Cuidado con estas «apps» en iPhone: hacen capturas de pantalla sin consentimiento, accediendo a tus datos personales

07-02-2019 - abc.es
Cuidado con estas «apps» en iPhone: hacen capturas de pantalla sin consentimiento, accediendo a tus datos personales
Si eres usuario de iPhone, revisa las aplicaciones que tienes instaladas en tu móvil porque más de una puede estar invadiendo tu privacidad sin que te des cuenta y sin pedirte permiso. La «app» de la aerolínea canadiense Air Canada, así como las de la popular firma de ropa Hollister y de la agencia Expedia, utilizan Glassbox, una herramienta con la que realizan capturas de pantalla de la actividad de sus usuarios sin consentimiento alguno. El problema es que pueden llegar a exponer incluso datos de las tarjetas de crédito. En general, las aplicaciones que los usuarios se instalan en sus «smartphones» recopilan determinados datos personales, algo que suele indicarse en las condiciones del servicio. Además, los desarrolladores deben cumplir con una serie de requisitos a la hora de subir las aplicaciones a las tiendas habituales, en este caso, iTunes, y dichas condiciones tienen que ver también con el tratamiento de los datos personales. Sin embargo, una investigación llevada a cabo por «Techcrunch» saca a la luz cómo algunas aplicaciones para iPhone de seis grandes empresas como Abercrombie&Fitch, Hollister, Air Canada, Expedia, Singapore Airlines o Hotels.com consiguen monitorizar la actividad de los usuarios a través de la herramienta Glassbox de análisis de experiencia del cliente. Glassbox, responsable del servicio homónimo, es una compañía que permite a los desarrolladores integrar tecnología de «reproducción de sesión» en sus aplicaciones. Estas reproducciones permiten a los desarrolladores de «apps» grabar la pantalla y reproducirlas para ver cómo interactúan sus usuarios con ella. Cada pulsación y entrada de teclado se registra, se captura y se envía a los desarrolladores de aplicaciones. «Imagina que tu sitio web o aplicación móvil pueda ver exactamente lo que hacen tus clientes en tiempo real y por qué lo hicieron», tuiteó Glassbox en un tuit reciente, tal y como recoge «Techcrunch». Violaciones de datos La investigación surge a raíz de una entrada publicada por el sitio web «The App Analyst» donde se muestra que la aplicación para iPhone de Air Canada no oculta correctamente las repeticiones de la sesión hechas por Glassbox cuando se envían. De esta manera, las aplicaciones que utilizan Glassbox pueden exponer los números de pasaportes y los datos de tarjetas de crédito introducidos por los usuarios durante sus sesiones en el software. Según un analista de aplicaciones contactado por «Techcrunch», descubrió recientemente que «la 'app' para iPhone de Air Canada no ocultaba correctamente las repeticiones de la sesión cuando se enviaban, exponiendo los números de pasaportes y datos de tarjetas de crédito». De hecho, Air Canada dijo que su aplicación había cometido una violación de datos, exponiendo 20.000 perfiles. «Esto permite a los empleados de Air Canada, y a cualquier otra persona capaz de acceder a la base de datos de captura de pantalla, ver información de la tarjeta de crédito y la contraseña sin cifrar», aclara el experto a «TechCrunch». Por todo ello, «Techcrunch» y «The App Analyst» decidieron analizar qué datos personales filtraban las aplicaciones que, además, no informan que están grabando la pantalla al usuario y mucho menos que los datos se envían a cada compañía o directamente a la nube de Glassbox. De hecho, el analista de aplicaciones explica que «mientras Hollister y Abercrombie&Fitch enviaban sus repeticiones de sesión a Glassbox, otros como Expedia y Hotels.com optaron por capturar y enviar datos de repetición de sesión a un servidor en su propio dominio». Entre dichos datos, se encuentran direcciones de correo electrónico y códigos postales. El investigador dijo, además, que Singapore Airlines también recopiló datos de repetición de sesión, pero los envió a la nube de Glassbox. Políticas de privacidad Ninguna de las «apps» investigadas informan en sus políticas en la App Store de Apple si graban la pantalla del usuario, vulnerando por tanto las normativas la política de privacidad de los de Cupertino. Además, Glassbox no requiere de ningún permiso especial de Apple o del usuario, por lo que no hay forma de que un usuario lo sepa Abercrombie&Fitch, y su marca Hollister, y Air Canada han declarado a «Techcrunch» que Glassbox tiene como único objetivo «la mejora de la experiencia digital de los usuarios», sin hacer referencia alguna a Glassbox, y la aerolínea ha asegurado que su aplicación «no puede hacer capturas de pantallas fuera de la 'app'», justo todo lo contrario que se recoge en el vídeo. Por su parte, un portavoz de Glassbox ha asegurado a «Techcrunch» que no obliga a sus clientes a mencionar su uso en su política de privacidad. «Glassbox tiene una capacidad única para reconstruir la vista de la aplicación móvil en un formato visual, pudiendo interactuar solo con la aplicación nativa de nuestros clientes y, técnicamente, no puede romper el límite de la aplicación». Glassbox es uno de los muchos servicios de reproducción de sesiones que hay en el mercado. Ante este panorama, The App Analyst indica que «los usuarios deberían tener un papel activo en la forma en que comparten sus datos, y el primer paso para ello es que las empresas compartan de manera directa cómo recopilan los datos de sus usuarios y con quién los comparten».