ANÁLISIS DE APLICACIONES

Imagen de un teléfono celular con iconos de las redes sociales analizadas

Imagen de un teléfono celular con iconos de las redes sociales analizadasAplicaciones de Redes Sociales – Análisis Técnico

En Datávoros investigamos la recolección de datos a través de aplicaciones móviles desarrolladas por gobiernos y empresas. Hasta ahora hemos analizado aplicaciones desarrolladas y de relevancia en el contexto local y/o regional: México y Latinoamérica. (Aquí el reporte de apps de seguridad ciudadana 1,2 y el reporte de apps de Montadeudas). Comúnmente nos solicitan analizar aplicaciones de redes sociales como: Instagram, Facebook, Twitter, TikTok, etc. Y aplicaciones masivas como Uber y AirBnB. A partir de estas solicitudes, buscamos qué tanto estas aplicaciones se han analizado, con qué profundidad y a qué conclusiones para la privacidad han llegado.

Así mismo, reconocemos que estas aplicaciones de redes sociales son usadas por millones de personas en México y LATAM, y que tienen impactos a nivel internacional como lo demuestra el escándalo de Cambridge Analytical1  y el creciente debate sobre si prohibir o no TikTok en Estados Unidos y otros países por el riesgo relacionado al abuso de datos sensibles por parte de gobiernos como China. 

En este reporte general reunimos análisis de estas apps y resumimos los principales hallazgos.

 

¿Qué hicimos y cómo seleccionamos las aplicaciones?

Las aplicaciones analizadas fueron las 4 redes sociales con más personas usuarias en México en 20222:

  • Facebook 
  • Instagram
  • TikTok
  • Twitter

Es importante mencionar que las redes sociales, por diseño, no son privadas. Están desarrolladas, esencialmente, para dejar rastro de nuestra vida, gustos, hábitos y  actividades. En ese sentido, el nivel de privacidad de cada persona usuaria dependerá de dos cosas: 

  1. Aquella información que decidimos compartir de forma pública o con un grupo de personas (fotos, reflexiones, estados de ánimos, edad, ubicación, gustos, actividades de ocio, preferencias informativas)
  2. Las configuraciones de privacidad de nuestras cuentas digitales (quién puede ver nuestra foto de perfil, nombre y otros datos).

El problema, pues, sobre la privacidad en Facebook, Instagram o Twitter, tiene que ver con el modelo de negocio de estas empresas y con el uso que estas compañías hacen de los datos que entregamos de manera voluntaria. Además, estas empresas recolectan, a través de rastreadores embebidos en aplicaciones de terceros, otros datos que: o bien cruzan con los datos de las personas usuarias de sus plataformas o bien generan un perfil de las personas usuarias que no usan sus servicios. De esto podemos concluir dos cosas:

uno, que analizar las aplicaciones de Instagram, Twitter o Facebook en sí mismas no arrojaría mucha información relevante, ya que estas aplicaciones son en sí misma una suerte de “gran rastreador”: es decir que recopilan todos los datos posibles de sus personas usuarias. Por poner un ejemplo, la aplicación de Facebook no contiene ningún rastreador. Y dos, que uno de los problemas relevantes de privacidad es que Meta y Twitter, a través de sus rastreadores en aplicaciones de terceros, puede recopilar información sobre todas aquellas personas usuarias que han decidido no utilizar sus servicios3.   

El caso de TikTok, sin embargo, es distinto, al menos para Occidente. Si bien la recolección masiva de datos por parte de Meta y Twitter es alarmante, Occidente está “tranquilo” en la medida que esos datos son almacenados y procesados por compañías estadounidenses. Esto quiere decir que están sujetas a un marco legal basado en el sistema ético occidental. No pasa lo mismo con TikTok, perteneciente a ByteDance, empresa china. El riesgo ahí, según Occidente, es que el gobierno chino pueda tener (o ya tenga) acceso a todos los datos que esta aplicación pudiera recopilar de las personas usuarias “occidentales”.

icono de instagaram   icono facebook

 

¿Qué encontramos en Meta? (Instagram/Facebook)

 

Los análisis que hemos encontrado sobre la aplicación de Facebook, no son sobre su aplicación para móviles, sino sobre los rastreadores desarrollados por Facebook. En otras palabras, los dos estudios encontrados tienen más que ver con cómo Facebook puede acceder a datos de las personas usuarias fuera de su red social, que a los datos que las personas usuarias proveen voluntariamente. 

