Carrier IQ es un software instalado en millones de teléfonos móviles que registra todo lo que sus usuarios hacen, desde qué sitios web navegan, hasta lo que dicen sus mensajes de texto.
Esto no es parte de un gran complot orwelliano, es una herramienta de diagnóstico que las empresas dicen que juega un papel crucial para ayudar a evaluar y solucionar problemas en sus redes. Sin embargo, la aplicación de grabación, que se mantuvo fuera del radar durante años hasta que los investigadores de seguridad llamaron la atención hacia ella hace poco, y ahora está encendiendo una alerta roja de privacidad y alarmas de seguridad.
También está destacando cuán pocos clientes —y, a veces, los propios operadores y fabricantes— saben lo que sucede debajo de la cubierta de sus dispositivos móviles llenos de datos.
Los espeluznantes reportes sobre Carrie IQ en Estados Unidos, detallando las capacidades de rastreo comenzaron a aparecer en la prensa tecnológica hace varios meses y ganaron impulso después de que el desarrollador de Android, Trevor Eckhart publicó un análisis de los registros de datos del software.
Este lunes, Eckhart realizó un seguimiento con un video de 17 minutos de YouTube que muestra cómo el software se ejecuta en secreto en su teléfono HTC EVO 3D con Android y registra cada pulsación de tecla, cada texto y la dirección completa de todos los sitios web que visita. Registró datos incluso de los sitios web que usan cifrado de seguridad diseñado para prevenir este tipo de rastreo.
Carrier IQ está en un estimado de 150 millones de dispositivos móviles.
Los investigadores han encontrado el software en varios dispositivos que funcionan con el sistema operativo Android de Google.
Apple también confirmó el jueves a CNNMoney que el software se ejecuta en algunos de sus dispositivos móviles, pero la empresa dice que dejó de incluirlo en la última versión de iOS y eliminará por completo Carrier IQ de todos los iPhones y iPads en una próxima actualización de software.
Qué hace la herramienta de registro
Carrier IQ —y varios de sus principales clientes— dicen que su software está siendo malinterpretado.
La empresa que lo desarrolla dice que el propósito central de la herramienta es descubrir las tendencias generales a través de una red. Su software puede ayudar a los operadores saber dónde se están cortando las llamadas y por qué, y enfocarse en las fallas del dispositivo. Si un dispositivo específico de HTC, por ejemplo, tiene un problema de vida de la batería, el software Carrier IQ ayudará a aclarar el problema.
Sprint, una empresa telefónica que opera en Estados Unidos, dijo que utiliza Carrier IQ para solucionar problemas de red.
“Recogemos la información suficiente para comprender la experiencia del cliente con los dispositivos de nuestra red y la forma de abordar los problemas de conexión”, afirmó Sprint. “No vemos y no podemos ver el contenido de los mensajes, fotos, videos, etc., usando esta herramienta. La información recogida no se vende y no proporcionamos una alimentación directa de estos datos a nadie fuera de Sprint”.
Sin embargo, como el video de Eckhart y otras investigaciones de seguridad han ilustrado, Carrier IQ está registrando un caché sorprendentemente amplio de datos.
Un potencial peligro en manos de hackers
En respuesta, Carrier IQ emitió un comunicado asegurando que no “registra”, lo que significa que en realidad no transmite a los operadores o a cualquier otra persona, la mayoría de la información que se almacena en los teléfonos.
Se trata de una distinción técnica, pero significativa.
El analista de seguridad independiente Dan Rosenberg estudió el software Carrier IQ y su uso por parte de varios proveedores de telefonía móvil. Como él mismo dice: “La gente tiene que reconocer que hay una gran diferencia entre registrar eventos como las pulsaciones del teclado… y realmente recopilar, almacenar y transmitir esos datos a los operadores, lo cual no ocurre”.
Y agregó: “Después de que yo mismo apliqué ingeniería inversa sobre Carrier IQ, no he visto ninguna evidencia de que estén recopilando algo más que lo que han afirmado públicamente: datos métricos anónimos”.
Sin embargo, no eximió por completo de culpa a Carrier IQ. Existen profundas preocupaciones de privacidad —que tanto Carrier IQ como sus clientes parecen haber pasado por alto— asociadas con una gran parte de los datos personales guardados en tu teléfono. Rosenberg dice que este enfoque de diseño de software es “muy malo”.
Christopher Soghoian, un investigador de ciberprivacidad y miembro de la organización de defensa de derechos humanos Open Society, hizo eco de esa opinión:
“Carrier IQ no parece ser tan malicioso como incompetente, pero eso podría no ser suficiente para disipar las preocupaciones legítimas de la población”, dijo. “Habría enormes problemas si estos datos fueron transmitidos a un operador, pero aunque no lo sean, esto presenta grandes preocupaciones. Esto sería una mina de oro para un hacker”.
Soghoian piensa que Carrier IQ tiene mucho más acceso y almacena mucha más información en los teléfonos de lo que debería.
Sin embargo, los usuarios son esencialmente impotentes para detenerlo. El software está tan enterrado en el sistema operativo del dispositivo que el consumidor promedio no puede eliminarlo, y al hacerlo anularía la garantía del teléfono.
“No es revisado por el equipo de seguridad de Google, no es auditado, podría no recibir las actualizaciones periódicas de seguridad, y tú realmente no quieres que una aplicación tenga toda esa información”, señaló Soghoian.
Google insistió en que Carrier IQ está instalado al nivel del fabricante y del operador. Un portavoz de la empresa dijo que no tenía relación con la presencia del software en sus dispositivos Android.
El senador estadounidense Al Franken envió una carta este jueves a Carrier IQ exigiendo respuestas. Franken dijo que está “muy preocupado” por los reportes de que el software “está registrando y transmitiendo información que puede ser extraordinariamente sensible”.