Según un artículo reciente, más de 3300 aplicaciones de Android para niños en Google Play supuestamente recopilaron datos por error, lo que significa que las aplicaciones pueden haber violado las leyes de protección infantil de EE. UU.
El estudio, «¿Nadie piensa en los niños? Una revisión de cumplimiento de COPPA a gran escala», analizó 5855 de las aplicaciones de Android más populares desarrolladas para niños. Señaló que «aproximadamente el 57 por ciento» de las aplicaciones (3337 en total) violarían la Ley de protección de la privacidad en línea de los niños de EE. UU. (COPPA).
COPPA protege a los niños menores de 13 años de la recopilación intrusiva de información de identificación personal (PII). La ley regula cómo una aplicación, juego o sitio web recopila y procesa datos confidenciales de menores. Como tal, ciertas prácticas de recopilación de datos están expresamente prohibidas, mientras que otras requieren el consentimiento de los padres.
Las 5855 aplicaciones probadas fueron creadas por 1889 desarrolladores y totalizaron alrededor de 4500 millones de instalaciones. Están listados en 63 categorías diferentes en Google Play, la mayoría de las cuales obviamente están incluidas en la sección de juegos.
Entonces, ¿qué hacen exactamente estas aplicaciones?
Un equipo de siete investigadores de universidades estadounidenses y canadienses utilizó procesos de prueba automatizados para examinar cómo las aplicaciones manejan los datos.
Descubrieron que las violaciones de la privacidad del usuario tomaban muchas formas. Por ejemplo, el 28% de las aplicaciones acceden a datos confidenciales a través de permisos de Android. De manera preocupante, casi el 5 por ciento de las aplicaciones recopilaron información de contacto o ubicación de los niños sin el consentimiento de los padres, especialmente la dirección de correo electrónico o el número de teléfono del propietario del dispositivo.
Casi las tres cuartas partes (73 %) comparten datos confidenciales a través de Internet, pero el 40 % de ellos no implementan medidas de seguridad razonables porque no utilizan Transport Layer Security (TLS), un estándar para proteger los datos en tránsito.
El estudio también encontró posibles infracciones en casi el 19 por ciento de las aplicaciones que recopilan los llamados identificadores persistentes (como el número IMEI único de un dispositivo o la dirección MAC WiFi) para terceros con fines prohibidos, especialmente la creación de perfiles de usuarios y la orientación de anuncios. Estos identificadores se califican como información personal según COPPA siempre que puedan usarse para identificar a los usuarios en diferentes sitios o servicios en línea durante un período de tiempo.
Además, el 39% de las aplicaciones enviaron el identificador de publicidad de Google AAID junto con otro identificador (e inmutable) al mismo destino, lo que parece violar los términos de uso del programa Diseñado para Familias (DFF) de Google Play.
Información de identificación personal (PII) recopilada por varias aplicaciones de prueba
(Fuente: ¿Alguien no pensará en los niños?» Examinando el cumplimiento de COPPA a escala)
Los investigadores atribuyen esta violación de datos a la integración de aplicaciones y al uso de kits de desarrollo de software (SDK) de terceros. «Si bien muchos de estos SDK brindan configuraciones compatibles con COPPA al deshabilitar el seguimiento y la publicidad conductual, nuestros datos indican que la mayoría de las aplicaciones no usan estas configuraciones o las propagan incorrectamente en sus SDK intermedios», decía el artículo.
Con esto en mente, los investigadores afirmaron que «muchas violaciones de la privacidad no son intencionales y son el resultado de malentendidos sobre los SDK de terceros».
respuesta de google
Los investigadores dieron un voto de confianza a las medidas de Google para garantizar el cumplimiento de COPPA, pero agregaron que «no eran aplicables (o al menos limitadas)». Como tal, instaron a Google a ser más proactivo en su proceso de verificación.
Mientras tanto, Tom’s Guide citó a un portavoz de Google en respuesta a estos hallazgos:
«Nos tomamos muy en serio los informes de los investigadores y estamos revisando sus hallazgos. Proteger a los niños y las familias es nuestra máxima prioridad, y nuestro programa Diseñado para Familias requiere que los desarrolladores cumplan con requisitos específicos que van más allá de nuestros estándares. Los estándares de Google Play. Si buscamos, lo haremos tomar medidas si encontramos una aplicación que infringe nuestras políticas. Siempre estamos agradecidos por el trabajo que realiza la comunidad de investigación para ayudar a que el ecosistema de Android sea más seguro».