ANÁLISIS DE APLICACIONES
Aplicaciones de Seguridad Ciudadana – Análisis Técnico
¿Qué hicimos?
Analizamos siete aplicaciones hechas por gobiernos estatales mexicanos y el gobierno federal con la función de Botón de pánico para el sistema operativo Android.
El botón de pánico es una función de emergencia presente en este tipo de aplicaciones que permite enviar una llamada silenciosa de emergencia a las agencias de seguridad del estado a la cual pertenece la aplicación. Dicha llamada, por lo general, manda una señal de alarma junto con la ubicación GPS del celular en tiempo real.
Este análisis técnico está enfocado en la privacidad y en el tratamiento de los datos personales que las personas usuarias introducen en estas aplicaciones. Por lo mismo, analizamos lo siguiente:
- Revisamos si las aplicaciones tienen rastreadores innecesarios.
- Si solicitan permisos que no se corresponden con sus funcionalidades.
- Si solicitan datos no congruentes con sus funcionalidades durante el registro de la aplicación.
- Si solicitan datos no congruentes con sus funcionalidades durante el uso de la aplicación.
- En términos de seguridad, analizamos si la información viaja de manera cifrada.
- Realizamos preguntas mediante solicitudes de transparencia a los responsables de las aplicaciones bajo el marco de la Ley Federal de acceso a la información para ver si cumplían con los lineamientos que estipula la Ley Federal de protección de datos personales en posesión de sujetos obligados.
Nota: Estos análisis no deben considerarse como una auditoría o como pruebas de penetración para la aplicación, su infraestructura o componentes relacionados. Asimismo, tampoco se evalúa la efectividad de las mismas.
¿Qué tan seguras son las aplicaciones de seguridad ciudadana?
01.
El principal fallo de seguridad de aplicaciones de seguridad de gobiernos estatales analizadas es la falta de cifrado de datos en tránsito. El cifrado es una práctica básica de seguridad digital que protege los datos personales proporcionados a través de la aplicación. Todas las aplicaciones que soliciten información personal deberían de contar con cifrado en el envío y recepción de datos.
02.
La mayoría de las aplicaciones de seguridad de gobiernos estatales analizadas contienen rastreadores de Google. Los tipos de rastreadores más utilizados son para realizar análisis de uso, rastrear problemas y fallos de la aplicación. En unos casos también se detectaron rastreadores de tipo publicitario para monetizar y dirigir publicidad.
03.
La mayoría de las aplicaciones analizadas solicitan sólo los datos necesarios para las diferentes funcionalidades que tienen. Consideramos como buena práctica el hecho de que ninguna aplicación solicite datos obligatorios de registro en exceso o incongruentes con sus funciones.
¿Cómo seleccionamos estas aplicaciones?
Para la selección de aplicaciones realizamos una lista de aquellas que cuentan con la función de botón de pánico y que son proporcionadas por instancias gubernamentales de México.
Posteriormente las clasificamos en función de la cantidad de descargas considerando que, entre más descargas, la aplicación probablemente cuenta con más personas usuarias activas.
La selección de las aplicaciones se realizó en el mes de marzo de 2022, y las siete con más número de descargas según nuestra consulta en la Playstore fueron las siguientes:
- 9-1-1 Emergencias, del Gobierno Federal
- 911CDMX, de Ciudad de México
- 911MovilBC, de Baja California
- Mujeres Seguras, de Sonora
- Seguridad Incluyente ahora Escudo Puebla, de Puebla
- Botón de Auxilio Jalisco, de Jalisco
- Mi Policía, de Ciudad de México
- Veracruz Mujer Alerta, de Veracruz1
En el enlace de cada aplicación se encuentra la ficha técnica con los análisis y conclusiones individuales de cada aplicación. Este es un reporte global de las siete aplicaciones con el objetivo de compararlas y establecer, en líneas generales, los problemas y los aciertos de privacidad de cada aplicación.
¿Qué encontramos?
Del análisis realizado en las aplicaciones, estos fueron los principales hallazgos:
01.
De las siete aplicaciones analizadas en el mes de abril de 2022, encontramos que las aplicaciones 911 Móvil BC, 911CDMX y Botón Auxilio Jalisco no cifran sus comunicaciones con los servidores, poniendo en riesgo los datos personales del usuario. En un análisis subsecuente de la aplicación Mi policía realizado el 17 de octubre de 2022, también descubrimos que esta aplicación, en su versión 3.0.10, había dejado de cifrar los datos en tránsito.