El primero de estos análisis fue realizado por Privacy International4. En este análisis, realizado en 2018 y actualizado en 2019, se analizaron aplicaciones como Spotify, KAYAK, Shazam y The Weather Channel. De todas las aplicaciones analizadas, el 60% contenía un rastreador de Facebook. Los datos enviados a Facebook incluyen:

  • Qué app se está utilizando
  • Cuando se deja de usar
  • El identificador AD_ID de Android (lo que permite relacionar a la persona usuaria de esta aplicación con su cuenta de Facebook si es que inició sesión en su teléfono Android)
  • Algunas aplicaciones como KAYAK mandaban a Facebook datos de búsquedas específicas de sus usuarios como: días de vuelo, destinos, orígenes, y similares.

En dos análisis (1, 2) realizados por el proyecto MobilSicher.de concluyen cosas muy similares a lo anterior y agregan:

  • En iOS (así como en Android) las aplicaciones que tienen un rastreador de Facebook mandan datos a Facebook.
  • El tipo de aplicación que utilizas dice mucho de ti. Se encontró el rastreador de Facebook en aplicaciones tan variadas como para leer la biblia; para leer el corán; en una aplicación sobre información del embarazo; en una para las migrañas; varias de citas; una para dejar de fumar y en una sobre diabetes, entre otras. Es obvio que con estos datos Facebook puede refinar aún más el perfil de la persona usuaria (en este ejemplo: preferencias sexuales, religión, condiciones médicas, etc.) ya que estos datos se pueden cruzar con los perfiles ya existentes, además de crear perfiles de personas usuarias no registradas en Facebook. 
  • Se desmiente la idea de que los datos que se recolectan son anónimos: gracias al AD_ID de Android, es posible vincularlos con un usuario en particular de Facebook.

En este análisis realizado por el Wallstreet Journal concluyen:

  • El tipo de aplicación que usa cada usuario puede completar y establecer perfiles muy detallados de las personas usuarias.
  • Muchas aplicaciones mandan datos sensibles a Facebook: HR Monitor, aplicación para monitorear el ritmo del corazón le mandó a Facebook esta información.
  • Flo Period & Ovulation Tracker le informó a Facebook cuándo sus usuarias estaban ovulando.
  • El 17.6% de las aplicaciones de la AppleStore tienen un rastreador de Facebook.
  • El 25.4% de las aplicaciones en la PlayStore tienen un rastreador de Facebook.5

Conclusiones sobre META

 

  • Si bien estos análisis e investigaciones no son recientes, las prácticas de privacidad no son cosa del pasado, siguen prevaleciendo. El rastreador de Facebook sigue siendo, como lo demuestran los datos de Exodus Privacy, muy utilizado. Y aunque, gracias a los esfuerzos de MobilSicher, el Wallstreet Journal y Privacy International, muchas de las aplicaciones analizadas ya no contengan este rastreador, vale la pena recordar que existen muchos otros tipos de rastreadores que están “chupando” o recolectando vorazmente los datos de los usuarios, rastreadores que pertenecen a empresas menos conocidas que bien pudieran (o no, es una suposición), estar vendiendo los datos a Facebook (o Facebook a ellos).
  • No encontramos más que este análisis sobre Instagram, pero valdría, a ese respecto, hacer una reflexión: 
    • Según la política de privacidad de Meta, los datos de las personas usuarias recolectadas en sus diversas plataformas (Facebook, Instagram, Whatsapp, etc.), pueden ser cruzados; en otras palabras, no importa que uno comparta sus datos en Instagram o sólo utilice Whatsapp, esos datos en realidad pertenecen a Meta y son procesados por esa compañía. 
  • A la hora de pensar en la privacidad sobre Facebook o Instagram, es importante recordar que toda la información otorgada de manera voluntaria es cruzada y procesada con toda aquella información recabada a través del uso de rastreadores y de otras plataformas
  • Podemos además suponer que mucho del tipo de información recabada por los rastreadores de Facebook, es igualmente recabada por las aplicaciones de Facebook e Instagram, nos referimos a los metadatos: identificadores únicos como el Android ID; tiempo y formas de uso de la aplicación; modelo del celular; contactos; eventos en el calendario; otras cuentas vinculadas al celular y más. Esto podemos suponerlo por los permisos que piden Facebook e Instagram en sus respectivas aplicaciones. 
  • Por último, es importante tener en cuenta que si usamos Whatsapp, por más que los mensajes sean cifrados de punta a punta, existen muchos otros datos que pueden ser recabados:6 número de teléfono personal, número de teléfono de nuestros contactos, hora de envío y recepción de mensajes; destinatarios; extensión y tipo del mensaje; etc. Estos datos, son cruzados con Instagram y Facebook.

