La aplicación FaceApp, un programa que puede, entre otras habilidades, envejecer intencionadamente la fotografía de cualquier persona, ha provocado furor en redes sociales, pero también suspicacias.
La aplicación, que emplea un sistema neuronal basado en inteligencia artificial, analiza la fotografía de la persona después de subirla de forma automática a sus servidores, para lograr los efectos de envejecimiento o rejuvenecimiento, según sea la intención del usuario.
Sin embargo, que los servidores de FaceApp se encuentren en Rusia y la imprecisa política de privacidad del programa, han hecho saltar las alarmas.
El hecho de que la base central de datos de esta aplicación esté fuera de la Unión Europea dificulta la aplicación de la legislación comunitaria sobre protección de datos, la más exigente de las existentes en los países desarrollados.
Luego, cuando se aceptan las condiciones de uso de la aplicación, se especifica en la petición de autorización que los datos pueden ser cedidos a terceros, no así los usos que estos podrían hacer de la información.
"Se trata de algo muy preocupante", dijo al diario El País Borja Adsuara, abogado experto en comunicación digital, que elevó una acusación a las tiendas digitales por no adoptar medidas de forma cautelar.
Dani Creus, analista de seguridad de Kaspersky también advirtió de los riesgos de compartir fotos con terceros: "Debemos asumir que al subir algo a la nube, perdemos su control", explicó.
Yaroslav Goncharov, creador de FaceApp, confirmó que la aplicación desempeña el grueso del trabajo en la nube y que "únicamente se sube la foto seleccionada" para la edición. Aseguró que se encuentran "desbordados" ante la demanda por parte de los usuarios de eliminar las fotos subidas a sus servidores, una tarea que, para ellos "es una prioridad".
Contrariamente a lo que establece la propia política de privacidad de la aplicación [en su apartado 3] y que el usuario se ve obligado a aceptar, Goncharov sostuvo: "No vendemos ni compartimos datos con terceros."
El pasado mes, una aplicación machista (DeepNude) que utilizaba algoritmos para recrear desnudos falsos de cualquier mujer fotografiada vestida, solo resistió un día al aluvión de críticas generadas y fue retirada. Algunas plataformas han comenzado a poner coto, aunque otras siguen alimentando foros de intercambio de imágenes falsas y tutoriales acerca de cómo elaborarlas.
Tu móvil te vigila
No obstante esta discusión, algunos programas para móviles pueden no necesitar ni siquiera el consentimiento explícito de su dueño para compartir información personal. Miles de aplicaciones burlan las limitaciones y espían, aunque no se les autorice.
¿Para qué necesita la linterna del móvil acceder a la ubicación de un usuario? ¿Y una aplicación de retoque fotográfico al micrófono? ¿O una grabadora a los contactos? En principio, estas apps no precisan de este tipo de permisos para su funcionamiento. Cuando acceden a ellos, suele ser en búsqueda de un bien sumamente valioso: los datos.
Una investigación de un equipo de expertos en ciberseguridad reveló que hasta 12.923 apps han encontrado la forma de recopilar información privada, pese a haberles negado los permisos explícitamente.
El estudio puso de manifiesto la dificultad de los usuarios de salvaguardar su privacidad. Investigadores del Instituto Internacional de Ciencias Computacionales (ICSI) en Berkeley, IMDEA Networks Institute de Madrid, la Universidad de Calgary y AppCensus analizaron 88.000 aplicaciones de la Play Store y han observado cómo miles de ellas acceden a información como la ubicación o a datos del terminal que el usuario había denegado previamente.
Los expertos aún no hicieron pública la lista completa de apps que realizan estas prácticas. Pero según la investigación, se encuentran entre ellas la aplicación del parque de Disneyland en Hong Kong, el navegador de Samsung o el buscador chino Baidu. El número de usuarios potenciales afectados por estos hallazgos es de "cientos de millones".
Adsuara aseguró que se trata de "una infracción muy grave", porque el sistema operativo Android requiere que las apps pidan el acceso consentido a estos datos a través de permisos y el usuario les dice expresamente que no.
Las apps burlan los mecanismos de control del sistema operativo mediante los side channels y los covert channels. Una forma de hacerlo es a través de los metadatos que están integrados en las fotografías sacadas por el propietario del smartphone, aseguran los investigadores.
Por defecto, cada fotografía que saca un usuario de Android contiene metadatos como la posición y la hora en la que se han tomado. Varias apps acceden a la posición histórica del usuario pidiendo el permiso para leer la tarjeta de memoria, porque ahí es donde están almacenadas las fotografías, sin tener que pedir acceso al GPS.
También es posible acceder a la geolocalización a través del punto de acceso wifi con la dirección MAC del router, un identificador asignado por el fabricante que se puede correlacionar con bases de datos existentes para averiguar la posición del usuario "con una resolución bastante precisa".
Para que la aplicación pueda acceder a esta información, existe un permiso que el usuario debe activar en su smartphone llamado "información de la conexión wifi". Pero hay apps que consiguen obtener estos datos sin que el permiso esté activado.
Para hacerlo, extraen la dirección MAC del router que el terminal obtiene mediante el protocolo ARP (Address Resolution Protocol), que se usa para conectar y descubrir los dispositivos que están en una red local. Es decir, las aplicaciones pueden acceder a un fichero que expone la información MAC del punto de acceso wifi.
Google no dijo si tiene pensado retirar del mercado o tomar alguna medida en relación a las aplicaciones que, según el estudio, acceden a los datos de los usuarios sin el permiso pertinente. No obstante, aseguró que el problema se resolverá con Android Q, la próxima versión de su sistema operativo. La compañía pretende lanzar a lo largo del año seis versiones beta antes de dar a conocer la versión final durante el tercer trimestre.
EEUU se toma en serio el asunto
El Comité Nacional Demócrata pidió a todo el personal de los equipos de campaña de los candidatos presidenciales que borren inmediatamente FaceApp. El líder demócrata en el Senado, Chuck Schumer, solicitó al FBI y a la Comisión Federal de Comercio que la investiguen.
"Escribo para expresar mi preocupación respecto a FaceApp, una aplicación de móvil con sede en San Petersburgo, Rusia, que podría suponer riesgos de seguridad nacional y privacidad para millones de ciudadanos estadounidenses", afirmó Schumer en una carta enviada esta semana a los Federales y a la Comisión de Comercio, según AP.
"Sería profundamente preocupante si la información personal sensible de ciudadanos de EEUU se proporcionase a un poder extranjero hostil activamente involucrado en ciberhostilidades contra Estados Unidos", añadió.
El Departamento de Justicia y los servicios de inteligencia estadounidenses consideran probado que el Kremlin puso en marcha una campaña de injerencia para las elecciones presidenciales de 2016 a base de propaganda y ciberataques, como el robo de correos electrónicos al Comité Nacional Demócrata. El objetivo era favorecer la victoria del republicano Donald Trump denigrando la candidatura de su rival, Hillary Clinton.
"Pido al FBI que analice que los datos personales de millones de estadounidenses pueden acabar en manos del Gobierno ruso o entidades vinculadas al Gobierno ruso", añadió el senador.