Los expertos en seguridad acaban de encontrar dos problemas gigantes de privacidad en los teléfonos inteligentes

Aranzulla de Los Pobres
El módulo de cámara del Apple iPhone 15 Pro Max.
Apple iPhone 15 Pro Max Andy Boxall / Tendencias digitales

Esta ha sido una semana bastante sorprendente en lo que respecta a la privacidad y seguridad de los usuarios de teléfonos inteligentes. Específicamente, dos investigaciones han revelado preocupaciones preocupantes sobre la privacidad en torno a la publicidad en teléfonos inteligentes y el sistema de notificación de iOS.

La primera, una investigación profunda realizada por 404 Media , descubrió que una empresa llamada Patternz está utilizando como arma el sistema de entrega de anuncios en los teléfonos inteligentes para extraer información a través de aplicaciones y luego enviarla a los postores.

El informe describió a Patternz como "una herramienta de espionaje secreta que puede rastrear miles de millones de perfiles telefónicos a través de la industria publicitaria". Patternz utiliza un canal en aplicaciones populares como 9Gag y un montón de aplicaciones populares de identificación de llamadas para realizar sus nefastos trabajos. Según se informa, Patternz les dijo a sus clientes que puede monitorear prácticamente cualquier aplicación que sea capaz de publicar anuncios.

El director ejecutivo de la compañía dice que una vez que se implementa la herramienta, que cubre más de medio millón de aplicaciones, el teléfono se convierte en una "pulsera de seguimiento de facto". Según un artículo de investigación condenatorio, perfila a más de 5 mil millones de usuarios y vende la información a los clientes que utilizan el mercado de ofertas en tiempo real (RTB). Ya sea que tengas un iPhone o un teléfono Android, esto es algo que puede afectarte.

ISA, la empresa de vigilancia detrás de Patternz, recopila estos datos de jugadores de RTB como Google y X, antes conocido como Twitter. El conjunto de datos que vende puede incluir cualquier cosa, desde una ubicación muy específica de una persona con una precisión de unos metros hasta un historial de su patrón de movimiento e incluso con quién se encuentra.

Una enorme red de vigilancia

Ilustración de personas paradas en la pantalla de un teléfono
Generado usando Dall-E 2 / Digital Trends

La existencia misma de tales herramientas también pone en duda la eficiencia de la característica Transparencia de Seguimiento de Aplicaciones, muy comercializada por Apple, cuyo objetivo es limitar dicho seguimiento mediante publicidad.

Los expertos en ciberseguridad dicen que tales herramientas permiten la vigilancia gubernamental, y empresas como ISA ya están anunciando sus servicios ante las agencias de seguridad nacionales. Eso no es una coincidencia.

El jefe de la Agencia de Seguridad Nacional ha reconocido que la NSA compra datos de navegación web de estadounidenses a intermediarios de datos, evitando la necesidad de órdenes judiciales.

La explosiva confirmación se produjo después de que el senador Ron Wyden (D-OR) suspendiera la nominación del director entrante de la NSA, Timothy Haugh, y exigiera respuestas sobre las prácticas de la agencia en la recopilación de datos de ubicación e Internet de los estadounidenses.

Wyden, que lleva tres años intentando revelar que la NSA compra los registros de Internet de los estadounidenses, recibió una carta el 11 de diciembre del actual director de la NSA, Paul Nakasone, confirmando estas compras. Reuters informó por primera vez los detalles de la carta.

Las notificaciones pueden ser nefastas

Pestaña de notificación de la aplicación Ivory
Christine Romero-Chan / Tendencias digitales

Pero los anuncios son sólo la mitad del problema. Otra investigación realizada por Mysk reveló que los delincuentes están explotando las notificaciones automáticas en los iPhones para recopilar datos cruciales para diagnósticos y entrega de datos personalizados.

