Las VPNs juegan con rastreadores: por qué esto debería preocuparte
Cuando buscamos una VPN, solemos recurrir a amigos o a publicaciones en blogs de tecnología. Un usuario común simplemente carece de tiempo o recursos para examinar todas y cada una de las docenas de proveedores de VPN, revisar miles de testimonios (siempre que no estén cuidadosamente curados) y eleger con propiedad.
Confía, pero no sin verificar
Y aunque tus amigos pueden tener una valiosa experiencia con las VPN, no hay nada de malo en confiar en los expertos de la industria, ya que ellos examinarán cuidadosamente cada proveedor de servicios y utilizarán su profesionalismo para llegar a un veredicto sobre los niveles de privacidad de cada servicio. Los especialistas suelen tener en cuenta una serie de criterios diferentes: la velocidad de conexión, el número y la ubicación de los servidores y el servicio de atención al cliente. Todos estamos de acuerdo en que son criterios importantes, pero el que más se espera de las VPN es un cierto grado de privacidad y protección frente a rastreadores y anunciantes. Hay muy poco margen de maniobra cuando se trata de compartir datos con terceros; al fin y al cabo, eso es lo que las VPN están diseñadas para evitar y de lo que muchas de ellas se enorgullecen.
Pero, ¿y si algunos datos importantes sobre una VPN se escapan del radar de los expertos o son omitidos a propósito por el servicio? No vamos a dar rienda suelta a las teorías conspirativas ni a declarar que todas las publicaciones tecnológicas son un fraude. En su lugar, te daremos información para que reflexiones. Mira lo que hicimos: Seleccionamos 20 VPNs que han entrado en las listas de "mejores VPNs" recopiladas por varias publicaciones de tecnología y ciberseguridad el año pasado y buscamos si tienen algún rastreador incorporado en sus aplicaciones para Android.
Ha resultado que al menos 14 aplicaciones de VPN tienen scripts de rastreo.
No vamos a exponer ninguna VPN en concreto, pero sí nombraremos las publicaciones para que tengas una idea aproximada de dónde buscar a nuestros héroes y antihéroes. Se trata de Techradar, Tom's Guide, Cybernews.com, vpnMentor, Security.org, Makesuseof y PCMag, entre otras.
Puedes utilizar este sitio web para buscar por ti mismo cualquiera de las aplicaciones VPN que te interesen:
[Exodus Privacy]>(https://reports.exodus-privacy.eu.org/es/)
Rastreadores y "las mejores" VPNs: una mirada más atenta
Como ya hemos mencionado, de las 20 VPN que elegimos para revisar en base a su inclusión en varias clasificaciones, 14 tienen rastreadores integrados en sus aplicaciones para Android.
Veamos con más detalle qué son exactamente estos rastreadores. El más popular es Google CrashLytics, que se encuentra en 13 aplicaciones de un total de 20. Se trata de una herramienta de informes de fallas en tiempo real que forma parte del ecosistema Firebase de Google. El segundo lugar en términos de popularidad lo ocupa otra herramienta de Google: Google Firebase Analytics, que está integrada en 11 aplicaciones.
El bronce se reparte entre AppsFlyer, una herramienta de marketing basada en datos, y el viejo Google Analytics, cada uno con 6 clientes de 20 aplicaciones VPN. La mención de honor es para Google Tag Manager, que está integrado en 3 aplicaciones.
Ahora nos sumergimos en aguas más profundas pobladas por especies más raras y, en algunos casos, más peligrosas: 3 aplicaciones utilizan MixPanel, una herramienta de análisis de marketing; 2 tienen la herramienta de retargeting móvil Adjust en funcionamiento, y 2 tienen incorporada la plataforma de análisis y atribución móvil Kochava. En 2 aplicaciones se puede encontrar la firma de código de Google AdMob.
Además, se pueden encontrar en al menos una aplicación la herramienta de monitorización New Relic, un conjunto de herramientas de seguimiento más conocido como Huawei Mobile Services (HMS) Core, la plataforma de marketing Insider y una solución de pruebas para profesionales del marketing, Taplytics.
Una aplicación de VPN ha encontrado en Facebook un improbable aliado. Se trata de una herramienta que tiene incorporados una horda de códigos de rastreo de Facebook, incluyendo Facebook Analytics, Facebook Places, Facebook Share, Facebook Login.
A different VPN app has a tracker with a telling name: Facebook Ads. The same VPN app has apparently a soft spot for advertising scripts, and also has Google AdMob, Kochava, MixPanel, and Unity3d Ads built into it.
