Elevando la protección de la privacidad en aplicaciones móviles

La privacidad en las aplicaciones empleadas por teléfonos móviles no es perfecta. Para paliar esta situación, unos científicos han creado una innovadora técnica que eleva el nivel de protección de la privacidad en las aplicaciones móviles.

El proyecto que ha culminado con este desarrollo se llama TRUST aWARE. En el proyecto ha participado el Instituto IMDEA Networks de España junto a diversos socios.

TRUST aWARE ha abordado los crecientes desafíos de privacidad y seguridad en el software orientado al consumidor. Este proyecto, que ha contado con la destacada contribución del grupo Internet Analytics (IAG) del instituto, se ha centrado en la problemática del acceso y uso de datos personales sensibles por parte de aplicaciones móviles, muchas veces sin que las personas usuarias sean conscientes de cómo se utilizan, comparten o protegen sus datos.

Para mitigar esta problemática, IMDEA Networks, asociada con la Universidad Carlos III de Madrid (UC3M) en España, ha desarrollado una técnica de análisis híbrida que combina canales de análisis estáticos y dinámicos capaz de monitorizar y analizar en tiempo real el comportamiento de las aplicaciones, identificando posibles riesgos para la privacidad, como fugas de datos de información de identificación personal (PII, por sus siglas en inglés).

“Además, el proyecto ha explorado las expectativas de privacidad de la ciudadanía de toda Europa y de distintos grupos de edad, ha desarrollado novedosas herramientas de Procesamiento del Lenguaje Natural (PLN) para evaluar la transparencia y el cumplimiento de los formularios y políticas de consentimiento, y ha proporcionado mecanismos para que las personas usuarias ejerzan sus derechos digitales. Al mismo tiempo, se han creado mecanismos escalables de análisis de contenidos para detectar y calificar los contenidos nocivos e inadecuados, como los contenidos para adultos distribuidos a través de redes publicitarias a menores”, explica Narseo Vallina, profesor en IMDEA Networks.

Todos los resultados, así como las patentes y parches de vulnerabilidad para los principales vendedores de productos inteligentes, dan fe de la investigación pionera realizada en este proyecto. “También hemos publicado muchos conjuntos de datos y herramientas como soluciones de código abierto para que puedan ser adoptadas por la comunidad investigadora y la industria, permitiendo así la transferencia de conocimientos a la sociedad”, comenta Aniketh Girish, estudiante de doctorado en IMDEA Networks.

La privacidad en las aplicaciones de los modernos teléfonos móviles no está tan protegida como sería de desear. (Ilustración: Amazings / NCYT)

Los investigadores de IMDEA Networks han desempeñado un papel integral en el proyecto TRUST aWARE, liderando el desarrollo del canal de análisis dinámico móvil, incluyendo la monitorización de la red, la monitorización en tiempo de ejecución, la detección SDK (mecanismo para identificar componentes de terceros en la cadena de suministro de software) y el rastreo de fugas PII.

“Los resultados del proyecto han influido en la adopción de medidas de privacidad más estrictas también en los proveedores de Android e IoT (Internet de las Cosas), y han contribuido a mejorar la normativa al respecto. Por tanto, beneficiarán a la sociedad al estudiar de forma precisa y exhaustiva los riesgos para la seguridad y la privacidad, la transparencia y el cumplimiento normativo del software. Al evaluar la transparencia y el cumplimiento, el proyecto permite la auditoría de software como servicio para autoridades, desarrolladores y organismos de certificación, ayudando a mitigar los riesgos en una fase temprana”, afirma Girish.

TRUST aWARE incluye el desarrollo de tecnologías avanzadas y una herramienta novedosa, que están siendo patentadas (por ejemplo, la técnica de detección de SDK inventada por IMDEA Networks). Estas herramientas han establecido nuevos estándares para la seguridad y privacidad de las aplicaciones móviles, activando parches y revelando nuevos problemas de seguridad.

Asimismo, el proyecto ha abierto nuevas líneas de investigación. Entre ellas se incluyen el análisis de los datos de localización y su uso en estrategias de vigilancia masiva, la caracterización de datos personales sensibles recogidos por aplicaciones móviles y dispositivos inteligentes relacionados con la salud, y la investigación de vulnerabilidades y riesgos para la privacidad dentro del ecosistema de navegación de Android, denominado WebViews. (Fuente: IMDEA Networks)