 

tiktok

¿Qué encontramos en TikTok?

 

TikTok está en el ojo del huracán de varios gobiernos occidentales, en particular el de Estados Unidos por una sencilla razón: recabar datos personales de las personas usuarias. Si bien esto también lo hacen empresas como Facebook o Twitter, el riesgo está, afirman estos gobiernos, que dichos datos puedan terminar en manos del gobierno chino (siendo TikTok una empresa china). 

Sobre esta aplicación encontramos algunos análisis y haremos aquí el resumen de los hallazgos más importantes.

  • Este análisis fue realizado por Privacy international y es una comparación entre dos aplicaciones: TikTok y Douyin7. Sobre TikTok en particular concluyen que no es una aplicación maliciosa, en tanto que:
    • TikTok no manda información a sus servidores sobre: contactos, grabaciones, fotos, audio, geolocalización o videos de las personas usuarias sin antes pedir permiso.
  • En este análisis hecho por Matthias Eberl tenemos conclusiones más interesantes:
    • Los términos de búsqueda que se introducen en TikTok son mandados a Facebook.8
    • Hay información técnica (metadatos) recopilada por el rastreador de AppsFlyer (rastreador que sigue presente).
    • Existe información que puede identificar a una persona (PII) que es enviada (¿y almacenada?) a un servidor fuera de la comunidad europea (eso contraviene la legislación GDPR).
    • Los videos compartidos a través de la aplicación son vistos en la página web. Esto permite dos cosas: que TikTok sepa quién compartió el video y permite además hacer fingerprinting de la persona que ve el video.
  • Si bien no tiene que ver con el tema de privacidad directamente, existen reportes sobre actividades de discriminación y censura por parte de TikTok. Aquí dos reportajes sobre cómo TikTok ocultó videos de personas con discapacidad, y cómo aplica castigos algorítmicos hacia personas poco atractivas y empobrecidas.
  • En un análisis realizado por Baptiste Robert podemos revisar todos los datos que recolecta TikTok. Ninguno que no sea “estándar” en la industria de datos, concluye el investigador. 
  • Este estudio fue realizado por el International Cyber Policy Center (Australia). Si bien está enfocado a la censura, en el apéndice 2 hay algunas conclusiones sobre privacidad: 
    • Los datos recolectados por TikTok son muy similares a los que transparenta Baptiste Robert. 
    • En una tabla publicada en la página de anuncios de TikTok (se necesita una cuenta empresarial para poder entrar), el anunciante puede elegir la audiencia a la que quiere llegar. Esta puede ser seleccionada por elementos demográficos:  género, edad, ubicación, idioma, intereses y por elementos técnicos: tipo de conexión a internet, tipo de sistema operativo y su versión, precio del dispositivo y proveedor de telecomunicaciones. 
  • En un último análisis, publicado en el Internet Policy Review Journal, se comparan las versiones (nacionales e internacionales) de diferentes aplicaciones (Baidu, Toutiao, TopBuzz, Douyin, TikTok, y WeChat) de empresas chinas.
    • Las diferentes aplicaciones varían en cuanto a la protección de datos y su privacidad; 
    • Las diferentes versiones de esas aplicaciones (internacional, china, etc.) también varían en sus estándares de privacidad y protección de datos.  
    • No solamente son los equipos de desarrollo de las aplicaciones quienes moldean las prácticas sobre privacidad y protección de datos, sino que también hay otros 2 actores específicos: Apple y Google, debido a los diferentes requerimientos que imponen a quienes desarrollan aplicaciones para publicarlas en sus tiendas. Estos requerimientos transforman la relación que la persona usuaria tiene con su privacidad. 
    • La versión europea de la aplicación de TikTok protege mejor la privacidad de las personas usuarias que la versión china, pero en los avisos de privacidad, los avisos de las versiones chinas son más claros y transparentes sobre el uso de los datos de las personas usuarias. 

