Privacitat i seguretat als telèfons mòbils.

Les Apps i la seguretat en mòbilsEn data 4 d’octubre de 2012 hem assistit amb els companys de feina a una conferència sobre “La privacitat als telèfons mòbils i l’entorn 2.0”, organitzada per l’Àrea d’Innovació del Parc Científic i Tecnològic de la Universitat de Girona i presentada per l’empresa Prodat Catalunya ( @prodatCatalunya )

La conferència s’ha centrat principalment en dos grans àmbits:

  • Què fan les Apps (aplicacions per mòbils) amb les nostres dades?
  • Marc legal de la protecció de dades de caràcter personal en les Apps

Moltes Apps tracten dades sense el nostre consentiment, sobretot les que han estat desenvolupades en països on no hi ha un marc legal per a la protecció de dades de caràcter personal.

Tenim l’exemple de Facebook , Angry birds , Whatsapp , i moltes altres.

Amb Angry Birds hi ha hagut recentment una problemàtica important ja que tractava i cedia les dades dels seus usuaris sense informar ni sol·licitar el consentiment. Moltes d’aquestes dades han anat a parar en mans de Google.

Pel que fa a les Apps de missatgeria instantània, Whatsapp presenta uns quants inconvenients en quant a seguretat respecte al seu competidor Blackberry messenger. Aquest últim llegeix el codi IMEI del terminal, enllaçant directament l’aplicació amb el mòbil. En conseqüència, no es pot deslligar el titular del telèfon de l’usuari d’aquesta App. En canvi, WhatsApp no és tant fiable respecte a la identitat de l’usuari.

D’altra bana, BBMessenger demana sempre el consentiment previ per poder enviar missatges a un contacte, al contrari de WhatsApp amb el qual ens podem trobar que qualsevol persona que tingui el nostre número de telèfon pot comunicar amb nosaltres i no forçosament sabem qui ens té entre els seus contactes, és a dir, no es demana consentiment previ.

Una App desenvolupada a Espanya té l’obligació de complir la LOPD i per tant, si vol accedir a les dades dels contactes d’un telèfon i/o fer-ne un tractament, és necessari que demani consentiment als contactes de l’agenda i els informi del tractament de les seves dades. Malauradament, portar-ho a la pràctica és complex perque la majoria d’empreses desenvolupadores es troben als EEUU.

Compte si es vol utilitzar Whatsapp messenger per a finalitats corporatives, comercials, polítiques o socials perque s’ha de complir la llei i com que aquesta App no la compleix, tampoc l’estaríem complint si l’utilitzem per enviar missatges publicitaris. Som nosaltres els responsables d’aplicar les mesures de seguretat segons el nivell de les dades.

Tot i que aquestes obligacions queden excloses en l’àmbit privat, cal anar també amb compte amb els grups de xat, que s’entenen com a tals fins a un màxim de 30 usuaris. Un perfil obert o un gran nombre de contactes en una xarxa social en la qual es publica informació personal d’altres (origen racial, religió, salut) ens converteix en responsables del tractament. En aquest sentit, la publicació de fotografies a les xarxes socials pot ser considerada com a intromissió il·legítima al dret a la intimitat i a la pròpia imatge si no s’han demanat el consentiment expres per a la publicació o difusió.

Recomanacions per a l’ús de les Apps:

  • Informar-nos bé sobre els riscos
  • Configurar paràmetres de seguretat
  • Evitar aportar informació sobre tercers sense el seu consentiment

Consideracions especials per als menors:

Els menors de 14 anys no poden manifestar el seu consentiment pel tractament de les dades. Cal demanar-ho als seus pares o tutors legals. A Espanya, un menor no pot tenir un mòbil registrat al seu nom, lo qual no impedeix que el pare en sigui el titular i el cedeixi al fill. Una recomanació saludable per a tots els pares és capar els mòbils per evitar sorpreses o compres no desitjades, com va passar amb l’aplicació dels Barrufets.

