Mapstr: la app para compartir direcciones que deja filtrar tu nombre y tu geolocalización

Conviene prestar una atención especial a las aplicaciones que te geolocalizan

Publicado por Pixel de Tracking el 1 de marzo de 2020

Aplicaciones que te geolocalizan: un riesgo importante para la privacidad

Si el seguimiento a través de empresas de las que nunca ha oído hablar está muy extendido en la web, es posible limitarlo:

  • A través de un navegador con medidas de protección como Safari, Firefox o Brave
  • A través de un bloqueador de anuncios como uBlock Origin
  • Bloqueando las cookies de terceros o eliminando las cookies periódicamente
  • Usando navegación privada

En el caso de las aplicaciones, es mucho más difícil: existen opciones, pero son complejas de poner en práctica (cf. instalar una VPN especializada en iOS). Apple, y luego Google, abrieron la caja de Pandora con sus respectivas App Stores, permitiendo a los desarrolladores de aplicaciones acceder a datos muy personales (geolocalización, micrófono, contactos, etc.).

Este acceso suele ser legítimo (Instagram necesita acceso a tu cámara para funcionar, Google Maps es más útil si tiene acceso a tu geolocalización, etc.) y también tienes la opción de aceptar o rechazar que una app acceda a una categoría de datos (ejemplo: geolocalización). Pero probablemente no sepas que esta información puede transmitirse a terceras empresas (a través de SDK, códigos de empresa de terceros instalados directamente en la app, equivalentes a códigos javascript de terceros en aplicaciones web).

Tu geolocalización es un dato muy sensible: conocerla permite rastrear tu vida, saber dónde duermes, dónde trabajas, tus desplazamientos, etc. Por eso te recomiendo leer esta excelente investigación del New York Times, realizada a partir de una filtración gigantesca de datos (12 millones de estadounidenses, incluido Donald Trump) procedente de un revendedor de datos personales.

Un ejemplo con Mapstr, una app para compartir direcciones

Para comprobar cómo las aplicaciones que uso respetan mi privacidad, observé las solicitudes enviadas por la app Mapstr en mi iPhone. Mapstr es una app francesa que permite guardar buenas direcciones de restaurantes y bares en un mapa, y también acceder a las recomendaciones de mis amigos.

En primer lugar, auditar las solicitudes enviadas por una app no es tan simple como en el navegador de un ordenador. Así que tuve que pasar Charles Proxy, una app de pago (9,99 €) que actúa como una VPN interna para interceptar las solicitudes enviadas por tu Smartphone. Este es el protocolo seguido:

  • Cierra las distintas aplicaciones en segundo plano.
  • Iniciar la app Charles Proxy y activar la captura.
  • Iniciar Mapstr y navegar por la app.
  • Exportar después los logs de la sesión si quieres estudiarlos más cómodamente en tu ordenador (la app Charles Proxy para ordenador es gratuita en su versión básica).
  • Mira los dominios de las solicitudes enviadas, es informativo.

tracking_mapstr

Varias sorpresas:

  • Mapstr envía muchas solicitudes a Facebook (sin mi geolocalización). Facebook ofrece muchos servicios a las apps, así que es difícil saber cuál usa Mapstr (aquí están los distintos métodos ofrecidos por la Graph API de Facebook), pero parece que Mapstr utiliza servicios de Facebook Analytics: veo pasar eventos de "activities" y "user properties". Mi navegación en Mapstr enriquece la información que Facebook tiene sobre mí (aunque en este caso no tengo cuenta de Facebook). Problema: nunca di mi consentimiento para que Facebook me rastreara en Mapstr.
  • Mapstr envía mi geolocalización a Kapten y Citymapper. ¿Por qué? Al explorar la app, puedo pedir a Mapstr indicaciones para llegar a una dirección; Mapstr me dirá entonces cuánto dura el trayecto en Uber, Kapten, Citymapper o Google Maps. Problema: Mapstr envía mi geolocalización a estas empresas sin que yo haya pedido indicaciones. Podría esperar un poco. Sin embargo, parece que no se transmite ningún identificador en estas solicitudes, por lo que la filtración de información es limitada (sobre todo porque tengo instaladas estas apps).
  • Más grave: Mapstr envía mucha información, incluida mi geolocalización, mi nombre y mi dirección de email, a Amplitude. Mis datos más personales se envían así, con mi nombre, a una empresa americana con la que no tengo ningún vínculo. ¿Qué beneficio obtiene Mapstr? Amplitude es una solución de analítica, que no necesita mi nombre, mi email ni mi geolocalización para funcionar correctamente.

