La eterna promesa de la privacidad: ¿son los iPhone tan seguros como Apple presume?
“Privacidad. Eso es Apple”. El famoso eslogan de la compañía de Cupertino podría tambalearse. Dos investigadores de la empresa de software Mysk aseguran que Apple recopila información personal de los datos de uso del iPhone mientras promete explícitamente no hacerlo. Según sus hallazgos, la compañía conoce el comportamiento detallado de los usuarios en sus propias aplicaciones y puede identificarlos. EL PAÍS se ha puesto en contacto con Apple, que, por el momento, afirma no tener nada que decir al respecto.
Tommy Mysk y Talal Haj Bakry, investigadores independientes de Mysk, han realizado un análisis de las apps de Apple y los datos de uso que estas envían a los servidores de la compañía. “Nos enfocamos en la App Store porque los usuarios no tienen otra alternativa para descargar e instalar aplicaciones en iOS”, cuenta Mysk, que afirma que otras aplicaciones como Apple Books, iTunes Store, Apple Music y Apple TV envían datos similares al gigante tecnológico.
Entre esta información, estaría “lo que un usuario hace en estas aplicaciones, lo que ve, cuándo lo hace y durante cuánto tiempo”. Por ejemplo, según Mysk, los datos de uso de la App Store incluyen cuántos milisegundos pasa una persona leyendo la sección de privacidad de una aplicación en particular. Todos estos datos pueden ser útiles para los desarrolladores de cara a mejorar sus aplicaciones. Pero Mysk insiste en que lo normal es que pidan permiso a los usuarios para recopilarlos y que, además, los anonimicen, de forma que no se pueda identificar personalmente a un usuario.
En una página web sobre el análisis del iPhone, Apple indica que ninguna de la información recopilada identifica al usuario. “Los datos personales no se registran, están sujetos a técnicas de protección de la privacidad (como la privacidad diferencial) o se eliminan de los informes antes de enviarlos a Apple”, señala. Sin embargo, Mysk asegura que los datos enviados a la compañía incluyen un número de identificación permanente e inmutable llamado identificador de servicios de directorio o DSID. Este número “puede identificar a un usuario personalmente”, ya que “está asociado con su nombre, correo electrónico y cualquier dato en su cuenta de iCloud”. No está claro que hace exactamente Apple con ello o si utiliza alguna técnica para separar la identificación personal de otra información.
Los investigadores realizaron estas pruebas con un iPhone con jailbreak (un proceso que permite suprimir algunas de las limitaciones impuestas por Apple) con el sistema operativo iOS 14.6 para descifrar el tráfico y examinar qué datos se enviaban a Apple. También las hicieron con un móvil con iOS 16, el último sistema operativo. Aunque en este caso no pudieron descifrar los datos, aseguran que detectaron un patrón similar de tráfico de red, por lo que consideran “muy probable que la aplicación App Store esté enviando los mismos datos”.
¿Un callejón sin salida?
Desde Mysk aseguran que Apple recopila esta información incluso cuando se desactiva una configuración del iPhone llamada “Compartir análisis de iPhone”. Todo pese a que, con esta acción, la compañía promete “desactivar el uso compartido de los datos de análisis del dispositivo completamente”. “La política es ambigua y da a los usuarios la impresión de que desactivar el análisis de dispositivos también desactivaría los datos de uso y el análisis de aplicaciones”, critica Mysk.
Los investigadores aseguran que los usuarios no pueden hacer nada para evitar que las aplicaciones de Apple recopilen datos de uso y los vinculen con su identidad. Samuel Parra, abogado especializado en derecho tecnológico, subraya que sí podrían reaccionar ante esta posible agresión a su privacidad interponiendo una reclamación ante organismos como la Agencia Española de Protección de Datos. De hecho, esta situación ha llevado a un usuario, Elliot Libman, a presentar una demanda colectiva contra Apple en la corte federal de California, “en su nombre y en el de todos los demás en una situación similar”
Una posible crisis de confianza
Apple suele presumir de que la privacidad es una de sus prioridades y una de las características que le diferencian de la competencia. Pero entonces, ¿en qué lugar dejan estas pruebas a la compañía? “En primer lugar, y desde la perspectiva de Apple como marca que al parecer apuesta por la privacidad, significaría una quiebra en la confianza de sus clientes”, comenta Samuel Parra, abogado especializado en derecho tecnológico.
Además, la información que supuestamente Apple recopila sin consentimiento ni conocimiento de los usuarios “permitiría crear perfiles muy precisos respecto a gustos, preferencias, ideología política o incluso salud”. Algo que, como señala Parra, podría ser usado para manipular dichas preferencias. Por ejemplo, para intentar que los usuarios cambien de opinión en un contexto político concreto. “Lo que sucedió con Cambridge Analytica nos demostró que, si conocemos al usuario, es perfectamente posible moldearlo según los intereses del mejor postor, incluso en cuestiones de ideología política”, señala.
Los hallazgos de estos investigadores podrían afectar a la reputación de Apple en el futuro, según Álvaro Orts Ferrer, abogado experto en privacidad y director de Orts Consultores: “Si lo que indica la compañía Mysk es cierto y en caso de que Apple asegure en sus políticas que no recaba datos de carácter personal, nos encontraríamos no solo ante un incumplimiento de las condiciones establecidas entre Apple y el usuario, y con ello, un incumplimiento legal, sino que también se produciría un daño reputacional de bastante calado”.
Algo en lo que coincide Parra: “¿Volveremos a creernos mensajes similares de la marca de la manzana?”. Esta situación podría trascender, además, a la propia Apple. “Las grandes corporaciones podrían estar enviando un mensaje nada tranquilizador a la sociedad: hagáis lo que hagáis, os estamos vigilando. Porque me da la sensación de que si alguien puede espiarnos, lo hará”, comenta el experto.
Mysk, por su parte, considera que “una empresa que cree que la privacidad es un derecho humano fundamental debe describir sus ‘muchas’ declaraciones de privacidad de una manera mucho más clara”. Además, destaca que la compañía recopila demasiados datos de los usuarios y que debería proporcionar una opción para evitarlo. “Sus declaraciones de privacidad suenan más como si hubieran sido escritas por Google, Meta o TikTok”, concluye.