agencia Española de Protección de Datos (AEPD) ha avisado de que la navegación privada o de incógnito no resulta efectiva para prevenir el seguimiento de los dispositivos (móvil, tableta, portátil u ordenador), "proyectando una falsa sensación de seguridad".
Así lo pone de manifiesto la Agencia en su estudio 'Fingerprinting o huella digital del dispositivo', donde aborda esta técnica de identificación y rastreo de los usuarios a través de sus dispositivos y para el que ha analizado más de 14.000 páginas web dirigidas al público español, describiendo las técnicas más utilizadas para realizar ese perfilado.
La huella digital del dispositivo es un conjunto de datos extraídos del dispositivo del usuario que permiten individualizar "de forma unívoca" dicho terminal. "Dado que lo habitual es que las personas no compartan sus equipos, individualizar el terminal supone individualizar a la persona que lo utiliza y, en consecuencia, poder realizar un perfil de la misma", añade
En este sentido, advierte de que el perfilado no se limita a recopilar y analizar los hábitos de navegación o las búsquedas que realiza, sino a extraer geolocalización, datos de configuración del sistema y las aplicaciones, programas instalados, movimientos del ratón, etc. La combinación de esta y otra información permite confeccionar una huella digital única del dispositivo que lo singulariza y, por lo tanto, diferencia de forma unívoca a cada usuario en internet.
El informe publicado en febrero, el organismo explica que muchos navegadores tienen la opción de navegación privada o de incógnito, una opción con la que los usuarios "tienen la sensación de que su navegación es segura y no será rastreable".
"Puede dar la sensación de que la navegación permite que el usuario esté protegido frente al uso de la huella digital, pero es una sensación de falsa seguridad, pues a las técnicas usadas en la confección de la huella les resulta transparente la navegación privada, ya que las características que chequea la huella son las mismas, con navegación privada o sin ella, y el equipo del usuario quedará igualmente individualizado. Así pues, en este sentido, la navegación privada no es efectiva", destaca
NI INFORMACIÓN NI CONSENTIMIENTO
El informe concluye que "con mucha frecuencia" se emplean estas técnicas para recoger datos del equipo del usuario "sin ofrecerle información y sin solicitarle su consentimiento", y que el conjunto de datos recabados "puede ser tan extenso, o enriquecerse de tal forma, que puede llegar a recoger incluso categorías especiales de datos".
Asimismo, el documento advierte de que, "en la mayoría de los casos", al usuario no se le proporcionan herramientas para poder evitar "de forma efectiva" la recogida de datos y no se le ofrecen medios para ejercer los derechos establecidos en el Reglamento General de Protección de Datos (RGPD) cuando se recogen o asocian a datos personales.
En este contexto, el organismo que lidera Mar España aconseja que los usuarios utilicen la opción 'Do not track' del navegador, que permite dejar constancia de que se quiere evitar el seguimiento; instalar bloqueadores que permiten eludir la publicidad y el rastreo; deshabilitar el uso de Javascript; alternar entre distintos navegadores o ejecutar el acceso a internet en máquinas virtuales.
En relación con los consejos para la industria, se ofrecen recomendaciones tanto para los desarrolladores de productos y servicios, como para aquellas entidades que explotan los datos obtenidos a partir de la huella del dispositivo.
Para las entidades que quieran explotar datos obtenidos a partir de la huella del dispositivo, la Agencia indica que el responsable del tratamiento debe abstenerse de recabar y tratar la huella y cualquier otro dato asociado a la misma si el usuario no ha dado su consentimiento. Además, agrega que toda aplicación de huella debería chequear el estado de la opción Do Not Track.
En términos generales, el estudio recomienda a las entidades que utilizan el fingerprinting contar con los servicios de un Delegado de Protección de Datos, y deberán realizar un análisis de riesgos de protección de datos relativos a los derechos y libertades de los afectados.
"Si de dicho análisis se deriva que el nivel de riesgo es elevado, será entonces obligada la realización de una Evaluación de Impacto para la Protección de Datos (EIPD) para establecer las medidas necesarias que garanticen la protección de los derechos de los usuarios", concluye.