Conviene recordar que antes había indicado en los ajustes de iOS que quería limitar el seguimiento publicitario (pero Mapstr no lo tiene en cuenta).

suivi_publicitaire_limité

Para transmitir todos estos datos personales, Mapstr necesita mi consentimiento, que parece haber olvidado.

Gestión del consentimiento en Mapstr

Cuando instalas la app Mapstr, aparece esta pantalla

Accueil_Mapstr

En letras muy pequeñas se puede leer: "Al registrarte aceptas nuestra Condiciones de uso". Obviamente nadie va a hacer clic en él, sin embargo podemos leer esto:

Mapstr se reserva el derecho de recopilar diversos datos nominativos y no nominativos, en particular mediante la recopilación de cookies, en un esfuerzo por mejorar la experiencia del cliente y la ergonomía en la app y los Servicios, los análisis estadísticos y la personalización de los Servicios.

Se trata de analítica y datos personales. Pero Mapstr no especifica que envía estos datos personales a un tercero (Amplitude), ni que también le transmite tu geolocalización.

Una vez que haya creado una cuenta, podrá acceder política de privacidad, escrito en inglés. Se afirma que:

  • Mapstr utiliza sus datos, entre otras cosas, con fines estadísticos ("para realizar estadísticas)" y mejorar su app ("para mejorar nuestro servicio").
  • La base legal es la aceptación de las famosas Condiciones de Uso.
  • Los datos recopilados que se enumeran son los siguientes: "su nombre, apellido, posiblemente su nombre de usuario de Facebook, foto de perfil, nombre de sus amigos, así como su idioma y país." En realidad, transmites mucha más información a Mapstr y Amplitude, incluida tu geolocalización (pero también tu operador telefónico, tu modelo de smartphone, etc.).
  • ¿Quién es el destinatario de sus datos? Una vez más, Mapstr es muy vago y aún no indica que transmite cierta información personal a terceros: "No revendemos sus datos personales. El modelo de negocio de la app Mapstr no se basa en ningún caso en la venta de sus datos personales a terceros. En este sentido, las únicas personas autorizadas a utilizar sus datos son los empleados de Hulab como parte de su uso de la app Mapstr."
  • ¿Se transfieren sus datos fuera de la Unión Europea? Aquí la mentira es clara, Mapstr indica que no transmite tus datos fuera de la Unión Europea: "Ninguno de sus datos se transfiere fuera de la Unión Europea y nuestros servidores están ubicados dentro del territorio de la UE.“Facebook e Intercom son empresas estadounidenses.

¿Es esto negligencia por parte de Mapstr? Esto es probable, pero en ausencia de sanciones por parte de la CNIL, la presión para respetar la privacidad de los usuarios de Internet es baja. ¿Qué pasa con otras aplicaciones que necesitan tu geolocalización?

Otra prueba con Citymapper

Después de la prueba con Mapstr, quería ver cómo Citymapper gestiona mis datos personales, ya que uso la app con regularidad para mis desplazamientos. A través de Charles Proxy, estos son los dominios de las solicitudes enviadas:

requêtes_citymapper

Varios trazadores todavía están presentes:

  • Crashlytics le permite monitorear errores y fallas de aplicaciones, esta herramienta pertenece a Google (que la compró a Twitter)
  • Google, por su servicio Google Maps
  • Amplitude, la herramienta de análisis ya vista en Mapstr
  • Mixpanel, una herramienta de analítica similar a Amplitude
  • Flurry es otra herramienta de análisis, que pertenece a Yahoo (y por tanto a Verizon)

Estas empresas también te rastrean cuando utilizas Citymapper, sin tu consentimiento. Sin embargo, al mirar el detalle de las solicitudes enviadas (en particular a Amplitude), Citymapper no envía tu geolocalización, tu nombre ni tu dirección de email. "Detalle molesto": Citymapper envía un evento "In drunk mode" a Mixpanel y Amplitude (mostrarían el botón de inicio más grande si has bebido demasiado):

Citymapper_Mixpanel_Drunk_mode El evento enviado a Mixpanel, se eliminaron los identificadores personales y no estoy borracho.

¿Cómo lo hacen? Tal vez solo se base en la hora, pero no es tranquilizador enviar esta información a empresas de terceros.