Cada vez que una aplicación recibe una notificación push, iOS la activa brevemente, dándole una breve ventana para personalizar la notificación antes de mostrársela al usuario. No es sorprendente que varias aplicaciones sociales, famosas por sus hábitos invasivos de recopilación de datos, estén explotando este tiempo de ejecución en segundo plano proporcionado por las notificaciones automáticas.

Los desarrolladores pueden utilizar inteligentemente esta laguna para ejecutar código en segundo plano cuando lo deseen, simplemente enviando notificaciones automáticas. Numerosas aplicaciones utilizan esta función para enviar de forma encubierta datos completos del dispositivo mientras funcionan en segundo plano, ejecutando efectivamente un sistema para dispositivos de toma de huellas digitales.

"La frecuencia con la que muchas aplicaciones envían información del dispositivo después de ser activadas por una notificación es alucinante", afirma la empresa de seguridad. Esta investigación ha descubierto comportamientos sospechosos incluso en plataformas muy populares como Facebook, TikTok y LinkedIn.

¿Qué tienen que decir los expertos?

Ilustración de una mujer mirando a través de un teléfono
Generado usando Dall-E 2 / Digital Trends

¿La única solución a este problema? Desactivar notificaciones.

"Más recientemente, los adversarios parecen estar utilizando notificaciones emergentes y anuncios que pueden inducir a la víctima a instalar software espía en sus dispositivos", dice a Digital Trends Jon Clay, director ejecutivo de la firma global de ciberseguridad Trend Micro.

Entonces, ¿qué puede hacer una persona promedio para evitar esa vigilancia ilícita, que puede transmitir detalles de identificación como ubicación y datos locales? "A muchas personas se les ha hecho creer que los dispositivos móviles son seguros por sí solos", dice Clay, señalando que la instalación de bloqueadores de publicidad puede ofrecer algún tipo de red de seguridad o aplicaciones de seguridad dedicadas.

"Los ataques de esta naturaleza son bastante insidiosos y extremadamente alarmantes", afirma Alan Bavosa, vicepresidente de productos de seguridad de Appdome. Señala que los usuarios normalmente se encuentran en una posición indefensa frente a este tipo de ataques, ya que, en primer lugar, no son conscientes de lo que sucede en sus dispositivos.

"Hay pequeñas cosas que los usuarios pueden hacer para no empeorar las cosas, como descargar aplicaciones de tiendas de aplicaciones estándar y no cambiar (hacer jailbreak o rootear) sus dispositivos", nos dice Bavosa. "Pero estas medidas son aditivas, no curativas".

Una persona que sostiene el Apple iPhone 15 Plus y el Apple iPhone 15 Pro Max.
Apple iPhone 15 Pro Max (izquierda) y Apple iPhone 15 Plus Andy Boxall / Digital Trends

Desafortunadamente, parece que la responsabilidad recae en última instancia en el usuario, y eso también es una medida preventiva. Una sugerencia común de los expertos en ciberseguridad es profundizar manualmente en la aplicación de configuración y desactivar las aplicaciones de notificación para ciertas aplicaciones y tal vez también para los sensores del dispositivo.

"Algunos adware y spyware pueden ser publicados por malos actores en los mercados oficiales bajo la mirada de una aplicación legítima", dice Shawn Loveland, director de operaciones de Resecurity. "Se recomienda no instalar aplicaciones aleatorias o que realmente no necesitas".

Aunque los malos actores han encontrado soluciones, pedir a las aplicaciones que no rastreen la actividad del usuario en su iPhone es un paso prudente. "Es una buena idea comprobar periódicamente los permisos de las aplicaciones, especialmente los relacionados con la ubicación y el acceso al micrófono, y desactivar las que no sean necesarias", sugiere John Chapman, cofundador de la empresa de seguridad MSP Blueshift.

Un respiro llegará a finales de este año cuando Apple se prepare para pedir a los desarrolladores que expliquen explícitamente por qué necesitan acceder a las notificaciones automáticas y a los sistemas de diagnóstico relacionados en los iPhone. No solucionará todos los problemas de una sola vez, pero al menos es un comienzo decente.