El peligro de usar una extensión de terceros sobre tu correo Gmail: el caso unroll.me

El peligro de usar una extensión de terceros sobre tu correo Gmail: el caso unroll.me

10 comentarios Facebook Twitter Flipboard E-mail
El peligro de usar una extensión de terceros sobre tu correo Gmail: el caso unroll.me

¿Revelarías la contraseña de tu correo electrónico a cualquier persona que acabas de conocer? Lo más posible es que respondas a esta pregunta con un rotundo "no". Y, sin embargo, cada vez son más las apps de terceros que, si bien ofrecen funcionalidades útiles (como la gestión de tareas, añadir nuevas características a tu buzón, etc.), tienen acceso total y absoluto a tu cuenta de correo. No, no conocen tu clave, pero no la necesitan: ya están totalmente dentro.

Esta mañana os hablábamos de la última polémica de Uber: utilizaban fingerprinting para saber cuándo cada usuario borraba la aplicación de sus iPhone. El New York Times destapaba este escándalo en un interesantísimo perfil sobre Travis Kalanick, CEO de Uber, en el que además se daban más detalles sobre cómo vigilaban de cerca la actividad de Lyft: obteniendo directamente la información de los recibos que sus competidores mandaban a sus clientes. ¿Cómo lo hacían? A través de los datos recopilados por Unroll.me, una extensión para Gmail y otros servicios similares.

Gmail, al igual que otros servicios de correo electrónico, permite que apps y clientes de terceros puedan acceder a la cuenta del usuario si éste le da permisos. Algunas, por ejemplo, incluyen más información sobre el autor del mensaje dentro del propio correo (por ejemplo, Rapportive). Otras facilitan la integración con gestores de tareas (Todoist es de las más conocidas). Y, si haces una rápida búsqueda, te encontrarás con numerosos artículos que recomiendan extensiones o aplicaciones para Gmail para ser más productivo o para "dominar" tu correo electrónico.

Qué es Unroll.me y cómo funciona

Permisos Unroll Me Permisos que pide Unroll.me cuando vas a utilizarlo con tu cuenta Gmail

Unroll.me es una de estas extensiones, y además proporciona una funcionalidad muy útil: te deja ver en un único lugar todas las suscripciones de correo que tienes y, con tan sólo un click, puedes eliminar aquellas que ya no te interesen. "Una bandeja de entrada que ames, para una nueva experiencia de correo electrónico", dicen en su sitio web a modo de eslogan. El servicio es gratuito aunque lo pagas cediendo un poco de tu privacidad.

Si intentas utilizar la aplicación con tu cuenta de Gmail (aunque es compatible con Yahoo, Outlook y AOL también), lo primero que te pedirá es que le des permiso para, entre otras cosas, "Lea, envíe, elimine y gestione su correo electrónico". Parece obvio, puesto que tiene que ver qué correos tienes y cuáles son suscripciones que se pueden cancelar. Pero ¿sabes a quién estás dando esos permisos tan "poderosos" cuando aceptas unas condiciones así? ¿Y qué van a hacer con estos datos después?

En el caso de Unroll.me, Slice (perteneciente a Rakuten) compró la aplicación en noviembre de 2014. ¿Para qué quiere Slice, una app de seguimiento de envíos, un servicio como el que ofrece Unroll.me? Por aquella época TechCrunch ya se hacía eco de una de las claves: "Esto ofrece potencialmente a la compañía un fuerte control de los datos de los clientes". De hecho, Unroll.me no lo oculta en su política de privacidad: recopilan datos agregados y anónimos de sus usuarios para después hacer lo que quieran con ellos.

"También recopilamos información no personal, datos que no permiten la asiciación directa con un individuo. Podemos recopilar, usar, transferir, vender y divulgar información no personal para cualquier propósito. Por ejemplo, cuando utilizas nuestros servicios, podemos recopilar datos de y sobre los "correos electrónicos comerciales" y "correos transaccionales" que son enviados a tu cuenta. [...] Podemos divulgar, distribuir, transferir y vender dichos mensajes y los datos que recopilamos en relación a dichos mensajes, siempre que, si divulgamos dichos mensajes o datos, toda la información personal que contengan sea eliminada antes de su divulgación".

Y eso es, básicamente, lo que han hecho en el caso de Uber. Según el New York Times, compraban a Slice información sobre el uso que los usuarios de Unroll.me hacían de Lyft, su principal competidor. Estos obtenían la información escaneando los correos de sus usuarios y comprobando los recibos de Lyft que estos tenían en sus buzones, esa información era la que utilizaba Uber como indicador de la "salud" del negocio de su competencia.

Cuando la noticia se hizo pública, no tardó en aparecer la indignación entre algunos de los usuarios de Unroll.me. El CEO de la compañía respondía poco tiempo después en el blog corporativo, explicando que estaban "devastados" por la reacción de sus usuarios al descubrir "cómo monetizamos nuestro servicio gratuito". Según él, lo explican claramente en los Términos de Uso y su Política de privacidad, pero van a explicarlo mejor en otras secciones de su web porque "la mayoría de nosotros no invierte tiempo en revisar con cuidado" dichos documentos.