Agregamos aquí el análisis de la aplicación realizado por Exodus Privacy.

Conclusiones TikTok

  • TikTok parece que se comporta como cualquier otra red social, recabando todos los datos posibles de las personas usuarias. Los problemas de privacidad alegados por los gobiernos de Estados Unidos, Canadá y la Comunidad Europea tienen más que ver con que dichos datos puedan ser accedidos por el gobierno chino. 
  • Los datos técnicos (tipo de conexión a internet, modelo del celular, versión del sistema operativo, etc.) son utilizados por TikTok para clasificar a sus audiencias.

Twitter

¿Qué encontramos en Twitter?

 

Sobre esta aplicación no hemos encontrado ningún análisis. Pero para no dejar pasar, hicimos una rápida verificación de su política de privacidad y los rastreadores que contiene la aplicación. 

  • Datos que recoge Twitter según la política de privacidad (algunos son opcionales)
    • Nombre para mostrar; Nombre de usuario; contraseña; email o número de teléfono; fecha de nacimiento; idioma; datos únicos de inicios de sesión con terceros; ubicación; contactos; dirección;  información de pago.
    • Tweets y otros contenido publicados (fecha, aplicación y versión de Twitter); streamings hechos y sus correspondientes datos; favoritos y comunidades de las que se forma parte.
    • Interacciones con el contenido de otros usuarios (retweets, por ejemplo); menciones de otros usuarios o tu participación en streamings de otros usuarios. 
    • Interacciones con otros usuarios: a quién sigues, quién te sigue; el contenido de los mensajes directos (DM), fecha, hora y destinatarios.
    • Datos del dispositivo: dirección IP, tipo de navegador, Android ID, sistema operativo, idioma, memoria, aplicaciones instaladas y nivel de batería así como la libreta de contactos. Además la ubicación.
    • Interacciones con anuncios dentro y fuera de Twitter
    • Cookies
    • Interacción con contenidos de Twitter en sitios web de terceros
    • Además Twitter recibe información de sus socios publicitarios, desarrolladores y editores.
  • Los rastreadores que contiene son:
    • Google Crashlytics
    • Google Firebase Analytics
    • Metrics

OpenBack (comprada por Twitter)

Conclusiones

  • Si bien haría falta un análisis detallado de esta plataforma y de sus aplicaciones, de aquello que nos dicen en su aviso de privacidad, Twitter se comporta como cualquier red social. El nivel de privacidad para cualquier usuario es mínimo y Twitter se encarga de cruzar los datos otorgados voluntariamente por los usuarios con otros datos que recaba de manera triangulada. 
  • Todo lo que hemos afirmado sobre Twitter, desde que Elon Musk compró la red social, debe ser tomada con precaución ya que no tenemos demasiada certeza en la actualidad debido al frenesí de cambios que constantemente hacen en esta plataforma.