Incluso si se mira sólo el nombre de los rastreadores, podemos percibir que algunos de ellos difícilmente pueden pasar por benignas herramientas de análisis esenciales para ofrecerte el mejor servicio posible.
Pero dejemos que hablen por sí mismos.
Pero las VPN no me están rastreando, ¿cierto?
Estudiamos las políticas de privacidad de los rastreadores que se encuentran entre las "mejores" aplicaciones VPN para averiguar qué datos pueden recoger y qué pueden hacer con ellos.
AppsFlyer
Firma de código presente en 6 aplicaciones
La empresa californiana AppsFlyer, que recibió su primera financiación de Microsoft, afirma que puede procesar una gran cantidad de datos de los usuarios finais. Esos datos incluyen información sobre el tipo y el modelo de dispositivo, la CPU, el idioma del sistema, la memoria, la versión del sistema operativo, el estado del Wi-Fi, la marca temporal y la zona. Los datos también contienen identificadores técnicos, por ejemplo, una dirección IP, el agente de usuario, el ID de Android, el ID emitido por el cliente, así como "otras interacciones, eventos y acciones que los clientes deciden medir y analizar con su aplicación".
AppsFlyer dice que los datos de los usuarios finales que maneja "generalmente no contienen" información que pueda identificar directamente a un usuario, pero reconoce que "bajo ciertas jurisdicciones" los datos que reciben de los usuarios finales "pueden ser considerados datos personales"․ Además, un cliente, es decir una app VPN, puede configurar sus servicios para recoger información personal sensible si así lo desea, y entonces AppFlyer recibirá y procesará esta información.
Google Analytics
Firma de código presente en 6 aplicaciones
Google Analytics es una herramienta de marketing de confianza que recoge el ID de Anuncios de Android por defecto. Para ello, un desarrollador tiene que dar al SDK (Kit de Desarrollo de Software) ciertos permisos. Incluso entonces el usuario puede optar por no recoger el ID de publicidad en los Ajustes de Android.
En su configuración por defecto, Google Analytics también recopila la siguiente información sobre el usuario: franja de edad, sexo, idioma, tienda de aplicaciones, versión de la aplicación, región, continente, país, ciudad, marca del dispositivo (por ejemplo, Samsung), categoría del dispositivo, modelo del dispositivo, versión del sistema operacional, plataforma.
Google CrashLytics
Firma de código presente en 13 aplicaciones
CrashLytics es un miembro de la extensa familia de Google y, como todo miembro de la familia de Google que se respete, maneja cantidades significativas de datos de los usuarios finales, principalmente los UUID (Identificadores Únicos Universales) de la instalación de Crashlytics, entre otras cosas. CrashLytics utiliza los UUID para "medir el número de usuarios afectados por un fallo», conservando los rastros de pila de los fallos, los datos de minidump y los UUID por 90 días. La información que almacena también puede incluir el nombre y la versión del sistema operativo, una indicación de si el dispositivo ha sido "jailbroken" o "rooteado", el nombre del modelo, la arquitectura de la CPU, la cantidad de RAM, el espacio en disco, un puntero de instrucción de fotograma de cada hilo ejecutado, etc.
Google Firebase Analytics
Firma de código presente en 11 aplicaciones
La herramienta procesa los IDs de publicidad para móviles y por defecto, en su implementación, puede recopilar bastantes datos, como: número de usuarios y sesiones, duración de la sesión, sistemas operativos, modelos de dispositivos, geografía, primeros lanzamientos, aperturas de aplicaciones, actualizaciones de aplicaciones, compras dentro de la aplicación... es básicamente lo mismo que con Google Analytics. Almacena el ID de publicidad de Android por 60 días y "conserva los informes agregados sin caducidad automática". Almacena los datos a nivel de usuario, como las conversiones, durante un máximo de 14 meses. El desarrollador puede configurar la retención de datos a 2 o 14 meses.
MixPanel
Firma de código presente en 3 aplicaciones
MixPanel es una empresa de análisis cuyo CEO es un antiguo ejecutivo de Twitter. Curiosamente, la política de privacidad de la empresa no se aplica a los usuarios finales, sino a los clientes, es decir, las aplicaciones VPN. Esto significa que los usuarios finales no pueden solicitar directamente a MixPanel que elimine sus datos personales. MixPanel dice que, en la configuración por defecto, un desarrollador puede permitir que se envíe a MixPanel la siguiente información: versión de la aplicación, uso del bluetooth, marca y modelo del dispositivo, operador y estado del Wi-Fi, fabricante del dispositivo, si el dispositivo tiene funcionalidad de teléfono, ID del dispositivo, ID del usuario que se almacena localmente en el dispositivo, sistema operativo, altura de la pantalla, ancho de la pantalla, DPI de la pantalla, zona horaria.