02.
Les hicimos llegar notificaciones a los equipos desarrolladores de las 4 aplicaciones arriba nombradas para informarles de este problema de seguridad. Sólo los desarrolladores de Mi Policía y Botón Auxilio Jalisco nos respondieron y arreglaron el problema.
03.
5 de las 7 aplicaciones (911 Emergencias, 911 CDMX, 911 Móvil BC, Mujeres Seguras y Escudo Puebla) contienen rastreadores de Google. Sólo dos (Mi Policía y Botón de Auxilio Jalisco) en sus versiones 3.0.10 y 96 respectivamente, en los análisis que realizamos el 17 de octubre de 2022, están libres de rastreadores.
04.
Las respuestas de acceso a la información que nos proporcionaron los responsables de todas las aplicaciones son, por lo general, vagas, confusas y muchas veces no responden a lo preguntado. En algunos casos, incluso, sus respuestas contradicen a la ley federal de protección de datos personales en posesión de sujetos obligados y a su versión estatal.
05.
Todas las aplicaciones solicitan sólo los datos necesarios para las diferentes funcionalidades que tienen.
06.
La única aplicación que solicita permisos en Android que no se relacionan de manera directa con sus funcionalidades es la aplicación Mujeres Seguras.
07.
A través de los análisis realizados detectamos los distintos proveedores de Internet (Uninet, Operbes, Coeficiente comunicaciones, Alestra, Teléfonos del Noroeste, Totalplay y Megacable) que están relacionados con estas aplicaciones. Según las respuestas de acceso a la información, los datos personales de los usuarios no están guardados en los servidores de estas empresas, sino en servidores que pertenecen a los estados y al gobierno federal. Sólo no pudimos confirmar esto en la aplicación Botón de Auxilio Jalisco porque no respondieron esta pregunta.
¿Cómo realizamos el análisis?
01. Preparación del dispositivo.
- En un dispositivo Android se instaló el sistema operativo Lineage OS en su versión 18.2 (Android 11)2.
- El sistema se instaló sin los servicios de Google ni aplicaciones de terceros, esto con el objetivo de tener un entorno controlado y limpio.
- En el dispositivo solo se instalaron las aplicaciones y servicios estrictamente necesarios para ejecutar las aplicaciones a analizar.
02. Revisión manual.
- La primera revisión consistió en instalar la aplicación a analizar y familiarizarnos con ella interactuando con su interfaz.
- Esto permite identificar todas las funciones de la aplicación y revisar algunos elementos como:
- Qué datos de registro y uso solicita la aplicación.
- Qué permisos de acceso solicita durante su funcionamiento.
- Si los links a los avisos de privacidad son correctos.
03. Análisis estático3.
- A través de la herramienta Exodus Privacy se identificaron los rastreadores presentes en cada aplicación4 y los permisos embebidos en el código.
- Estos permisos los comparamos con los permisos que se proporcionan en la descripción en la PlayStore y los que se piden durante el uso de la aplicación.
- Los permisos los clasificamos en:
- Obligatorios
- Permisos opcionales que hacen que la aplicación pierda funcionalidad
- Permisos opcionales
04. Análisis dinámico.
- Se realizó una captura del tráfico de red5 a través de una conexión VPN (Wireguard) montada en un servidor con Ubuntu Server.
- Del tráfico capturado se analizaron las conexiones que no se encontraban cifradas y la información que estas enviaban o recibían.
- Para mayor detalle de este procedimiento se puede revisar el siguiente enlace.
¿Qué información recolectan las aplicaciones?
Datos al registrarse
La siguiente tabla muestra los datos recolectados por las aplicaciones durante el registro de la aplicación.
Los registros marcados con una x denotan datos que el usuario debe otorgar de manera obligatoria.
Los registros marcados con o denotan datos opcionales.