Conclusiones generales

 

  • Las aplicaciones de redes sociales son esencialmente no privadas. Una red social, por diseño, presupone traer lo privado a la arena de lo público. En este sentido, hay tres maneras en las que una aplicación de este tipo recolecta datos:
    • Primero, como persona usuaria, le otorgamos los permisos que nos solicita, como pueden ser: ubicación, acceso a lista de contactos, acceso a fotos, acceso a cuentas del celular, etc.
    • Segundo, como persona usuaria, otorgamos:
      • Los datos para nuestro registro: Nombre, apellido, número de celular, email, etc.
      • Todo aquello que compartimos voluntariamente en la red social: fotos, comentarios, likes, estados, noticias, etc.
    • Tercero, también compartimos metadatos. Estos son todos aquellos datos técnicos que se recaban de nuestro uso de la aplicación: cuánto la usamos, cuándo la usamos, dónde, cómo la usamos, qué dispositivo usamos y sus características técnicas, a qué redes de internet (wifi, datos del proveedor) nos conectamos, etc.

Con todo esto recolectado, es claro que hay pocas oportunidades para la privacidad. Si bien se pueden poner ciertos candados a aquello que compartimos en redes sociales9, no hay que olvidar que las redes sociales han transparentado, en el ojo de lo público, la vida privada de millones de personas. 

  • Recuerda que la información que recolectan las redes sociales es muy amplia, y que esa información es vendida a las empresas de publicidad. Pero no es vendida de manera directa con nombre y apellido, sino que es anonimizada y procesada, de tal manera que la persona usuarias se vuelve solamente un perfil anónimo con ciertas características (edad, género, ubicación, gustos, ideología, etc.) que permite que los anuncios le sean dirigidos de una manera personalizada.  
  • No encontramos análisis sobre las aplicaciones de Facebook, de Instagram, de Twitter y de Pinterest similares a los que investigamos en Datávoros. Creemos que esto se deba probablemente a que la recolección de datos en las redes sociales se da sobre todo con la información que comparten los usuarios voluntariamente: desde los datos para registrarse (nombre, teléfono, email, años de nacimiento, etc.) hasta las fotos, comentarios, likes, retweets y otras formas de interacción en las plataformas sociales. Le recordamos aquí a las personas usuarias que los DM’s de Facebook, instagram y Twitter, no están cifrados, lo que implica que también el contenido de esos mensajes es recopilado por las plataformas.
  • Un análisis de las aplicaciones, debido a lo expuesto anteriormente, seguramente sólo revelaría algunos datos más recopilados como lo son: la lista de contactos del celular, información técnica del dispositivo y uso de la aplicación (metadatos) y un rastreo más granular de la ubicación de la persona. 
  • La única razón de que haya análisis técnicos de la aplicación TikTok se debe probablemente a que se “sospecha” que esta aplicación pudiera ser maliciosa porque es china. Con los análisis revisados, podemos concluir que no es sospechosa.

Contenido de interés

  1. Hay un documental de Netflix donde se explica muy bien “Nada es privado
  2. El término red social es un término debatible, ya que a aplicaciones de mensajería como WhatsApp hay quienes la consideran como una red social. En nuestro caso, nos concentramos en redes sociales que no son esencialmente aplicaciones de mensajería como Whatsapp, Facebook Messenger, Telegram o Snapchat.
  3. A una conclusión similar llegan las personas detrás del proyecto MobilSicher.de
  4. Aquí el link al reporte completo en PDF.
  5. Según los datos de Exodus Privacy, el 18% (29176) de las aplicaciones analizadas en esta plataforma tiene el rastreador de Facebook Analytics;  el 20% (32593) el rastreador Facebook Login y el 19% (30559) el de Facebook Share.
  6. Aquí una guía sobre cómo averiguar qué información tiene Whatsapp de ti.
  7. Douyin es la versión china de TikTok.
  8. Al día de hoy, TikTok tiene dos rastreadores de Facebook.
  9. Aquí tres guías: Facebook, Instagram, Twitter.

1 Comentario

  1. Arpe
    Arpe el junio 5, 2023 a las 2:03 pm

    Me encantó que sus conclusiones sean serenas y no tendenciosas hacia TikTok. Ya estoy harta de la propaganda anti-TokTok que lleva a cabo el gobierno estadounidense, que solo persiguen sus fines políticos

    Responder

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Share This