Protección de Datos – Un error de Google permitía acceder a información privada de usuarios de la app Radar COVID

Protección de Datos – Un error de Google permitía acceder a información privada de usuarios de la app Radar COVID

La primavera pasada, Google Apple dieron a conocer su sistema de rastreo de contactos para intentar erradicar la pandemia. La promesa que ofrecían ambas empresas era garantizar a los usuarios la privacidad y seguridad para que supieran que la información personal estaba protegida. Por el contrario, no ha sido así en el caso del sistema operativo de Android.

Las aplicaciones de rastreo de contactos debían ayudar a erradicar la pandemia. Sin embargo, la app española ‘Radar Covid’ ha tenido un éxito relativo a pesar de que millones de usuarios a nivel internacional descargaron aplicaciones basadas en el sistema de Google y Apple.

Por otro lado, la empresa de privacidad AppCensus afirmó que la implementación de Google fue insuficiente, ya que los datos privados de dicha aplicación quedaban registrados en el archivo interno del dispositivo, donde eran accesibles para el resto de apps preinstaladas. Es decir, dicho error permitía conocer la identidad del usuario, localización, contactos y si había dado positivo en coronavirus.

Los únicos afectados por esta brecha de seguridad han sido los usuarios de Android. AppCensus no ha encontrado un problema similar en Apple, aunque las personas que tengan un iPhone se han podido ver afectadas por aparecer como contactos en las listas de los usuarios de Android.

Los investigadores advirtieron a Google el pasado 19 de febrero de esta brecha de seguridad. “Las notificaciones de exposición utilizan tecnología que preserva la privacidad para ayudar a las autoridades de salud pública a manejar la propagación de la COVID-19 y salvar vidas. Con este sistema, ni Google, ni Apple ni otros usuarios pueden ver la identidad del usuario y todas las coincidencias de las notificaciones de exposición ocurren en el dispositivo. Se nos notificó de un problema por el que los identificadores de Bluetooth eran accesibles temporalmente para algunas aplicaciones preinstaladas con fines de depuración. De forma inmediata tras conocer esta investigación, comenzamos el proceso necesario para revisar el problema, considerar las mitigaciones y actualizar el código. Estos identificadores de Bluetooth no revelan la ubicación de un usuario ni proporcionan ninguna otra información de identificación y nada indica que se hayan utilizado de alguna manera, ni que ninguna aplicación fuera consciente de ello”, afirma un portavoz.

“Tenemos un proceso estándar para este tipo de investigación. Inmediatamente después de conocerla, comenzamos el proceso necesario para revisar el problema, considerar las mitigaciones y actualizar el código. La implementación de esta actualización para los dispositivos Android comenzó hace varias semanas y estará completa en los próximos días“, añadía.

Las aplicaciones que llegan preinstaladas en el dispositivo desde fábrica sí que tienen accesos a los datos internos de nuestros teléfonos. Cada dispositivo Android tiene aplicaciones preinstaladas con la ‘suerte’ de leer los registros del móvil, además, los usuarios suben a estos servidores datos personales sin saber que repercusión puede llegar a tener.

Todavía está pendiente de clasificar las consecuencias de esta vulnerabilidad, ya que depende de la gravedad de los hechos que se puedan llegar a demostrar en la filtración de datos que hayan sido registrados.

Poco éxito, mucho presupuesto

A pesar de que la app Radar COVID lleva cerca de un año funcionando, no ha logrado calar mucho entre la población: hasta ahora la app contabiliza 7,2 millones de descargas, con una escasa penetración del 18%.

Sin embargo, el presupuesto destinado a ella no es igual de escaso: el Gobierno acaba de anunciar un gasto de 1,5 millones de euros en la promoción de la aplicación, lo que se suma al gasto anterior y hace un total de 3,5 millones de euros invertidos en la app de rastreo de contagios.

 

Fuente: Un error de Google permitía acceder a información privada de usuarios de la app Radar COVID (20minutos.es)

Cerrar menú