Mixpanel también dice que "puede utilizar el Contenido del Cliente de forma desidentificada para los propios fines comerciales de Mixpanel, incluyendo el uso, la duplicación, la modificación y la creación de trabajos derivados en relación con el uso y el rendimiento de los Datos Agregados".
Google Tag Manager
Firma de código presente en 3 aplicaciones
Google afirma que su Tag Manager puede "recopilar algunos datos agregados sobre el disparo de etiquetas" que, sin embargo, no incluyen las direcciones IP de los usuarios ni ningún otro identificador que pueda utilizarse para rastrear a una persona concreta. "Aparte de los datos de los registros de solicitudes HTTP estándar, que se eliminan en un plazo de 14 días desde su recepción, Google Tag Manager no recopila, retiene ni comparte ninguna información sobre los visitantes de las propiedades de nuestros clientes, incluidas las URL de las páginas visitadas". Suena alentador, a diferencia de lo que hemos visto antes.
Adjust
Firma de código presente en 2 aplicaciones
Adjust es una empresa de atribución y análisis de móviles, propiedad de AppLovin. Para empezar, los materiales de marketing de Adjust ya suenan inquietantes: "Ilimitado y sin límites son palabras que usamos mucho cuando describimos nuestro acceso a los datos", presume el servicio. Adjust afirma que sus SDK y API pueden procesar datos como direcciones IP con hash, identificadores móviles, acciones dentro de la aplicación, incluidas las compras y el registro, información relativa a las interacciones del usuario con los anuncios, datos de los sensores táctiles, acelerómetro, giroscopio, batería, sensor de luz, especificaciones de hardware del dispositivo y versión del sistema operativo. La empresa afirma que no enriquece estos datos para identificar a los usuarios individuales y que no los comparte ni los divulga "con nadie más, excepto con nuestros proveedores de servicios y en respuesta a solicitudes legales de las autoridades públicas". Los datos se almacenan mientras los desarrolladores utilicen el SDK, a menos que se indique específicamente lo contrario a Adjust.
Google AdMob
Firma de código presente en 2 aplicaciones
AdMob no oculta el propósito de su existencia: al integrarlo en una aplicación, se pretende mostrar anuncios y obtener ingresos. El SDK de Mobile Ads puede recopilar los siguientes datos mientras ayuda a los desarrolladores de aplicaciones a hacerlo: ID del dispositivo, información de diagnóstico (como registros de caídas no relacionadas con el usuario) que puede utilizarse con fines publicitarios, "datos de rendimiento asociados al usuario" que pueden utilizarse para medir el comportamiento del usuario, como cuándo inicia una aplicación y cuánto tiempo pasa en ella. Dichos "datos de rendimiento" pueden utilizarse para mostrar anuncios, "incluidos los que se comparten con otras entidades que muestran anuncios".
Kochava
Firma de código presente en 2 aplicaciones
Kochava, con sede en Idaho, dice que "se transmiten varios datos desde el SDK a Kochava". La empresa dice que entre los puntos de datos que puede recibir están el ID de publicidad de Google, así como los identificadores de publicidad de Android, Amazon y Huawei, el agente de usuario del dispositivo y otros puntos de datos que "son comunes en la mayoría de las plataformas SDK": nivel de la batería, arquitectura del dispositivo, tiempo de arranque, estado de la batería, modelo de dispositivo, anchura y altura de la pantalla, ubicación, idioma, red, plataforma, DPI de la pantalla, tamaño y brillo, configuración de la zona horaria. El usuario final no puede optar por la transmisión de datos, sólo el desarrollador de la aplicación puede hacerlo.
Unity3d Ads
Firma de código presente en 1 aplicación
Como su nombre indica, Unity3d Ads se dedica a la monetización de anuncios. Los datos que procesa dependen del tipo de producto, y pueden ir desde la dirección IP hasta la información de varios dispositivos, los datos de inicio de sesión, el sistema operativo, el idioma y el identificador de publicidad, entre otros. Según su política de privacidad, Unity Ads puede utilizar la información que "recopila o recibe" para "ofrecer y orientar la publicidad, incluidos los anuncios personalizados". La empresa también dice que puede "emplear cookies y tecnologías relacionadas para almacenar información o leer información de su navegador o dispositivo". Los anunciantes de terceros pueden colocar anuncios dentro de su servicio.
