Una investigación española revela las amenazas ocultas de las aplicaciones móviles que ponen en riesgo la privacidad
Trust eWare, disponible ya en código abierto, analiza en tiempo real el comportamiento de las aplicaciones para alertar de posibles fugas de datos.
25 julio, 2024 01:39La tecnología móvil juega ya un papel primordial en nuestras vidas, sobre todo con la proliferación de aplicaciones que permiten hacer casi de todo desde un teléfono. Sin embargo, en un mundo cada vez más conectado, ese pequeño dispositivo también es la puerta de entrada a cuantiosos peligros.
Son pocas las personas que no han recibido alguna vez mensajes de spam o estafas con las que tratan de engañarles y hacerse con sus datos personales. Por ello, proteger la privacidad y la seguridad se ha convertido en una prioridad tanto para los ciudadanos como para empresas y organizaciones de todo tipo.
Para hacer frente a este desafío creciente –pero no nuevo–, en Imdea Networks llevan tiempo trabajando en una técnica capaz de monitorizar y analizar en tiempo real el comportamiento de las aplicaciones, identificando posibles riesgos para la privacidad, como fugas de datos de información de identificación personal (PII, por sus siglas en inglés).
Esta técnica híbrida, que combina análisis canales estáticos y dinámicos, ya está lista para implantarse. Los investigadores del grupo Internet Analytics (IAG) del instituto han liderado el análisis de los canales dinámicos. Esto incluye la monitorización de la red, la supervisión del tiempo de ejecución, la detección de SDK (mecanismos para identificar componentes de terceros en la cadena de suministro de software) y el rastreo de esas fugas de PII.
Por otro lado, los análisis estáticos no requieren de ejecución de código y buscan, por ejemplo, patrones que no sigan las reglas definidas.
Apps bajo sospecha
El proyecto Trust aWare, en el que ha colaborado la Universidad Carlos III de Madrid (UC3M), se ha centrado en cómo las aplicaciones móviles acceden y utilizan información personal sensible. Algo que a menudo ocurre sin que los usuarios sean plenamente conscientes de ello.
“Hemos desarrollado una solución que no sólo detecta amenazas en tiempo real, sino que también proporciona una visión clara de cómo las aplicaciones interactúan con los datos personales de los usuarios”, explica Narseo Vallina, profesor titular en Imdea Networks y coordinador del proyecto, quien hace dos años ya adelantó en esta entrevista con DISRUPTORES-EL ESPAÑOL algunos detalles de esta iniciativa.
Todo empezó cuando en 2019 un estudio realizado por este instituto, junto a otros socios, reveló por primera vez la presencia de vulnerabilidades en el sistema operativo Android, mostrando que miles de aplicaciones podían recopilar información sensible de millones de usuarios sin su conocimiento ni consentimiento.
El equipo de Vallina analizó más de 7.000 aplicaciones de Google Play y encontró que el 51% no cumplía con la normativa de Estados Unidos.
Estas brechas permitían acceder a datos como la localización e identificadores únicos a través de ataques de canales encubiertos (covert-channels) y laterales (side-channels). "Un canal lateral consiste en encontrar un método de acceso que no está vigilado, mientras que un canal encubierto utiliza un canal alternativo con ayuda de otra entidad para compartir información", contaba Vallina.
Tras estas revelaciones, Google implantó varios cambios en el sistema de permisos de Android 10 para bloquear estos ataques. Además, el impacto de este documento fue tal, que en 2022 se citó en la carta que varios congresistas de Estados Unidos dirigieron a la USA Federal Trade Commission para instar a medidas que controlaran las prácticas intrusivas de la industria digital.
Derechos digitales
Dentro del proyecto, también han desarrollado herramientas de Procesamiento del Lenguaje Natural (PLN, por sus siglas en inglés) para analizar si los textos y las políticas de consentimiento son claros y comprensibles para los usuarios. “Nuestro enfoque en el PLN nos ha permitido crear herramientas que no sólo revisan la legibilidad de los textos legales, sino que también evalúan su conformidad con las normativas vigentes”, añade el investigador.
Uno de los aspectos más destacados del proyecto es el desarrollo de mecanismos que permiten a los consumidores ejercer sus derechos digitales de manera más efectiva. “Hemos puesto en funcionamiento recursos que les facilitan el acceso y control de sus datos personales”, indicó Aniketh Girish, estudiante de doctorado en Imdea Networks.
“Esto incluye mecanismos para solicitar la eliminación de datos y para conocer qué información se está utilizando y compartiendo”, añade Girish, quien, que ha trabajado al lado de Vallina durante todo este tiempo.
Girish también destaca la creación de herramientas escalables de análisis de contenidos para encontrar y clasificar contenidos inapropiados, como los dirigidos a adultos [es el caso del porno], pero distribuidos a través de redes destinadas a menores. “Esto es crucial para proteger a los usuarios más jóvenes de la exposición a material inadecuado”, afirma.
Ecosistema complejo
Los resultados del proyecto, incluidas las patentes y las mejoras de seguridad desarrolladas para los principales vendedores de productos tecnológicos, demuestran la importancia de este trabajo. “Hemos publicado numerosos conjuntos de datos y herramientas como soluciones de código abierto, permitiendo que la comunidad investigadora y la industria las adopten. Esto facilita la transferencia de conocimientos y mejora la seguridad y privacidad en el ámbito digital”, afirma Vallina,
A partir de esta investigación también han influido en la adopción de medidas de privacidad más estrictas por parte de los proveedores de Android e IoT, y han contribuido a mejorar las normativas relacionadas. “Al evaluar la transparencia y el cumplimiento normativo, nuestro proyecto facilita la auditoría de software como servicio para autoridades, desarrolladores y organismos de certificación, ayudando a mitigar los riesgos de privacidad y seguridad desde una etapa temprana”, asegura Vallina.
Con esta innovación nacida en el seno de uno de los institutos madrileños Imdea, no sólo se ha dado un paso más en la protección de la privacidad de los ciudadanos, sino que también constituye una nueva herramienta para futuras investigaciones y desarrollos en seguridad digital.
“Internet es un ecosistema complejo y en constante evolución, con numerosas tecnologías y usuarios, lo que expone a las personas a múltiples amenazas de privacidad y seguridad. Por eso, es crucial desarrollar metodologías y herramientas para estudiar internet y el software móvil, caracterizar la economía de datos y los riesgos asociados a los productos digitales”, defendía con vehemencia Vallina cuando hace dos años se estaba fraguando Trust eWare.
La trayectoria de Narseo Vallina
Narseo Vallina Rodríguez, ingeniero de Telecomunicaciones, forma parte del equipo de investigadores de Imdea Networks desde 2016. Además, es investigador en el International Computer Science Institute (ICSI) de la Universidad de California, Berkeley, y cofundador de la startup de ciberseguridad AppCensus.
Después de su paso por la Universidad de Cambridge, donde desarrolló una tesis sobre las ineficiencias de energía relacionadas con el uso de las interfaces de red en aplicaciones móviles, se trasladó a Berkeley con una beca de posdoctorado. “Aquí me involucré más en el análisis de protocolos y en detectar abusos y fraudes en el uso de las aplicaciones”, explicó en esta entrevista con DISRUPTORES, en la que también afirmaba que “muchas vulnerabilidades de los sistemas no son premeditadas, sino errores de implementación”.