911 Emergencias | 911CDMX | 911móvilBC | Botón auxilio Jalisco | Mi Policía | Mujeres seguras | Escudo Puebla | |
Número de celular | x | x | x | x | x | ||
Compañía telefónica | x | o | |||||
Nombre | x | x | x | x | x | x | |
Apellido Paterno | x | x | x | x | x | x | |
Apellido Materno | x | x | o | o | o | o | |
Correo Electrónico | x | x | x | x | x | ||
Fecha de nacimiento | o | o | x | o | |||
Sexo/Género | x | x | o | ||||
Contacto de emergencia | x | x | |||||
Domicilio | x | o | o | ||||
Estado | x | ||||||
Municipio/Delegación | x | o | x | ||||
Colonia | x | o | |||||
C.P. | x | o | |||||
Si se pertenece a una comunidad indígena | o | ||||||
Sordera | o | ||||||
Tipo de usuario | o |
- En el caso de Escudo Puebla, si una persona usuaria es sorda, entonces los datos de un contacto de emergencia: nombre, apellido, relación y teléfono son obligatorios.
- La aplicación Mi Policía no recolecta ningún dato de registro.
- La aplicación 911Emergencias es la única que recolecta el domicilio de manera obligatoria.
- No consideramos que ninguna aplicación solicite datos obligatorios de registro en exceso o incongruentes con sus funciones.
- Durante el registro, la aplicación Mujeres Seguras tiene la opción de contestar una encuesta sobre violencia doméstica.
Datos durante el uso de la aplicación
La siguiente tabla muestra los datos recolectados por las aplicaciones durante el uso de la aplicación.
Los registros marcados con una x denotan datos que el usuario debe otorgar de manera obligatoria.
Los registros marcados con o denotan datos opcionales.
911 Emergencias | 911CDMX | 911móvilBC | Botón auxilio Jalisco | Mi Policía | Mujeres seguras | Seguridad incluyente | |
Nombre | x | ||||||
Apellido | o | ||||||
Número de teléfono | x | ||||||
o | |||||||
Dirección | x | ||||||
Tipo de usuario | |||||||
Empresa | o | o | o | ||||
Contacto de emergencia | o | o | |||||
Edad | o | ||||||
Peso | o | ||||||
Estatura | o | ||||||
Sexo | o | ||||||
Padecimientos | o | o | o | ||||
Alergias y reacciones | o | o | o | ||||
Medicamentos actuales | o | o | o | ||||
Tipo de sangre | o | o | o | ||||
Enfermedad crónica | o | ||||||
Información extra concerniente a la salud | o |
- Los datos recopilados por 911Emergencias, 911CDMX y 911movilBC corresponden con datos solicitados para el perfil médico. Son completamente opcionales.
- Los datos de uso solicitados por la aplicación Mi Policía tienen que ver con la función de Asistencia Ciudadana, de tal manera que si la persona usuaria hace uso de esta función está obligada a rellenar los campos que marcamos con una x.
Rastreadores por aplicación
La siguiente tabla muestra cuales son los rastreadores que están presentes en cada aplicación.
9-1-1 Emergencias | 911CDMX | 911móvilBC | Mujeres Seguras | Seguridad Incluyente / Escudo Puebla | Botón de Auxilio Jalisco6 | Mi Policía | |
Firebase Analytics | x | x | x | x | x | (x) | |
Crashlytics | x | x | x | (x) | |||
Google Admob | x | (x) | |||||
Google Analytics | x | (x) | |||||
Google Tag Manager | x | (x) |
De lo anterior podemos observar que:
- Sólo dos aplicaciones no tienen rastreadores, Mi policía y Botón de Auxilio Jalisco.
- El rastreador de Firebase Analytics, presente en todas las aplicaciones, es un rastreador de análisis de uso. Puede rastrear hasta 500 tipos de eventos definidos por el equipo desarrollador y algunos de manera automática. Ejemplos de datos que se recopilan incluyen el idioma, la resolución de la pantalla, cuando se desinstala una aplicación y también cuando se restauran o modifican los datos de la misma.
- Crashlytics es el segundo rastreador más usado y sirve para rastrear problemas y fallos dentro de la aplicación.
- La aplicación que más usa rastreadores es 911 Emergencias. En particular el rastreador de AdMob, utilizado para mostrar anuncios y monetizar las aplicaciones, no debería estar presente.
- El rastreador de Tag Manager sirve para identificar secciones de código, de tal manera que no nos parece que sea un rastreador que vulnere la privacidad de los usuarios. Lo mismo podemos decir de Google Analytics, que en realidad es una versión anterior de Google Firebase Analytics.
