Luego de que se implementara una de las últimas fases de portabilidad numérica en nuestro país, la Subsecretaría de Telecomunicaciones tuvo la obligación de publicar una aplicación para que todos los chilenos tuviesen la posibilidad de actualizar su agenda de números telefónicos a este nuevo formato.
El problema surgió durante la jornada de ayer, cuando las redes sociales explotaron tras develarse que la app recopila y almacena datos personales durante su ejecución. La situación quedó muy bien retratada en el reportaje publicado por OhMyGeek, donde se explica la parte técnica de este inconveniente.
En Pisapapeles quisimos escuchar la palabra de los expertos y nos pusimos en contacto con Fernando Lagos (@Zerial), experto en desarrollo y seguridad. El fue quien descubrió los permisos exagerados que requiere el funcionamiento de esta aplicación, por lo que quisimos saber su perspectiva de este incidente.
-¿Como llegaste a descubrir esta condición en la aplicación de Subtel? ¿Y como podría afectar a la privacidad de las personas?
La aplicación se puede analizar de forma fácil, se descarga, se desempaqueta y se analiza. Otra forma es ejecutarla en un ambiente controlado y realizar un análisis de tráfico.
La privacidad se ve vulnerada al momento que la aplicación no indica que la información es enviada a terceros y tampoco se habla sobre la política de privacidad y seguridad de aquella empresa privada que almacena y procesa la información.
-¿Es esto más grave viniendo de una empresa gubernamental?
Sí, mas que nada porque a través de la Subtel le estamos entregando información a una empresa privada, de la cual no conocemos sus políticas de privacidad ni que hacen con la información. No importa que el subsecretario o la ley define que es o no información personal, lo que me interesa es que yo entregue la información que yo quiera cuando yo quiera. Ese mensaje lo entendieron los usuarios, quienes se preocuparon por este asunto.
-¿Que tan terrible es la información personal que está llegando a mano de dicha empresa? ¿Que pueden hacer los usuarios para protegerse?
La información no es “terrible”, solo que se desconoce qué hace con ella. La empresa se dedica a desarrollar aplicaciones móviles, por lo que perfectamente podría estar haciendo lo mismo desde distintas apps.
Los usuarios que quieran protegerse de enviar esa información a una empresa externa, tal como dice el Subsecretario, mejor no la usen. Hay otras aplicaciones, como por ejemplo @ActualizarApp, que no envían información a nadie.
Hay otras alternativas
Por otro lado, hablamos con Carlos Oliva (@iDevSoftware), desarrollador de Actualizar Contactos Chile, aplicación que realiza la misma acción que la de Subtel. Cuesta USD $0.99 en App Store y promete no tomar información personal de ningún tipo.
-Hablemos de los permisos. ¿Por qué me debería interesar en ellos? ¿Que son y en que me afecta otorgarlos?
-En el contexto de una aplicación, los permisos son los ‘privilegios’ que uno como usuario otorga a dicha aplicación, para acceder a elementos e información sensibles de mi equipo móvil, que no debiese estar dispuesto a compartir con todo el mundo. Por ejemplo: mi ubicación actual, mis fotos, o mis contactos, son elementos que, entre otros, requieren que el usuario otorgue explicitamente ‘permiso’ para que la aplicación pueda acceder a ellos (y posteriormente hacer cualquier cosa que tenga que hacer con dichos datos).
-¿Que opinas de la situación vivida con la aplicación de Subtel? ¿Es fundamentada la crítica de los usuarios?
-Creo que fue una desprolijidad de parte de quienes lanzaron la aplicación, en este caso, Subtel. No me cabe duda que no hubo mala intención, pero el proceso debió haber sido mas transparente. Que la aplicación recolecte datos anónimos para usos estadísticos es algo casi normal hoy en día, pero debe comunicarse de manera mas explicita. El hecho de que fuese una app lanzada y promocionada por una agencia de gobierno hace levantar mas sospechas aún.
Siento que hubo un mal manejo que acrecentó aun mas la polémica. En definitiva, los errores principales fueron que la aplicación solicitara la ubicación del usuario (la cual en nada incide en la funcionalidad para la que fue diseñada), y que sin previa advertencia enviara dicha ubicación, junto con otros datos posiblemente sensibles (identificador del dispositivo, cantidad de contactos del usuario, cantidad de teléfonos actualizados), a un servidor de terceros mediante un canal inseguro como es http (v/s https).
-Sobre Actualizar Contactos Chile. ¿En que se diferencia con la app propuesta por Subtel?
Actualizar Contactos Chile, el único tipo de permiso que necesita es para acceder a los contactos del equipo móvil del usuario (algo lógico, ya que trabaja sobre ellos). Pero todo el procesamiento se realiza en forma local y la app no tiene ningún tipo de comunicación con servidores externos, no recolecta datos para estadísticas ni solicita conocer la ubicación del usuario.
Subtel tiene la palabra
Para obtener la versión de todas las partes, la Subsecretaria de Telecomunicaciones también respondió a nuestras preguntas. Primero ellos afirman que estaban conscientes de los permisos que solicita su aplicación, dado que “la app se desarrolló en conjunto con compañías y Subtel”.
Cuando les preguntamos sobre el porqué de los permisos, explicaron que son netamente con fines estadísticos. Ellos buscan saber “cuan efectiva fue la aplicación y cual fue el impacto de la medida de la nueva forma de marcar”. Subtel insiste que hay un contrato legal que respalda los términos y condiciones de la aplicación.
Finalmente quisimos saber si están considerando actualizar la app para volver opcionales dichos permisos, a lo que contestaron: “La verdad no está en nuestros planes por que no consideramos necesario hacerlo. Ya que no vulnera en ningún la privacidad de las personas“.
