Blog de Linube

Hace unos días Google anunciaba mejoras en la protección de datos de sus usuarios; de manera que las aplicaciones de terceros que utilicen las APIs de la compañía, solo puedan tener acceso a la información necesaria. Hasta el momento, no ha sido nada extraño el hecho de que determinadas aplicaciones solicitasen al usuario el acceso a funcionalidades que nada tenían que ver con la app en cuestión. Y ahora, Google quiere mejorar en esto; y de paso tapar un problema igual de grave: la exposición de miles de datos de los usuarios de Google+.

A principios de año, Google apostaba por Project Strobe, una auditoría interna con la que evaluar desde cero el funcionamiento de sus diferentes aplicaciones y poder mejorar la privacidad y la seguridad de sus servicios. Auditoría de la que salió un desagradable descubrimiento: un fallo de seguridad en la API de Google+. Como consecuencia de dicha auditoría, Google ha lanzado 4 medidas para paliar el problema y prevenir futuras brechas de seguridad.

1. El cierre de Google+

Muchos ni siquiera habíamos notado que Google+ seguía existiendo, pero ahí sigue. Y seguirá hasta agosto del próximo 2019, fecha máxima establecida por la compañía para su cierre. Pero la red social de Google no cierra por su escasísima adopción, sino por la exposición de los datos de más de 500.000 usuarios entre 2015 y 2018.

Un bug que fue corregido en marzo de este mismo año y que ha estado silenciado hasta ahora; algo que hubiera sido ilegal de haber sucedido solo unos meses después. El nuevo reglamento de Protección de Datos (RGPD) obliga a advertir al usuario en un plazo inferior a 72 horas después de su descubrimiento de que sus datos han sido comprometidos.

Este error en la API de Google+ permitiría el acceso a terceros no solo a datos del perfil no públicos del usuario, sino también a los de sus amigos. A pesar de ello, Google dice no haber evidencia de que dicha información se haya utilizado de forma incorrecta y que en ningún caso se trata de datos sensibles; como mensajes o cuentas bancarias.

Así que, aprovechando una filtración del bug de seguridad de Google+ por parte del Wall Street Journal, y con la excusa de mejorar la gestión de permisos, la compañía ha anunciado el cierre de su red social. Una muerte anunciada, ya que según Google, el 90% de las sesiones duraban menos de 5 segundos; por lo que mantenerla se hacía insostenible. Hasta la llegada del cierre definitivo, Google facilitará herramientas de migración a los usuarios con las que exportar los datos almacenados en el perfil de Google+. En el caso de los perfiles de empresa la situación será diferente: se mantendrán algunas funcionalidades y se añadirán otras; dando lugar a un producto corporativo totalmente distinto.

2. Gestión de permisos a las aplicaciones

Como segunda medida, Google proporcionará herramientas granulares para ofrecer permisos a aplicaciones de terceros. Con ello se pretende que las aplicaciones no puedan tener acceso total a la información del usuario cuando únicamente necesitan una parte especifica. De esta forma se evitará que, por ejemplo, una aplicación de linterna pueda tener acceso a la agenda de contactos; una funcionalidad que nada tiene que ver con el propósito de la app.

Además, los permisos requerirán de permiso explícito. Es decir, las aplicaciones tendrán que mostrar una página para cada uno de los permisos que quieran solicitar y que el usuario tendrá que aceptar o denegar. Así, en lugar de ver todos los permisos que se solicitan en una misma pantalla, se hará de forma independiente y deberá ser posible aceptar unos y denegar otros.

3. Acceso a Gmail limitado

Con estas medidas, la política de acceso a la API de Gmail también sufrirá modificaciones. Con lo que únicamente las aplicaciones relacionadas con las funcionalidades de Gmail podrán tener acceso a los datos del usuario. Por ejemplo, los gestores de correo, las aplicaciones para almacenamiento en la nube o apps para mejorar la productividad. Nuevas normas que tendrán que ser aceptadas por las aplicaciones antes de solicitar permiso alguno al usuario.

Si quieres revisar qué aplicaciones tienen acceso a tus datos en cuentas de Google, entre las que se incluye Gmail, puedes hacerlo con la herramienta para revisar la seguridad. Además de permitir comprobar tu actividad reciente en relación con la seguridad de tus cuentas; te permite mejorar la protección.

4. Limitar el acceso a llamadas, contactos y SMS

Algunas aplicaciones, especialmente en el caso de Android, solicitan permiso para acceder al teléfono del usuario; incluyendo su registro de llamadas y los mensajes de texto. Un acceso que solo debería tener la aplicación asignada para realizar llamar o enviar y recibir SMS; con la excepción de las herramientas para la realización de copias de seguridad y el contestador.

Es evidente que Google ha vendido un fallo de seguridad como una mejora para la gestión de permisos a terceros. Además, en los próximos meses anunciarán nuevas medidas y limitaciones para que el usuario sepa qué permisos otorga y a qué aplicaciones. Lo que no exime a Google de una falta de transparencia con sus usuarios; posiblemente motivada por escándalos similares que se produjeron prácticamente al mismo tiempo, como el caso Cambridge Analytics. Y es precisamente esto, la falta de transparencia de algunas compañías con sus usuarios, una de las cosas que se pretenden corregir con el RGPD.

Si quieres evitar problemas de este tipo, te recomendamos pasarte al webmail privado; de forma que nadie tenga acceso a tus correos. Y, sobre todo, controla qué accesos permites a tus equipos para evitar que tus datos puedan verse comprometidos.