Investigadores norteamericanos y de IMDEA Networks, en Madrid, han analizado casi 6.000 aplicaciones móviles para niños y han comprobado que más de la mitad pueden estar violando la legislación de EE UU sobre protección de la privacidad infantil en internet, ya que comparten datos personales con terceros. Multitud de 'apps' y videojuegos disponibles en la tienda Google Play hacen un seguimiento potencialmente ilegal del uso que les dan los menores.
Un grupo de investigadores de EE UU, Canadá y España ha analizado 5.855 aplicaciones (apps) para niños y ha descubierto que un 57% puede estar violando la Ley de Protección de la Privacidad Infantil en Internet (COPPA, por sus siglas en inglés) que está en vigor en EE UU. Miles de las aplicaciones probadas recogieron y compartieron con terceros los datos personales de niños menores de 13 años sin el permiso de los padres.
Los servicios a los que llega esta información, como la publicidad en línea y la monitorización de usuarios, están en su mayor parte destinados a compartir datos con terceros, según el estudio, que se publica en la revista Proceedings on Privacy Enhancing Technologies y se presentará en el Privacy Enhancing Technologies Symposium (PETS 2018) que se celebrará el próximo mes de julio en Barcelona.
Los investigadores encontraron que el 28% de estas aplicaciones accedieron a datos confidenciales protegidos por permisos de Android y que el 73% de las aplicaciones probadas transmitieron datos confidenciales a través de internet.
Entre las aplicaciones analizadas, 4.8% presentaron "violaciones claras cuando las aplicaciones compartían información de ubicación o contacto sin consentimiento, 40% compartieron información personal sin aplicar medidas de seguridad razonables, 18% compartieron con servicios o socios empresariales identificadores persistentes (como el IMEI del móvil) para fines prohibidos, por ejemplo la publicidad dirigida, y 39 % no parecen tomar medidas suficientes para proteger la privacidad de los niños", de acuerdo con el coautor Narseo Vallina-Rodriguez, investigador del Instituto IMDEA Networks en Madrid y el Instituto Internacional de Ciencias de la Computación de la Universidad de California en Berkeley (EE UU).
"Si bien acceder a un recurso confidencial o compartirlo a través de Internet no significa necesariamente que una aplicación viole COPPA, ninguna de estas aplicaciones logró el consentimiento paterno verificable: si la prueba automatizada que realizamos fue capaz de activar la funcionalidad, entonces un niño también lo haría", afirman los investigadores.
Además, muchas de estas aplicaciones utilizan servicios proporcionados por terceros cuyos términos de servicio prohíben su utilización en apps dirigidas a menores. Por tanto las apps que integran el software de tracking proporcionado por estos servicios no solo pueden estar infringiendo COPPA, sino los términos legales por los que se rigen dichos servicios. Un ejemplo de estos terceros, de entre los muchos que menciona el estudio, es el servicio Crashlytics cuyo propietario es Alphabet (multinacional matriz de Google).
Cada una de las apps estudiadas fue instalada, de media, más de 750.000 veces, lo que significa que pueden estar siendo potencialmente utilizadas en millones de dispositivos a escala global. De hecho, multitud de las aplicaciones y juegos infantiles más populares disponibles, en su mayoría gratuitamente, en la tienda Google Play, hacen un seguimiento o ‘tracking’ potencialmente ilegal del uso que realizan los niños.
Entre las aplicaciones analizadas se incluyen algunas muy populares como los juegos ¿Dónde está mi agua? de Disney y Minion Rush de Gameloft, así como Duolingo, un app para el aprendizaje de idiomas. Disney, Gameloft y Google han declarado a medios internacionales en respuesta a este estudio que la protección de los derechos de los niños es de gran importancia para ellos y se han comprometido a investigar lo sucedido.
Estos hallazgos salen a la luz en un momento en el que Facebook, otro gigante de Silicon Valley con enorme interés en el negocio de la publicidad digital, está en el radar de las agencias internacionales de protección de datos por la filtración ilegal de información de 87 millones de americanos a la empresa Cambridge Analytica.
Críticos de Google, Facebook y otros interesados que dominan el mercado de las aplicaciones digitales, afirman que se han beneficiado enormemente de los avances en la tecnología de seguimiento de datos para promover sus fines comerciales, incluso cuando los reguladores no han podido mantenerse al día sobre las intrusiones de privacidad resultantes.
La ley existe en EE UU y a finales de mayo la Unión Europea pondrá en funcionamiento la nueva legislación GDPR (en España será conocida como RGPD) para la regulación de la privacidad en internet. Esta ley paneuropea está orientada a atajar y controlar el uso fraudulento y transnacional de la ingente cantidad de datos personales que fluyen en la red, un negocio en boga de compra-venta de datos, que es desconocido para el consumidor, a pesar de ser su producto estrella.
No obstante, según Vallina-Rodriguez, “hasta la fecha, estos intentos reguladores parecen haber tenido poco efecto en frenar estas prácticas. Todavía hay innumerables ejemplos de juegos y aplicaciones para niños que utilizan servicios de terceros que recopilan datos de seguimiento sin el consentimiento de los padres".
"Google, por ejemplo, tiene un programa para desarrolladores de apps destinadas a familias (el programa DFF, por sus siglas en inglés), el cual requiere a los desarrolladores el cumplimiento de COPPA pero, como muestran nuestros resultados, parece que no hay ninguna (o solo limitada) aplicación de la ley ya que no se impone su cumplimiento", añade el investigador.
Además, el análisis realizado de las aplicaciones certificadas como 'seguras' por el programa de ‘puerto seguro’ de la Comisión Federal de Comercio de EE UU (FTC) no dio mejores resultados. La mayoría seguían violando COPPA, a pesar de la certificación obtenida.
Los resultados de este estudio agravan la candente preocupación sobre la escasez de transparencia de las empresas a las que día a día adultos y menores, padres e hijos, confiamos información altamente sensible.
"De acuerdo con nuestros datos, no está claro que la autorregulación de la industria haya resultado en estándares de privacidad más elevados; algunos de nuestros datos sugieren lo contrario. Por lo tanto, la autorregulación de la industria parece ser ineficaz", señalan los autores. Según ellos, se requieren esfuerzos centralizados de regulación y control por parte del gobierno ya que la violación de los derechos de los consumidores es prevalente y masiva.
Referencia bibliográfica:
Irwin Reyes, Primal Wijesekera, Joel Reardon, Amit Elazari Bar On, Abbas Razaghpanah, Narseo Vallina-Rodriguez, Serge Egelman. “Won’t Somebody Think of the Children?” Examining COPPA Compliance at Scale. Proceedings on Privacy Enhancing Technologies 3:63–83n, 2018. También se presentará en The 18th Privacy Enhancing Technologies Symposium (PETS 2018), que se celebra entre el 24 y 27 de julio de 2018 en Barcelona.