#agenciaespañoladeprotecciondedatos #ttcsempresadeseguridad #protecciondedatos #leyorganicadeprotecciondedatos
Fuente: Lavanguardia
.
La protección de datos sigue siendo un problema para muchas compañías. Hemos visto como compañías tan dispares como Facebook, Xiaomi, Metrovalencia o Movistar han tenido problemas para guardar correctamente la información de sus usuarios, y ahora se suma a la lista una de las nuevas eléctricas que empiezan a hacerse un hueco en el mercado español: la comercializadora eléctrica Holaluz.
La compañía, que cuenta ya con casi 200.000 clientes en nuestro país, ha dejado al descubierto en su web los denominados códigos CUPS, o Código Universal de Punto de Suministro. Se trata de un número de identificación de las instalaciones eléctricas que, al unirse a otros datos, como la dirección de domicilio concreta, tal y como revela también la página de Holaluz, resulta en la publicación de información privada y sensible de los usuarios que no debería estar ahí. El fallo, corroborado y validado por este diario, ha sido descubierto y puesto en conocimiento de la compañía por la asociación de consumidores Facua.
El objetivo de esta herramienta es ofrecerte (según fuentes internas de la compañía), usando una estimación que hacen usando datos del SIPS (Sistema de información de puntos de suministro), el precio que deberías estar pagando en tu factura de la luz en relación a lo que consumes según este baremo. Ahí encontramos el primer fallo, pues la búsqueda puede llevar a confusión ya que la herramienta está totalmente abierta y es posible buscar la estimación de cualquier dirección que te venga a la cabeza, con el aliciente de que en el resultado este cálculo te viene definido como 'tarifa actual' (puedes pensar que es un dato real). Una estimación que, además, no aparece en las webs de sus principales competidores.
Pero lo peor se encuentra más abajo. Y es que con unos pequeños conocimientos de programación y desarrollo web es posible acceder a información aún más sensible.
Tras la búsqueda y haciendo un pequeño repaso por las entrañas, encontramos, sin protección, una API con una base de datos llena de direcciones asociadas a sus instalaciones eléctricas y a la información de la misma. Es ahí donde podemos dar con los ya citados CUPS sabiendo con total certidumbre que corresponden a una dirección en concreto. ¿Para qué sirven estos CUPS? Es el código único que tiene una instalación eléctrica y es clave a la hora de hacer cualquier gestión relacionada con nuestro contrato de luz.
Contactados por Teknuatas, fuentes de Holaluz explican que ya están trabajando para arreglar los posibles fallos y aseguran que "a día de hoy, los datos que ofrecemos a través de nuestra web forman parte de una propuesta comercial que se genera en base a algoritmos y curvas estandar de consumo que Holaluz crea para poder ofrecer las condiciones más adecuadas a cada cliente. Igualmente, estamos en proceso de auditoría para renovar el sello de Confianza Online, del que ya disfrutamos desde el año pasado, y a la espera de que se clarifique la normativa al respecto".
¿Se saltan las leyes?
Después de leer esto la pregunta es clara: ¿es esta solo una mala práctica o se saltan la ley? Segúno los reglamentos de protección de datos y el Real Decreto que regula las condiciones básicas de los contratos de adquisición de energía, todo apunta a que infrigen el reglamento.
Al menos así lo cree el abogado especialista en protección de datos y socio de la firma de abogados 451.legal, Samuel Parra. "Si solo pusiesen, por ejemplo, la tarifa recomendada para un inmueble no ocurriría nada, pero al asociar una dirección concreta con un dato único como es el CUPS ya estás dejando al descubierto un conjunto de datos personales que debería estar protegido para evitar el uso ilícito del mismo, como indica el propio RGPD europeo".
La base de datos que utiliza la compañía para sus cálculos es totalmente legal, pero sus datos solo deberían poder ser consultados por el propio usuario. Así al menos lo indica la legislación vigente. "La ley 1435/2002 que regula las condiciones básicas de los contratos de adquisición de energía y el funcionamiento del SIPS establece en el apartado 4 del artículo 7 que solo las distribuidoras, las comercializadoras, las entidades competentes y el titular del contrato pueden consultar esta información. Además, el propio titular puede pedir por escrito que solo sea su propia comercializadora la que tenga sus datos", apunta Parra.
