Foto: Los investigadores desarrollaron una aplicación capaz de detectar y bloquear selectivamente los datos personales a los que pueden acceder las aplicaciones para iPhone.

En 2011, Apple aconsejó que las aplicaciones para iPhone y iPad deberían dejar de registrar el identificador exclusivo de los dispositivos de los usuarios, una práctica que se puede explotar para crear perfiles para usarlos con fines publicitarios. Pero un nuevo estudio hecho por investigadores de la Universidad de California en San Diego (EE.UU.) sugiere que muchas aplicaciones siguen haciéndolo.

En la conferencia MobiSys que se celebra en Taiwán esta semana, los investigadores presentarán datos recogidos de 225.000 aplicaciones instaladas en 90.000 iPhones normales. Su análisis demuestra que entre febrero de 2012 y diciembre de 2012, el 48 por ciento de esas aplicaciones accedieron a la identificación exclusiva del dispositivo (UDID por sus siglas en inglés) del teléfono en el que estaban instaladas. El trabajo completo está disponible en línea (PDF).

El sistema operativo móvil de Apple, iOS, no suele permitir que las aplicaciones se hagan un seguimiento unas a otras, así que la información se recogió de teléfonos de usuarios con iPhones en los que se había practicado un "jailbreak" desactivando los controles habituales de Apple para permitir modificaciones del dispositivo y la instalación de aplicaciones que no se ofrecen a través de la tienda de Apple, la App Store. Los investigadores afirman que sus resultados son relevantes para todos los usuarios de iPhone porque una gran mayoría de las aplicaciones usadas en los dispositivos modificados son las mismas que se usan en los teléfonos sin modificar.

La aplicación que recogió los datos se llama ProtectMyPrivacy. Una vez instalada, detecta a qué datos intentan acceder las demás aplicaciones del teléfono. Si una aplicación intenta acceder a datos potencialmente sensibles, ProtectMyPrivacy notifica al dueño del teléfono, que puede elegir bloquear ese acceso. Los usuarios puede escoger impedir, por ejemplo, que una aplicación en concreto acceda a sus contactos, localización, o UDID. También pueden usar recomendaciones automáticas respecto a qué bloquear o permitir para aplicaciones concretas. El nuevo estudio se basa en datos recogidos de usuarios que optaron por compartir información anónima de ProtectMyPrivacy.

Desde el 1 de mayo, la política oficial de Apple ha sido rechazar las aplicaciones que acceden a la UDID, pero no se sabe con qué rigor se aplica la regla. Yuvraj Agarwal, que ha dirigido el estudio junto a su compañero Malcolm Hall, afirma que ha descubierto que alrededor del 40 por ciento de las aplicaciones en teléfonos que tenían la aplicación ProtectMyPrivacy instalada siguen intentando acceder a la UDID del dispositivo. Algunas de esas aplicaciones se han actualizado desde el 1 de mayo, explica, lo que significa que ha subido una nueva versión a la tienda en iTunes de Apple. Esto sugiere que, o bien Apple no está cazando todas las aplicaciones que acceden a la UDID, o que está dejando pasar algunas a sabiendas.

Agarwal define el retrato hecho por él y Hall como "impactante". Las aplicaciones pueden seguir accediendo a la UDID porque, para evitar romper las aplicaciones antiguas, la empresa no bloqueó el acceso a la misma en la última versión de su software móvil, iOS6. "Creo que muchas de las aplicaciones siguen recogiendo la UDID simplemente porque la interfaz de programación de la aplicación está disponible", afirma Agarwal.

Jeremy Linden, director de productos de seguridad en la empresa de seguridad móvil Lookout, afirma que aunque los creadores de aplicaciones hagan caso de las reglas de Apple sobre la UDID, tienen otras formas de hacer un seguimiento de sus usuarios. Por ejemplo grabar el código único asignado al chip de wifi de un dispositivo, denominada dirección MAC, "se podría usar para seguir a un dispositivo en distintas redes de anuncios y servicios de análisis", explica. "Y no habría forma "de poder decidir lo contrario".

El acceso a la UDID desaparecerá en los dispositivos que actualicen su sistema operativo al nuevo iOS7 de Apple, que se presentará este año. Linden explica que Apple también parece estar tomando otras medidas en iOS7 para impedir a las aplicaciones hacer un seguimiento de las acciones de los usuarios. "Por lo que tengo entendido, están eliminando todo el acceso a los identificadores exclusivos del dispositivo", afirma. "Esto es genial para la privacidad del usuario y da ejemplo al resto de la industria".

Apple también ha creado un identificador exclusivo para aplicaciones que quieren seguir a los usuarios Se pretende que IDFA (son las siglas en inglés de "identificador para publicidad") ofrezca mejores controles de privacidad. Los usuarios pueden resetear su IDFA en cualquier momento por motivos de seguridad o privacidad y también conecta con una función de "Limitar Seguimiento de Anuncios" en iOS.

Sin embargo, algo que aún está en el aire es que el ecosistema de software relativamente cerrado de la empresa hace que a los investigadores independientes como Agarwal les resulte difícil analizar qué hacen exactamente las aplicaciones en los dispositivos de Apple. La mayoría de los académicos interesados en la seguridad y privacidad móvil trabajan con Android, el sistema operativo de Google; es más fácil jugar con el software de Google, e incluso se puede instalar software que no se ofrece a través de la tienda de Google en un teléfono Android. A las aplicaciones de investigación también les resulta más fácil que las acepten en la tienda de aplicaciones móviles de Google.

Agarwal afirma que presentó una aplicación a la tienda Apple oficial que permitiría a la gente ver los datos que ProtectMyPrivacy había recogido sobre las aplicaciones que estaban usando, pero la rechazaron. Cuando un empleado de Apple le llamó para hablar del tema, explica Agarwal, él preguntó qué tenía que cambiar para que aceptarán la aplicación, pero le dijeron que "tenemos un problema con el concepto de la aplicación".

Apple no ha querido hacer comentarios sobre el estudio de la Universidad de California en el momento de esta publicación.