Las apps móviles de Android pueden rastrear a los usuarios a través de Wifi y Bluetooth

Investigadores de IMDEA Networks, en colaboración con la Universidad Carlos III de Madrid, el Instituto IMDEA Software y la Universidad de Calgary, han llevado a cabo el estudio Your Signal, Their Data: An Empirical Privacy Analysis of Wireless-scanning SDKs in Android, donde se revela cómo ciertas aplicaciones móviles de Android utilizan las conexiones WiFi y Bluetooth de un dispositivo para rastrear los movimientos de los usuarios en su vida diaria, lo que vulnera la privacidad.

El estudio explica cómo ciertas tecnologías, como pequeños dispositivos emisores de Bluetooth localizados en espacios públicos (tiendas o aeropuertos, por ejemplo), pueden usarse para determinar la ubicación precisa de una persona dentro de un edificio. Estas señales inalámbricas, conocidas como balizas, pueden ser detectadas por las aplicaciones para rastrear a los usuarios en interiores, incluso cuando el GPS no está disponible.

Examen exhaustivo
La investigación analizó 52 kits de desarrollo de software (SDK, por sus siglas en inglés), componentes integrados en aplicaciones móviles para proporcionar funcionalidades adicionales. El equipo examinó su comportamiento en casi 10.000 aplicaciones. Los hallazgos no dejan lugar a dudas: el 86% recopilan señales GPS e inalámbricas como proxy para la geolocalización, junto con identificadores únicos de dispositivo.

Muestra además un ecosistema de rastreo de geolocalización estrechamente relacionado con objetivos publicitarios y de seguimiento, donde muchos SDK recopilan datos de ubicación no vinculados con la funcionalidad principal de la aplicación.

Sin solicitar permisos
Potencialmente, consiguen información para crear perfiles de la persona o mostrar anuncios dirigidos, a menudo sin el conocimiento ni el consentimiento del usuario. También se ha descubierto que algunos SDK accedían a datos sensibles sin solicitar los permisos precisos al sistema operativo Android, utilizando métodos indirectos para esquivar las restricciones.

Los investigadores también detectaron una técnica llamada ID bridging, en la que los SDK asocian diferentes identificadores a lo largo del tiempo para mantener un seguimiento persistente del usuario.

Ante los riesgos de vulneración de privacidad, los investigadores apuestan por limitar el acceso de los SDK a los datos personales a través de técnicas de sandboxing, de realizar auditorías proactivas de las aplicaciones que utilizan tecnologías de escaneo inalámbrico y del implemento de mecanismos más transparentes para informar a los usuarios sobre qué datos se recopilan y con qué objetivo.