- Cabe mencionar que Firebase Analytics y Crashlytics son rastreadores ampliamente utilizados y no necesariamente representan un problema de privacidad.
Permisos por aplicación 7
La siguiente tabla muestra los permisos que requiere cada aplicación para funcionar.
Ubicación
9-1-1 Emergencias | 911CDMX | 911móvilBC | Mujeres Seguras | Seguridad Incluyente | Botón de Auxilio Jalisco | Mi Policía | |
Ubicación en segundo plano | x | ||||||
Ubicación aproximada | x | x | x | x | |||
Ubicación precisa (GPS) | x | x | x | x | x | x | x |
Otros elementos de ubicación | x |
Llamadas y contactos
9-1-1 Emergencias | 911CDMX | 911móvilBC | Mujeres Seguras | Seguridad Incluyente | Botón de Auxilio Jalisco | Mi Policía | |
Acceso a contactos | x | x | x | x | |||
Modificar contactos | x | ||||||
Acceso a cuentas registradas en el dispositivo | x | ||||||
Llamar directamente a números de teléfonos | x | x | x | x | x | x | |
Acceso a la identidad y estado del teléfono | x | ||||||
Responder llamadas de teléfono | x |
Multimedia y almacenamiento
9-1-1 Emergencias | 911CDMX | 911óvilBC | Mujeres Seguras | Seguridad Incluyente | Botón de Auxilio Jalisco | Mi Policía | |
Cámara | x | x | x | x | |||
Leer almacenamiento | x | x | x | ||||
Grabar audio | x | x | |||||
Grabar Video | x | ||||||
Modificar almacenamiento | x | x | x | x | x |
Debido a las diferentes funciones que tiene cada aplicación, los permisos pueden ser distintos. Algunas veces, además, una misma funcionalidad puede ser implementada de distintas maneras por el equipo desarrollador. En las tablas anteriores sólo pusimos los permisos que nos parecían más relevantes.
De lo anterior podemos observar que:
- Debido a las funciones que tienen estas aplicaciones, existen varios permisos que pueden ser de riesgo como acceso a la ubicación, acceso a contactos y acceso a vídeo y fotos. Sin embargo, son necesarios para su funcionamiento.
- En general no encontramos muchos problemas en este rubro para ninguna aplicación salvo para Mujeres Seguras. Esta aplicación tiene permisos que ninguna otra aplicación tiene y que no se explican en términos de su funcionalidad. Nos preocupan en particular los permisos:
- Access_Location_Extra_Commands
- Activity_Recognition
- Authenticate_Accounts
- Get_Accounts
- Read_Phone_State (permiso nuevo en la actualización 2.0.3 analizada el 9 de agosto de 2022)
- Read_Sync_Settings
- Receive_Boot_Completed
- Write_Contacs
- Write_Sync_Settings
Problemas de seguridad y privacidad
01.
Las aplicaciones 911 Móvil BC, 911CDMX y Botón Auxilio Jalisco no cifran sus comunicaciones. Esto quiere decir que los datos de registro de las personas usuarias (que entre otros incluyen email, número de teléfono, nombre, dirección física e incluso perfil médico) pueden ser interceptados y alterados cuando están en tránsito (viajando a través de Internet).
02.
Lo mismo sucede con los datos (que incluyen localización por GPS) enviados a través de las llamadas de emergencia hechas a través del botón de pánico.
03.
La segunda semana de agosto de 2022 se le notificó a los equipos de desarrollo de estas aplicaciones sobre los problemas encontrados. De estas notificaciones solo el equipo de Botón Auxilio Jalisco respondió de recibido y corrigieron los fallos reportados.
04.
En la actualización del 8 de septiembre del 2022 de la aplicación Mi Policía (versión 3.0.10), descubrimos que también había dejado de cifrar los datos en tránsito, poniendo en riesgo los datos del usuario cuando hace una denuncia ciudadana.
-
- Estos datos pueden incluir nombre, apellidos, email, teléfono y dirección.
- El equipo de desarrollo de la aplicación fue notificado de este problema la tercera semana de octubre de 2022 y este fue resuelto en la versión 3.0.13 en el análisis que realizamos el 17 de noviembre de 2022.
05.