New Relic
Firma de código presente en 1 aplicación
New Relic, con sede en California, desarrolla un software que ayuda a los propietarios de aplicaciones a supervisar y mejorar el rendimiento. Puede recopilar archivos de registro, archivos de eventos, datos agregados, así como datos personales, por ejemplo el ID y el nombre de usuario. La empresa puede compartir estos datos con "terceros proveedores de servicios que apoyan nuestro negocio y operaciones", así como con las autoridades, reguladores, tribunales u otros terceros si lo considera necesario para proteger la ley, los derechos de la empresa o los intereses vitales de "cualquier persona". La plataforma almacena diferentes tipos de datos durante diferentes periodos de tiempo. Si el propietario de una aplicación reduce el número de días que New Relic puede almacenar los datos, éstos podrían seguir incluyéndose en las consultas "hasta varias semanas". Además, "una vez que los datos de telemetría (eventos, métricas, registros, rastros) se comunican a New Relic y están disponibles para su consulta, esos datos no pueden ser editados ni eliminados" y sólo expirarán cuando termine el periodo de retención.
Huawei Mobile Services (HMS) Core
Firma de código presente en 1 aplicación
HMS es un surtido de herramientas que se posiciona como una alternativa a las bibliotecas para desarrolladores de Google creada por el gigante chino de las telecomunicaciones, Huawei. Incluye decenas de "kits", como Analytics Kit, Location Kit y Ads Kit, entre otros.
Insider
Firma de código presente en 1 aplicación
Insider, de origen turco y con sede en Singapur, ha desarrollado una herramienta de marketing que puede procesar datos personales, incluyendo informaciónes de contacto y técnicas, como las direcciones IP y los datos relativos al hardware y el software del dispositivo. Insider afirma que no "alquila, vende ni comparte datos personales con terceros", pero puede compartir información personal cuando "lo exija la ley" y "cuando creamos de buena fe que su divulgación es necesaria para proteger nuestros derechos, proteger su seguridad o la de otros, investigar un fraude o responder a una solicitud del gobierno".
Taplytics
Firma de código presente en 1 aplicación
La descripción que hace Taplitics de los datos que recibe de sus clientes es bastante vaga. La empresa con sede en Canadá dice que "recibe datos recogidos por nuestros clientes con el fin de prestar nuestros servicios al cliente" y que en esos casos una aplicación "solicita su consentimiento para compartir la información personal con nosotros". La información se almacena "en una nube segura" en Estados Unidos, por lo que "se le puede aplicar la legislación estadounidense". Taplitics afirma que no revela los datos personales de los usuarios "a menos que sea con su consentimiento o según lo autorice o exija la ley".
The Facebook bundle
La siguiente familia de rastreadores no necesita presentación. Facebook es la última empresa que uno asociaría con la protección de la privacidad, por lo que la asociación entre el gigante tecnológico y las VPN aparentemente orientadas a la privacidad resulta, como mínimo, bastante extraña. Los SDK de Facebook registran automáticamente las interacciones básicas en la aplicación, pero el desarrollador puede desactivar el registro automático. También recogen el ID de los anuncios de Facebook, el ID de los anunciantes móviles y de los metadatos, incluidas métricas relacionadas con el dispositivo, como el sistema operativo, el operador, el tamaño de la pantalla, los núcleos del procesador, el espacio total en el disco y el espacio restante en el disco.
Cuáles son las implicaciones para el usuario final?
Los proveedores de servicios VPN pueden argumentar que no utilizan el potencial de estas herramientas de marketing al máximo, sino más bien el mínimo de características que necesitan para mejorar su servicio para ti, el usuario final. Pero no hay que creerles necesariamente.
Al incorporar rastreadores en sus aplicaciones, los proveedores de VPN se dejan lagunas para recopilar datos de los usuarios. Puede que no lo hagan ahora, pero ¿dónde está la garantía de que no lo harán en el futuro?
En cualquier caso, creemos que las VPN que incorporan rastreadores en sus aplicaciones tienen que responder a algunas preguntas difíciles. No te costará mucho tiempo y esfuerzo buscar si necesitas hacer estas preguntas a tu aplicación VPN.
Todo lo que tienes que hacer es ir a Exodus, una plataforma de auditoría de privacidad para las aplicaciones de Android e introducir el nombre de tu aplicación VPN en la barra de búsqueda. Verás la lista de rastreadores incorporados y los permisos que se encuentran en la app. Si tu aplicación no tiene rastreadores integrados, enhorabuena, tu VPN no está recogiendo tus datos. Si tu aplicación tiene rastreadores incorporados, estás corriendo el riesgo de que tus datos sean recogidos y compartidos con terceros.
Si te sientes incómodo por lo que pueda haber encontrado, te sugerimos que considere la posibilidad de instalar AdGuard VPN: no tenemos rastreadores incorporados, por lo que no tendrás que preocuparse de que nadie espíe tu actividad online.