¿Sabes cómo, dónde y con qué nivel de seguridad guardan tus correos?

Los problemas al utilizar extensiones de este tipo no se quedan en que éstas puedan vender datos anonimizados de uso. Tras la polémica inicial, en Hacker News apareció un mensaje de un usuario que dice haber trabajado para una compañía que estuvo a punto de comprar Unroll.me y que explicaba que la app guardaba todos los contenidos de los correos de sus clientes de manera insegura:

Correo Trabajador
"Trabajé para una empresa que estuvo cerca de comprar Unroll.me. Por aquella época, que era hace más de tres años, guardaban una copia de todos y cada uno de los emails que recibías o enviabas mientras estabas dado de alta en su servicio. Esos emails se guardaban en una serie de S3 buckets pobremente asegurados. El principal motivo de que Slice comprara Unroll.me fue acceder a esos archivos de correos. Específicamente, querían buscar tendencias en las palabras clave y en los recibos de las compras online. [...] Espero que no hayáis enviado ningún documento legal o contraseñas escritas en texto plano"

Desconozco si este señor es quien dice ser. Desconozco si lo que dice es además verdad. Pero el gran problema es que podría ser real perfectamente y, si lo fuera, una copia de tus correos está guardada en algún lugar con una seguridad que desconoces. Cualquier servicio que tiene acceso a tu cuenta de correo y que además guarda información, puede almacenar perfectamente tus emails. Y tú, que lo aceptas sin pensarlo dos veces, no sabes en ningún momento quién tiene acceso a esos datos, para qué se utilizan y, en el extremo caso en que te fíes de la app, la seguridad con la que se guardan tus correos es en la mayoría de casos un misterio.

Sí, ya sé lo que muchos pueden decir llegados a este punto: "Gmail ya lo sabe todo sobre ti y escanea tus correos". Y sí, es así y tienen toda la razón del mundo, pero ése es un sacrificio de nuestra privacidad al que algunos estamos dispuestos a ceder a cambio de la comodidad de utilizar un servicio como Gmail o Outlook, por ejemplo (no Yahoo, ejem ejem, al menos en mi caso). Una cosa es que Gmail tenga esos datos, y los tenga guardados con lo que a priori parece una buena seguridad, y otra cosa es que los tenga una startup desconocida, que a saber dónde y cómo los guarda y a quién y cómo los está vendiendo.

Mejor ser paranoico con la seguridad que la alternativa

Cuando hace un tiempo las aplicaciones móviles de correo de iOS, de Outlook y de Gmail no eran tan avanzadas como ahora, comenzaron a aparecer clientes de correo de hasta debajo de las piedras. Recuerdo que un compañero me comenzó a hablar de las bondades de uno de ellos, y yo le dije que sonaba bien pero que por norma personal y desde hacía algún tiempo nunca utilizaba clientes de terceros para el correo electrónico. Me llamó paranoica, y con razón.

Pero, si algo nos ha demostrado hoy el caso de Unroll.me es que nunca se es lo suficientemente paranoico. No creo que nadie, a estas alturas, piense que Unroll.me es la única extensión para Gmail que hace negocio con los datos que recopila de los correos que analiza. Y tampoco creo (o espero) que nadie se fíe al 100% de la seguridad que este tipo de extensiones ofrece a los datos que almacena. Unroll.me es sólo un caso, pero seguro que más que no conocemos.

Al igual que parece que la gente cada vez tiene más en cuenta y valora antes de aceptar los permisos que las apps de sus móviles piden antes de instalar, deberíamos hacer lo mismo con otros permisos que pasamos por alto. Los de las extensiones y clientes de correo electrónico son un ejemplo, pero también por ejemplo los permisos de las extensiones para Chrome pueden estar vigilando más de la cuenta.

Si nunca darías tu contraseña de correo o acceso a tu historial de navegación al completo a un extraño, mi consejo es que la próxima vez que instales un cliente de correo de terceros o cualquier extensión en tu cuenta, pienses que estás haciendo justo eso: estás dando acceso completo a una aplicación que después puede hacer lo que quiera con todos tus mensajes. O, peor aún, estás abriendo la puerta a que tus correos queden al descubierto si ésta los almacena y tiene cualquier problema de seguridad.

TRUCO: Si quieres saber qué aplicaciones tienes conectadas a tu cuenta de Google o más específicamente a Gmail, desde Mi Cuenta > Inicio de sesión y seguridad > Aplicaciones y sitios conectados a tu cuenta > Administrar las aplicaciones (o enlace directo aquí) puedes ver una lista y revocar los permisos de aquellas que no quieres que tengan acceso.

Imagen | Pixabay

Comentarios cerrados
Inicio