La aplicación 911MóvilBC tiene un fallo de seguridad en el inicio de sesión y registro de usuario el cual permite que un usuario B pueda iniciar la sesión de un usuario A con solo conocer el número telefónico del usuario A.
06.
La aplicación de Seguridad Incluyente (ahora Escudo Puebla) redirige a varias páginas del gobierno del estado de Puebla. Estas páginas tienen rastreadores tanto de Facebook y Twitter. En ese sentido existe la posibilidad que un usuario pueda ser rastreado por estas dos empresas al entrar a las páginas a través de la aplicación.
07.
De manera similar sucede con la aplicación 911CDMX que, en su función de información sobre alertas sísmicas, usa el servicio de Twitter para difundirlas.
08.
Ninguna de las aplicaciones, salvo Botón de Auxilio Jalisco, tiene la opción de darse de baja definitiva.
09.
La aplicación 911CDMX no permite su re instalación a menos que se restaure el celular a su configuración de fábrica.
10.
La aplicación 9-1-1 Emergencias no permite recuperar una cuenta ya creada. En la práctica esto implica que uno no puede reinstalar la aplicación. En la última revisión que hicimos de la aplicación (18/10/2022), no pudimos registrarnos. Para todo efecto, hasta esa fecha, esta aplicación ya no sirve.
Consideraciones para personas usuarias.
Consideraciones de seguridad.
01.
No recomendamos el uso de las aplicaciones 911CDMX y 911MóvilBC ya que no cifran sus comunicaciones. Esto vuelve vulnerables los datos personales y sensibles de quienes utilizan la aplicación.
02.
No recomendamos el uso de la aplicación 911MóvilBC ya que, debido a la implementación defectuosa en su inicio de sesión y registro, los datos personales y sensibles de quien la utiliza podrían quedar expuestos.
Consideraciones de privacidad.
01.
La mayoría de las aplicaciones utilizan Google Maps (excepto por 911CDMX que utiliza el servicio de Here) para la geolocalización del usuario. Por lo que estos datos son almacenados en los servidores de estas dos empresas.
02.
5 de las 7 aplicaciones utilizan rastreadores de Google, por lo que los datos de uso que generan las personas usuarias de la aplicación son almacenados en los servidores de esta empresa.
03.
En la actualización de Seguridad Incluyente a Escudo Puebla, los equipos desarrolladores agregaron el permiso AD_ID. Este permiso le da acceso a los desarrolladores al Android Advertising ID. Esta aplicación establece comunicaciones con dos servicios enfocados a la publicidad y el marketing: www.moat.com y www.addthis.com.
Reportes técnicos.
- 9-1-1 Emergencias, del Gobierno Federal
- 911CDMX, de Ciudad de México
- 911MovilBC, de Baja California
- Mujeres Seguras, de Sonora
- Seguridad Incluyente ahora Escudo Puebla, de Puebla
- Botón de Auxilio Jalisco, de Jalisco
- Mi Policía, de Ciudad de México
Reporte sobre solicitudes de acceso a la información.
Notificaciones de vulnerabilidades.
Contenido de interés
- Esta aplicación se analizó en colaboración con la periodista Fabiola González. La nota periodística se publicó de manera impresa en el Diario de Xalapa el 12 de junio de 2023. Además se publicó online en el medio ya mencionado y en www.laclaveonline.com. Esta aplicación no fue tomada en cuenta para este reporte ya que se analizó posteriormente.
- Como hicimos varios análisis posteriores debido a las actualizaciones de las aplicaciones, también utilizamos Lineage OS 19.1 (Android 12). Esto, sin embargo, no alteró ningún resultado.
- El análisis estático se refiere al análisis del código de la aplicación.
- Además comparamos estos resultados con los resultados que arrojó la aplicación Tracker Control. No hubo ningúna diferencia entre los resultados arrojados.
- En términos generales el tráfico de red son los paquetes de datos que se envían y reciben desde el celular a través de internet.
- En la última actualización de esta aplicación (versión 95) y el análisis que hicimos de esta versión el 9 de agosto de 2022, todos los rastreadores fueron eliminados. En la versión 96, analizada el 30 de agosto, también siguen ausentes.
- En las fichas particulares de cada aplicación hay una tabla donde se relacionan los permisos con las funciones de la aplicación.