Las aplicaciones en los “smartphone” envían notificaciones a través de Apple y Google, incluso las applicaciones de mensajería supuestamente seguras. Esto permite a las autoridades solicitar datos de usuarios a las empresas detras de los “smartphone” . Hasta ahora, todas las partes implicadas se han negado a facilitar información. A raíz de nuestra iniciativa, un congresista estadounidense pide ahora transparencia.
El smartphone emite un pitido o vibra: un nuevo mensaje. Estas notificaciones funcionan a través de servicios push.
Las aplicaciones quieren poder recibir y mostrar notificaciones sobre nuevas actividades en cualquier momento. Al mismo tiempo, los teléfonos inteligentes deben ahorrar energía y datos. Por eso no todas las aplicaciones están siempre en ejecución y a la espera de novedades. En su lugar, los principales proveedores de smartphones gestionan servicios push centralizados para todas las aplicaciones y usuarios.
Todos los iPhones se conectan a los servidores de Apple, casi todos los dispositivos Android a los de Google o Huawei. Estos servicios asignan a cada dispositivo un ID a través del cual se puede acceder a él. Si una aplicación quiere notificar algo a sus usuarios, envía esta información a las grandes empresas tecnológicas, que la reenvían al dispositivo final.
Casi todas las aplicaciones lo hacen, no sólo los juegos y las redes sociales, sino también los mensajeros cifrados. Ya sea Signal, Threema o Wire: En los iPhones, todas las aplicaciones de mensajería envían notificaciones a través del servicio push de Apple. La mayoría de los dispositivos Android tienen servicios de Google, en cuyo caso las notificaciones se envían a través del servicio push de Google, incluidos Signal, Threema y Wire. Threema ofrece a los dispositivos Android de Huawei el envío de notificaciones a través del servicio push de Huawei.
Si un dispositivo Android no está conectado a Google o Huawei, estos mensajeros también envían las notificaciones a los propios dispositivos finales. Sin embargo, muy poca gente utiliza Android sin Google: Es complicado de configurar y restringe muchas funciones.
Hemos preguntado a Signal, Threema y Wire cuántas cuentas de usuario tienen y cuántas de ellas utilizan los servicios push de Apple, Google y Huawei. Threema y Wire no quieren revelar ninguna cifra sobre cuentas o servicios push, ni siquiera cifras relativas. Signal no ha respondido a nuestras reiteradas consultas periodísticas.
Las tres empresas de mensajería segura se niegan a facilitar información sobre la frecuencia con la que han expedido identificaciones push a las autoridades. Tampoco facilitan información al respecto en sus informes de transparencia.
Hace un año preguntamos a los proveedores de mensajería sobre este tema. En aquel momento, uno de los principales proveedores dijo que no quería hablar públicamente de los servicios push. No les interesaba “dar publicidad al asunto ni entrar en detalles, ya que existe la preocupación de que esto sólo facilite las cosas a las autoridades”. Sin embargo, la policía y los servicios de inteligencia están al tanto de los servicios push.
Muchos mensajeros anuncian que no conocen el contenido de las comunicaciones y que sólo conocen una pequeña parte de los metadatos y datos de inventario de sus usuarios. Sin embargo, los proveedores de mensajería tienen un “token push” para casi todas las cuentas de usuario. Y los proveedores de push vinculan estos identificadores push a una cuenta de usuario con ellos. Esto convierte un ID de Messenger seudónimo en una cuenta de Google o Apple. Y éstas contienen todo tipo de datos personales.
El tecnólogo Raphael Robert codesarrolló el protocolo de cifrado Messaging Layer Security. Antes fue responsable de seguridad en Wire. Robert ha visto cómo las autoridades investigadoras pedían explícitamente tokens push a los proveedores de mensajería. Se refiere a ellos como “identificadores de usuario de larga duración”. Con esta información, pueden dirigirse a Apple y Google para obtener más datos de los usuarios.
Robert comenta a netzpolitik.org: “Las tecnologías de protección de la privacidad están cada vez más extendidas. Pero su impacto se ve gravemente limitado por la forma en que Google y Apple aplican las notificaciones push. Necesitamos urgentemente más transparencia y, cuando sea posible, cambios técnicos”.
Urge transparencia
Hemos preguntado con qué frecuencia Google y Apple reciben este tipo de solicitudes y facilitan datos en respuesta. Hasta ahora, por desgracia, en vano.
Así que nos pusimos en contacto con la oficina del congresista estadounidense Ron Wyden. Sin embargo, Apple y Google también están dando largas al Parlamento estadounidense. Por ello, Wyden ha escrito hoy una carta al Fiscal General de Estados Unidos. Publicamos una traducción de la carta. El Ministerio debe permitir que Apple y Google hagan transparentes estos datos.
Apple ya ha respondido. La compañía escribió a Reuters: “Ahora que este método es público, estamos actualizando nuestros informes de transparencia para detallar este tipo de solicitudes.” Esperemos que los demás proveedores sigan su ejemplo y rompan también su silencio.
Aquí la carta de Ron Wyden (original en Ingles): https://www.wyden.senate.gov/imo/media/doc/wyden_smartphone_push_notification_surveillance_letter.pdf