:quality(70)/cloudfront-us-east-1.images.arcpublishing.com/metroworldnews/OQHTFTNDDFE57GSSAFE4A3XPJI.jpg)
Lo que parecía un evento normal, planificado y que no tendría que significar nada más que cosas buenas para los usuarios, hoy se ha transformado en algo mucho más complicado. La aplicación para la nueva forma de marcar a teléfonos celulares en Chile está en entredicho, debido a ciertas acusaciones que hablan de problemas de seguridad y envío de datos a terceros, sin previa aprobación del usuario dueño del teléfono.
Por regla general, la frase anterior podría sonar como “otro caso más” como muchos que se han dado en el pasado. Pero que la aplicación, desarrollada por la empresa Cursor, se haya echo por encargo del Gobierno de Chile (a través de la Subtel), cambia el escenario por completo.
¿Por qué se envían mis datos a un tercero?
Según Fernando Lagos, experto en seguridad informática en NIVEL4 Seguridad, todo se debe a un problema de “buenas prácticas de desarrollo”, cosa a que a su juicio, hoy es mucho más común de lo que se quisiera. “La aplicación tiene un tamaño superior a 7 MB pero al menos 15% es contenido basura que podría eliminarse”, explica Lagos. Y peor aún, “el envío de estadísticas se hace de forma no segura”.
Código fuente que muestra estadísticas que se recopilan y se envían a servidor externo (Foto: Fernando Lagos)
En Chile, hace falta considerar la seguridad en todo el proceso de desarrollo de sistemas, ya sea en una aplicación web o móvil.
El análisis de Lagos al código de la aplicación indica que los datos recopilados y entregados son: número de contactos totales, número de números de teléfono totales, número de contactos convertidos, ubicación geográfica del teléfono y UUID, número identificador único del dispositivo con Android.
La respuesta del Gobierno cuestiona lo que es un dato personal
Pese a todo, oficialmente la Subtel asegura que la aplicación no recopila datos personales y sí datos anónimos para estadísticas; estos además “no se transferirán a terceros”. Para Pedro Huichalaf, Subsecretario de Telecomunicaciones, el tema es más simple: el que tenga dudas sobre la aplicación, “entonces que no la use“. Y está bien; al final, se trata de una aplicación opcional. De la misma forma, Huichalaf también cuestiona “qué es un dato personal”, lo que se podría traducir como que el problema es más bien un tema de definiciones y no tanto de -buenas o malas- prácticas.
Lo complejo de todo este tema, más allá de un asunto técnico que lo más probable es que nunca se resuelva del todo, es que el Gobierno no da una respuesta concreta a un tema sensible. Decir “es opcional” o “no se distribuyen datos” no es suficiente y menos cuando la aplicación se puede abrir para revisar el código fuente y, al menos, permitirse dudar de algunas cosas. ¿Por qué la aplicación tiene acceso a la cámara del teléfono, por ejemplo? La respuesta y explicación a eso podría ser muy sencilla, pero aún así, nadie la ha dado.
Camera Launcher, ¿para qué? (Foto: Fernando Lagos)
El día de ayer contactamos con Cursor, quienes figuran como desarrolladores de la aplicación. Hoy en la mañana, respondieron que “no podemos dar información sobre el tema”, sugiriendo que contactemos a su cliente”; ese cliente es la empresa G&A Consultores, quienes ofrecen “consultoría de dirección estratégica y de alto valor” y que entre sus lista de clientes mencionan a empresas como Entel, VTR, Movistar y GTD. ¿No se suponía que el cliente de Cursor era el Gobierno de Chile?
Quizás lo más lamentable del caso es que algo que en el papel parece tan simple como una aplicación para cambiar la forma de marcar se convirtió en una bola de nieve porque alguien indagó en el código fuente y encontró varias lineas y datos cuestionables. Todo se hubiera evitado con una pizca de transparencia, aunque parece que la Subtel solo miró el tema por encima, como si lo que pasara debajo de la interfaz de una aplicación patrocinada por el gobierno no importara en una época donde la seguridad y privacidad respecto a los datos personales está todo el tiempo bajo la lupa.