El nostre rastre a la xarxa

Quan naveguem per Internet, deixem empremtes com:

  • la nostra adreça IP pública
  • quin sistema operatiu tenim instal·lat
  • quin navegador hem fet servir
  • analítiques d’ús d’aplicacions i pàgines visitades (Google Analytics i Facebook Like)

I de vegades podem revelar :

  • localització mitjançant GPS, segons xarxes wifi a les que estem connectades, node 3G al que estem connectats, o simplement mitjançant la IP pública.
  • si alguna de les aplicacions a les que hem accedit utilitzen “cookies” també podrien haver-hi a dins dades personals o de la nostra interacció amb l’aplicació.
  • Altres informacions que les pròpies aplicacions a les que accedim estan enviant a servidors externs (com són per exemple la cerca d’actualitzacions de programari, la depuració d’errors, etc)

Si a més ens connectem (amb portàtil o mòbil) a una xarxa Wifi pública i oberta (aeroports, universitats, parcs empresarials, etc), la nostra MAC (codi alfanumèric únic de cada dispositiu) també deixa rastre dins la mateixa xarxa, però no a fora. Si hi hagués algú “snifant” [espiant la informació que passa per la xarxa], podríem estar revelant dades personals i contrasenyes simplement mitjançant la navegació i sense ser-ne conscients.

Per evitar ser espiats, hem d’utilitzar sempre que sigui possible el protocol https. Facebook i Twitter ho permeten, només cal buscar a la configuració i emprar sempre https en lloc d’http, sobretot en dispositius mòbils. Pel que fa al WhatsApp, recentment ha afegit la possibilitat d’encriptar les comunicacions però abans no es podia, lo qual representava un forat de seguretat important.

Qui pot seguir el nostre rastre?

  • Persones conectades a la mateixa xarxa (Lan o Wifi) mitjançant les tècniques descrites anteriorment
  • L’ISP (Proveïdor de Serveis d’Internet) per control d’ús de la connexió
  • Nodes d’enrutament (qualsevol dels nodes pels quals passi la informació que enviem)
  • El responsable del lloc web al que accedim
  • Cossos policials, jutges i tribunals. Existeix una directiva de retenció de les dades que obliga als ISP a conservar totes les dades de connexions dels seus clients entre 6 mesos i 2 anys.

Llavors què podem fer?

La premissa és usar el sentit comú.

  • No fer res que no es faria a la vida real
  • No proporcionar informació personal
  • Vigilar les imatges que es pujen, les quals sempre porten implícites unes metadades amb informació (data i hora de presa, per exemple)
  • Utilitzar tallafocs i tenir l’antivirus correctament actualitzat
  • Descarregar les actualitzacions de seguretat que van sorgint de les diferents aplicacions que utilitzem
  • No proporcionar mai contrasenyes o dades en webs no segures (cal que comencin per https:// )

A més, hi han certs navegadors que permeten instal·lar extensions que proporcionen més seguretat i privacitat, tot i que la seva eficàcia és relativa.

Firefox ofereix “Addblock plus” que evita que s’obrin finestres de publicitat, i “Flashblock Plus” que evita que es carreguin presentacions de Flash. També es pot configurar per a que demani autorització per executar Javascript.

Hi ha una opció que podem marcar que s’anomena “Do not track” que serveix per indicar que no es vol ser rastrejat, però a la pràctica, el lloc web decideis si ho respecta o no. En conseqüència, no tenim cap garatia que ens facin cas.

Una altra pràctica saludable és limitar l’historial del navegador, verificar les cookies periòdicament i eliminar-les.

Existeix també un mètode de navegació privada que no deixa rastre del que visitem al nostre ordinador però sí a la xarxa (les webs registraran la nostra visita, l’ISP també i les persones conectades a la mateixa xarxa també podrien capturar-ho).

Tots els mètodes esmentats fins ara per navegar anònimament mantenen aquest anonimat en un grau molt “relatiu”.

Una eina que permetria una navegació 100% anònima sense deixar rastre ni de la geolocalització, ni de la IP, ni de la identitat, s’anomena TOR [www.torproject.org] i es basa en utilitzar varis túnels xifrats entre els nodes pels quals passa la nostra informació.

Conclusions

El fet que la majoria de serveis estiguin en el núvol i que no sapiguem què s’està fent exactament amb les dades que es recullen de les nostres interaccions amb aquestes aplicacions fa que siguem en certa manera vulnerables. Aquest encara és més preocupant si l’usuari és menor d’edat. Hem d’actuar doncs amb sentit comú i molta cura, tant en entorns mòbils com en estacions de treball conectades a internet per wifi o per lan (cable). És saludable llegir sempre els advertiments quan instal·lem una App, accedir a una adreça https sempre que sigui possible, no facilitar mai cap contrasenya que coincideixi amb la del banc o altre servei crític en donar-se d’alta a un nou servei o App, i finalment, no revelar informació personal a les xarxes socials.