Desde la asociación Facua, su portavoz Rubén Sánchez asegura a este periódico que decidieron hacer público este descubrimiento después de ver que tras 15 días desde que mandaron el primer aviso a Holaluz explicando lo que ocurría, la compañía no había hecho nada para arreglar el buscador. "Queremos que la Agencia de Protección de Datos (AEPD) evalúe las prácticas de Holaluz porque nos parece que se da acceso libre a una información privada, y no solo eso, sino que esos datos pueden ser utilizados por usuarios malintencionados".
Fuente: Elconfidencial
La Organización de Consumidores y Usuarios (OCU) ha solicitado a la Agencia Española de Protección de Datos (AEPD) que abra un proceso de investigación a Apple por el tratamiento de datos personales de sus aplicaciones con el objetivo de comprobar si cumple con la normativa en vigor.
Todo ello con el fin de que, en su caso, se le impongan las sanciones correspondientes si se demuestra que alguna de sus aplicaciones ha recopilado y utilizado información de sus usuarios sin su consentimiento.
Así lo exigió este viernes la OCU tras conocerse que algunas aplicaciones disponibles en App Store han estado utilizando una herramienta que permite registrar los movimientos y datos de los consumidores, incluyendo la captura de las pantallas de sus móviles, "sin el consentimiento de los usuarios", por lo que consideró que la compañía "debería revisar y controlar de manera más eficiente el cumplimiento de la política de privacidad por parte de estas aplicaciones".
"A pesar de que supuestamente todas las aplicaciones que se publican en la App Store deben seguir la política de privacidad de Apple, ninguna de las aplicaciones indicadas muestra claramente en sus políticas que grabaran la pantalla del usuario, ni contaban con el permiso explícito para hacer este tipo de registro", precisó la organización.
La OCU considera que Apple "debería revisar de manera más eficiente" el cumplimiento de la política de privacidad por parte de las aplicaciones que forman parte de su App Store, así como "controlar mejor su cumplimiento".
Para la organización de consumidores, los datos que las compañías utilizan "pertenecen a los consumidores". "Son ellos los que deben tener el control sobre los mismos en todo momento, saber exactamente para qué se usan y obtener una buena parte del valor creado por las compañías que los utilizan", abundó.
A través de la campaña 'Mis datos son míos', defiende el "papel central" de los consumidores en la economía de datos y reclama que estos reciban una "parte justa" de los beneficios que estos generan para las empresas, "que no solo los utilizan para su propio beneficio, sino para comercializar con terceros", concluyó la OCU.
Fuente: Ecodiario
El Gobierno ha aumentado la partida destinada a la Agencia Española de Protección de Datos (AEPD) en un 9,3% para 2019. Así aparece reflejado en los Presupuestos Generales de 2019 que destinan, en total, cerca de 15,55 millones de euros para el ente encargado de velar por la protección de nuestros datos. El año pasado la AEPD recibió 14,23 millones de euros para desempeñar sus funciones.
El organismo independiente es el encargado de velar por la correcta aplicación de las leyes de protección de datos en nuestro país. También atiende peticiones de los ciudadanos relacionadas con el derecho al olvido o la reclamación de sus datos en Internet.
La nueva Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales permitirá a los partidos políticos elaborar bases de datos que detallen el perfil ideológico de los ciudadanos con información extraída de páginas web y redes sociales, así como enviarles propaganda electoral por medios electrónicos (SMS, WhatsApp, correo electrónico o mensajes privados a través de las redes sociales) sin su consentimiento previo.
Precisamente por eso, la AEPD tuvo que salir al paso a finales de noviembre para acallar el ruido generado por la polémica nueva ley. Entonces, la institución que preside Mar España ya dijo que no iba a permitir que los partidos hicieran perfiles ideológicos de los ciudadanos. Sin embargo, el regulador sí reconoce que los partidos podrán rastrear las redes para encontrar el número de teléfono o email de los ciudadanos para enviarles propaganda electoral sin consentimiento previo.
Fuente: Eldiario