El año pasado, Apple promulgó la Transparencia de seguimiento de aplicaciones, una política obligatoria que prohíbe a los creadores de aplicaciones rastrear la actividad de los usuarios en otras aplicaciones sin recibir primero el permiso explícito de esos usuarios. Los defensores de la privacidad elogiaron la iniciativa, y Fb advirtió que significaría una perdición segura para las empresas que dependen de la publicidad dirigida. Sin embargo, una investigación publicada la semana pasada sugiere que ATT, como suele abreviarse, no siempre frena la recopilación subrepticia de datos personales o la toma de huellas dactilares de los usuarios.

En el corazón de ATT está el requisito de que los usuarios deben haga clic en un botón “permitir” que aparece cuando se instala una aplicación. Se pregunta: “Permitir [app] para realizar un seguimiento de su actividad en las aplicaciones y sitios internet de otras empresas? Sin ese consentimiento, la aplicación no puede acceder al llamado IDFA (Identificador para anunciantes), un identificador único que asigna iOS o iPadOS para que puedan rastrear a los usuarios en otras aplicaciones instaladas. Al mismo tiempo, Apple también comenzó a exigir a los fabricantes de aplicaciones que proporcionen “etiquetas de nutrición de privacidad” que declaran los tipos de datos de usuarios y dispositivos que recopilan y cómo se utilizan esos datos.

Lagunas, desvíos y violaciones absolutas

Ultimas semanas trabajo de investigación dijo que si bien ATT en muchos sentidos funciona según lo previsto, las lagunas en el marco también brindan la oportunidad para que las empresas, en explicit las grandes como Google y Fb, eviten las protecciones y almacenen aún más datos. El documento también advirtió que, a pesar de la promesa de Apple de una mayor transparencia, ATT podría dar a muchos usuarios una falsa sensación de seguridad.

“En normal, nuestras observaciones sugieren que, si bien los cambios de Apple dificultan el seguimiento de los usuarios individuales, motivan un contramovimiento y refuerzan el poder de mercado existente de las empresas guardianas con acceso a grandes cantidades de datos propios”, escribieron los investigadores. “Hacer que las propiedades de privacidad de las aplicaciones sean transparentes a través del análisis a gran escala sigue siendo un objetivo difícil para los investigadores independientes y un obstáculo clave para las protecciones de privacidad significativas, responsables y verificables”.

Los investigadores también identificaron nueve aplicaciones de iOS que usaban código del lado del servidor para generar un identificador de usuario mutuo que una subsidiaria de la compañía tecnológica china Alibaba puede usar para el seguimiento entre aplicaciones. “Compartir la información del dispositivo con el fin de tomar las huellas dactilares violaría las políticas de Apple, que no permiten a los desarrolladores ‘obtener datos de un dispositivo con el fin de identificarlo de manera única’”, escribieron los investigadores.

Los investigadores también dijeron que Apple no está obligada a seguir la política en muchos casos, lo que hace posible que Apple aumente aún más la reserva de datos que recopila. También señalaron que Apple también exime el seguimiento con el fin de “obtener información sobre la solvencia crediticia de un consumidor con el propósito específico de tomar una determinación crediticia”.

Los representantes de Apple y Alibaba no respondieron de inmediato a los correos electrónicos en busca de comentarios.

Según una comparación de 1685 aplicaciones publicadas antes y después de la entrada en vigor de ATT, la cantidad de bibliotecas de seguimiento que usaron permaneció aproximadamente igual. Las bibliotecas más utilizadas, incluidas SKAdNetwork de Apple, Google Firebase Analytics y Google Crashlytics, no cambiaron. Casi una cuarta parte de las aplicaciones estudiadas afirmaron que no recopilaron ningún dato del usuario, pero la mayoría de ellas, el 80 por ciento, contenía al menos una biblioteca de seguimiento.

En promedio, la investigación encontró que las aplicaciones que afirmaban que no recopilaban datos de los usuarios, sin embargo, contenían 1,8 bibliotecas de seguimiento y se pusieron en contacto con 2,5 empresas de seguimiento. De las aplicaciones que usaron SKAdNetwork, Google Firebase Analytics y Google Crashlytics, más de la mitad no reveló tener acceso a los datos del usuario. Al SDK de Fb le fue un poco mejor con una tasa de falla de alrededor del 47 por ciento.

Habilitación de los acaparadores de datos

Las discrepancias no solo subrayan las limitaciones de ATT, sino que también refuerzan el poder de lo que los investigadores llamaron “guardianes” y la opacidad de la recopilación de datos en normal. Los investigadores escribieron:

Nuestros hallazgos sugieren que las empresas de rastreo, especialmente las más grandes con acceso a grandes cantidades de datos propios, aún rastrean a los usuarios entre bastidores. Pueden hacerlo a través de una variedad de métodos, incluido el uso de direcciones IP para vincular ID específicos de instalación entre aplicaciones y a través de la funcionalidad de inicio de sesión proporcionada por aplicaciones individuales (por ejemplo, inicio de sesión de Google o Fb, o dirección de correo electrónico). Especialmente en combinación con otras características del usuario y del dispositivo, que según confirmaron nuestros datos, las empresas de rastreo aún recopilan ampliamente, sería posible analizar el comportamiento del usuario en las aplicaciones y los sitios internet (es decir, huellas dactilares y seguimiento de cohortes). Por lo tanto, un resultado directo del TCA podría ser que se refuercen los desequilibrios de poder existentes en el ecosistema de rastreo digital.

Incluso encontramos un ejemplo del mundo actual de Umeng, una subsidiaria de la compañía tecnológica china Alibaba, que usa su código del lado del servidor para proporcionar aplicaciones con un identificador de aplicaciones cruzadas derivado de huellas dactilares… El uso de huellas dactilares viola las normas de Apple. y plantea interrogantes sobre hasta qué punto la empresa es capaz de hacer cumplir sus políticas. En última instancia, ATT podría alentar un cambio de tecnologías de seguimiento detrás de escena, de modo que estén fuera del alcance de Apple. En otras palabras, las nuevas reglas de Apple podrían conducir a una transparencia aún menor en torno al seguimiento que la que tenemos actualmente, incluso para los investigadores académicos.

A pesar de sus fallas, ATT sigue siendo útil. No puedo pensar en ningún beneficio actual de permitir que una aplicación rastree mi uso de todas las demás aplicaciones instaladas en mi teléfono durante meses o años. La forma más fácil de hacer cumplir ATT es acceder a la configuración de iOS> Privacidad> Seguimiento y desactivar “Permitir que las aplicaciones soliciten el seguimiento”. Las personas que desean privacidad adicional de iOS deben desinstalar cualquier aplicación que ya no se necesite o considerar comprar una aplicación como la Cortafuegos guardián. Sin embargo, en última instancia, es possible que el seguimiento y la toma de huellas dactilares del dispositivo se queden aquí de alguna forma, incluso en el jardín amurallado de Apple.