es basicamente imposible para realizar un seguimiento de lo que están haciendo todas sus aplicaciones móviles y qué datos comparten con quién y cuándo. Entonces, en los últimos años, Apple y Google agregaron mecanismos a sus tiendas de aplicaciones destinados a actuar como una especie de etiqueta nutricional de privacidad, brindando a los usuarios una idea de cómo se comportan las aplicaciones y qué información pueden compartir. Sin embargo, estas herramientas de transparencia se completan con información autoinformada de los propios desarrolladores de aplicaciones. Y un nuevo estudio centrado en la información de seguridad de datos en Google Play indica que los detalles que brindan los desarrolladores a menudo son inexactos.
Los investigadores del grupo de software sin fines de lucro Mozilla analizaron la información de seguridad de datos de las 40 aplicaciones más descargadas de Google Play y calificaron estas divulgaciones de privacidad como «pobres», «necesita mejorar» o «OK». Las evaluaciones se basaron en el grado en que la información de seguridad de datos coincidía o no con la información de la política de privacidad de cada aplicación. Dieciséis de las 40 aplicaciones, incluidas Facebook y Minecraft, recibieron la calificación más baja por sus divulgaciones de seguridad de datos. Quince aplicaciones recibieron la calificación media. Estos incluían las aplicaciones Instagram y WhatsApp, propiedad de Meta, pero también YouTube, Google Maps y Gmail, propiedad de Google. Seis de las aplicaciones obtuvieron la calificación más alta, incluidas Google Play Games y Candy Crush saga.
“Cuando llegas a la página de la aplicación de Twitter o a la página de la aplicación de TikTok y haces clic en Seguridad de datos, lo primero que ves es que estas empresas declaran que no comparten datos con terceros. Eso es ridículo: inmediatamente sabes que algo anda mal”, dice Jen Caltrider, líder del proyecto de Mozilla. “Como investigador de privacidad, me di cuenta de que esta información no ayudaría a las personas a tomar decisiones informadas. Es más, una persona normal que lo leyera seguramente se iría con una falsa sensación de seguridad”.
Google exige que todos los desarrolladores de aplicaciones que envían a Google Play completen el formulario de seguridad de datos. La razón es que los desarrolladores son los que tienen la información sobre cómo su producto maneja los datos e interactúa con otras partes, no la tienda de aplicaciones que facilita la distribución.
“Si descubrimos que un desarrollador ha proporcionado información inexacta en su formulario de seguridad de datos y viola la política, le pediremos que corrija el problema para cumplir. Las aplicaciones que no cumplen están sujetas a acciones de cumplimiento”, dijo Google a los investigadores de Mozilla. La empresa no abordó las preguntas de WIRED sobre la naturaleza de estas acciones de ejecución o con qué frecuencia se han tomado.
Sin embargo, Google refuta la metodología de los investigadores. “Este informe combina las políticas de privacidad de toda la empresa que están destinadas a cubrir una variedad de productos y servicios con etiquetas de seguridad de datos individuales, que informan a los usuarios sobre los datos que recopila una aplicación específica”, dice la empresa en un comunicado. “Las calificaciones arbitrarias que la Fundación Mozilla asignó a las aplicaciones no son una medida útil de la seguridad o precisión de las etiquetas dada la metodología defectuosa y la falta de información de respaldo”.
En otras palabras, Google dice que los investigadores de Mozilla malinterpretaron el alcance de las políticas de privacidad que estaban analizando o incluso consultaron las políticas equivocadas por completo. Pero los investigadores dicen que las políticas de privacidad que usaron en su análisis son las políticas exactas a las que cada desarrollador de aplicaciones vincula en Google Play, lo que indica que se aplican a las aplicaciones en cuestión.