En ocasiones las políticas de privacidad no son suficiente claras. Pero hay métodos para conocer qué tipo de datos están siendo enviados desde un dispositivo a servidores externos. Es lo que ha ocurrido con el ingeniero Robert Heaton y las tabletas Wacom. En su página personal ha decidido explicar, después de indagar sobre ello, qué información envían las tabletas gráficas de Wacom a servicios como los de Google Analytics. Y lo que ha descubierto es un gran ejemplo de cómo hasta los dispositivos aparentemente más inocentes permiten a las empresas obtener una enorme información sobre las páginas y aplicaciones que utilizamos en el día a día.
Según describe el ingeniero, las tabletas Wacom recogen los datos de la fecha, el ID y el nombre de cada aplicación que abrimos a través de ellas. Una situación "profundamente desagradable" para un dispositivo que no deja de ser una "especie de ratón". "¿Por qué un dispositivo que es esencialmente un mouse necesita una política de privacidad?", se pregunta.
Cada aplicación que se abre queda registrada
El proceso que siguió el ingeniero para descubrir qué tipo de datos envían las tablets no es sencillo para usuarios sin conocimientos técnicos. Así es cómo lo describe Heaton.
El primer paso fue leerse la política de privacidad de Wacom; "corta y clara". En la sección 3.1 se especifica que "se envían datos agregados, información técnica de la sesión e información sobre el hardware del dispositivo a Google Analytics". Aunque no se aclara qué datos exactos se estaban enviando y esto es lo que posteriormente analizó.
En primer lugar utilizó un servidor proxy para interceptar los datos enviados y un programa, Wireshark, para analizar este tráfico. Lo que descubrió es que el tráfico aparecía encriptado. Para poder acceder a estos datos utilizó Burp Suite y certificados con acceso root. Los detalles técnicos están explicados en el propio artículo de Robert Heaton.
Como explica el ingeniero, la política de privacidad no hacía mención a la intención de obtener el nombre de cada aplicación abierta desde el dispositivo, que al final no deja de ser la puerta de entrada a nuestro ordenador.
My Wacom drawing tablet asked me to accept a privacy policy. Why does a device that is essentially a mouse need a privacy policy? I wondered.
— Robert Heaton (@RobJHeaton) February 5, 2020
The answer is “so that they can track the name and time of every application that you open.”https://t.co/Nso2jdv0xF
La política de privacidad de Wacom sí aclara que estos datos son utilizados por motivos de desarrollo, aunque Heaton apunta que un programador de la compañía podría aprovechar esta gran cantidad de datos para sus propios motivos, desde descubrir proyectos confidenciales hasta conocer qué tipo de webs visitan personas conocidas.
Un problema que durante el año pasado estuvo muy presente con los debates sobre la privacidad de Alexa de Amazon o Siri de Apple y que finalmente estas grandes compañías tuvieron que cambiar su forma de trabajar.
Desde Wacom han replicado el informe de Robert Heaton explicando que "las recientes actualizaciones de Mac agregaron muchas características de seguridad para mantener la computadora a salvo de aplicaciones no descargadas de la tienda de aplicaciones. Esto requiere que se cambien las configuraciones de seguridad adicionales para que funcione el controlador de la tableta".
Desde Xataka nos hemos puesto en contacto con Wacom España para aclarar su política de privacidad. Actualizaremos en cuanto obtengamos respuesta.
En Xataka | Todo lo que pueden averiguar sobre ti con solo tener tu número de teléfono (Despeja la X)
Ver 16 comentarios