Hace unos días comentábamos la última novedad de la Subsecretaría de Telecomunicaciones de Chile (SUBTEL) en lo que corresponde a la portabilidad total. Se trata de la unificación de cómo se marca en nuestros teléfonos, cuestión que corre para todos a partir del 6 de febrero próximo y necesita la modificación de la lista de contactos en nuestros móviles.

Para esto último, SUBTEL, presentó una aplicación de Android y iOS la cual es capaz de leer tus contactos para así identificarlos y modificar el tipo de marcado, agregando el “+56 9” en caso que estemos llamando a un teléfono móvil.

Publicidad

En un principio la aplicación contó con el respaldo de la gente, quienes notaron que el propósito principal de esta, daba resultados. Todo eso hasta hoy. ¿Por qué? Debido a que profesionales de seguridad informática y en programación en plataformas móviles, encontraron falencias en la fabricación de la App a cargo de la empresa ‘Cursor’.

Iré por partes para entender esta pelea online por la privacidad de datos.

1) El mal uso de recursos en la App

Primero fue el uso de módulos innecesarios detectados por Fernando Lagos (@Zerial). ¿Cámara? ¿Para qué? Si sólo necesita leer la agenda de contactos.

Tweet Zerial App Subtel peso 7mb

Frente a eso y unos tweets que compartí con Fernando sobre la posibilidad de ‘copiar y pegar’ cuestiones por defecto que vienen en las maquetas pre-hechas de algunas aplicaciones móviles, además de la poca capacidad de optimizar el trabajo por parte de la empresa Cursor, apareció un comentario. Este fue hecho por un ingeniero de esta compañía donde crearon la aplicación para SUBTEL (leer detalles al final sobre la modificación de la siguiente cita):

Tweet Ingeniero Cursor App Subtel

Dicha sentencia valida que todo se habría hecho sin un tiempo prudente, ni la capacidad de probar o encontrar fórmulas para entregar un producto óptimo a la ciudadanía. El tweet fue borrado y este ingeniero aseguró su cuenta de Twitter para evitar la lectura pública de la misma.

2) Envío de datos personales a un servidor de terceros

Después la cosa se puso más fea. Ya no sólo era sólo ‘cuestión de peso’. SPECT Research, una organización centrada en la seguridad y desarrollo de software local, advirtió que el software enviaba la ubicación del usuario, más el identificador único universal del dispositivo, conocido como UUID.

Tweet SPECT Research App SUBTEL Cursor

Frente a eso, Cristián Ochsenius, Gerente General de Cursor, respondió a EMOL que estos datos (ubicación y UUID) no permiten identificar al usuario o rastrearlo. Recalcó que esta información sólo se usa para saber si la ejecución por parte del usuario no está repetida. Cuestión que fue totalmente rechazada por la comunidad de analistas de seguridad online:

Tweet VeroValeros App SUBTEL

El detalle es que SUBTEL, en las condiciones de uso de la aplicación, dice que retendrá información para uso estadístico, incluyendo la cantidad de veces que se abre la App, además de la cantidad de contactos actualizados y las zonas geográficas donde se realizó la actualización. Pero lamentablemente, hablan por ellos y nunca se menciona la intervención de una empresa externa para la recopilación y guardado de información de los usuarios. Es decir, no se sabe con exactitud qué hace Cursor con estos datos en sus propios servidores y no en equipos físicos de la Subsecretaria de Telecomunicaciones.

Otro problema es la certificación de seguridad que tenga esta compañía para la recopilación de esta información. ¿Qué pasa si estos datos pueden ser intervenidos por malintencionados sin que Cursor y SUBTEL se den cuenta? Ahí ya entramos a otro tipo de falencias dentro de la misma concepción de esta herramienta que por muy buenas intenciones pueda tener, no justificarían el poco cuidado de la información de los dispositivos.

SUBTEL responde

Pedro Huichalaf, Subsecretario de Telecomunicaciones, se propuso calmar las aguas a través de su cuenta de Twitter, aclarando que la aplicación y SUBTEL no recopilan datos personales de los usuarios. Y más aún, dijo -en definitiva- si no le gusta, no la use.

Tweet Huichalaf App SUBTEL 01

Tweet Huichalaf App SUBTEL 02

Tweet Huichalaf App SUBTEL 03

Complementando a lo dicho por Twitter, la Subsecretaría informó que buscarán formas de mejorar el tratamiento de la información y detallarán la recopilación de estos supuestos ‘datos estadísticos’ en la misma descripción del software.

Conclusión

Eres libre de usar o no la aplicación. Puedes modificar los datos manualmente y no utilizar la herramienta. De todas maneras, esta experiencia debería servir de lección para las entidades gubernamentales que proponen desarrollar herramientas que recopilen información de usuarios y/o sus dispositivos.

Por otra parte es importante destacar que SUBTEL comete un error al validar como información ‘valiosa’ sólo lo que es para muchos evidente. Por ejemplo: un nombre, apellido, RUT o correo electrónico. También están los metadatos, los cuales deberían ser tratados de igual manera. Cuestiones como GPS o los identificadores únicos de los dispositivos no pueden estar dando vueltas por Internet y en manos de terceros.

Si aún tienes las ganas de modificar tu agenda de contactos automáticamente, también hay otras soluciones como “Actualizar Contactos Chile” de iDevSoftware, la cual está disponible en la tienda de aplicaciones de Apple sin enviar ningún tipo de información del equipo y desde el año 2012.

[9:54PM] Actualización 

Posterior a la publicación de esta nota, el ingeniero que comentó personalmente a mi cuenta de Twitter en respecto al desarrollo hecho por Cursor, solicitó que no hiciéramos referencia a su persona. Nosotros como OhMyGeek! no vamos a ocultar un comentario público que fue dicho por iniciativa propia y sin presiones, pero por respeto a su solicitud, ocultamos el nombre en este escrito. 

Escrito por: 

    Send this to a friend