Las aplicaciones de control parental son utilizadas por los padres y las madres de los menores para supervisar el uso que sus hijos hacen de sus teléfonos móviles y para bloquear el acceso a determinadas funciones. A través de ellas pueden controlar el uso de las aplicaciones, la navegación que se hace por Internet, las llamadas y los mensajes de texto. Pero ¿qué ocurre si resulta que esas mismas aplicaciones se convierten en los grandes espías de los menores y de sus familias?

Los investigadores Álvaro Feal (Instituto IMDEA Networks), Paolo Calciati (Instituto IMDEA Software), Narseo Vallina-Rodríguez (Instituto IMDEA Networks), Carmela Troncoso (Spring Lab EPFL) y Alessandra Gorla (Instituto IMDEA Software) han ganado recientemente el «Premio a la investigación y protección de datos personales Emilio Aced» otorgado por la Agencia Española de Protección de Datos (AEPD), por el studio Angel or Devil? A Privacy Study of Mobile Parental Control Apps (“¿Ángel o demonio? Un estudio sobre la privacidad en las apps móviles de control parental”).

Los institutos IMDEA son centros de investigación de excelencia de la Comunidad de Madrid que centran en siete áreas estratégicas para la sociedad desde el punto de vista empresarial, científico y tecnológico: agua, alimentación, energía, materiales, nanociencia, networks y software.

El 80 % de las 'apps' comparte datos con terceros

El estudio abre un debate sobre los riesgos para la privacidad que introducen las aplicaciones de control parental, no solo para los padres, sino para los hijos, lo que es aún peor.

En su trabajo, los investigadores descubrieron que casi el 75 % de las aplicaciones contienen librerías de terceros que recogen datos para fines secundarios (en concreto, publicidad, redes sociales y servicios analíticos) y que el 67 % de las apps comparten datos privados sin el consentimiento del usuario, incluyendo apps recomendadas por organismos públicos, como IS4K (Internet Segura For Kids del INCIBE).

También concluyeron que estas apps no eran transparentes sobre sus prácticas de recogida de datos, ya que el 80 % de las aplicaciones que comparten datos con terceros no los nombran en su política de privacidad.

“En este trabajo analizamos un grupo de aplicaciones de control parental en Android, ya que por la propia funcionalidad que ofrecen tienen la posibilidad de acceder a datos privados de niños. Durante nuestro análisis, probamos 43 aplicaciones y encontramos que durante la ejecución de estas apps, la mayoría de ellas compartía datos potencialmente sensibles con terceras partes. Además, algunas de estas aplicaciones no obtenían consentimiento por parte de los padres antes de recoger y enviar datos del teléfono y otras incluso mandaban estos datos a través de Internet sin usar métodos de encriptación básicos. Como conclusión, recomendamos a los padres que se basen en otro tipo de herramientas de control parental no tecnológicas para proteger la privacidad de sus hijos y la suya propia”, explica Álvaro Feal, uno de los investigadores del estudio.

Sin el consentimiento adecuado

El equipo estudió exhaustivamente 43 aplicaciones que tienen 20 millones de instalaciones combinadas en Google Play Store. Utilizando una combinación de análisis estático y dinámico, encontraron que estas aplicaciones, en promedio, necesitan más permisos que las 150 aplicaciones principales de Google Play Store, y tienden a solicitar permisos más peligrosos con los nuevos lanzamientos.

El 11 % de las aplicaciones transmiten datos personales de forma clara, el 34 % recopilan y envían información personal sin el consentimiento adecuado, como ya ha mencionado uno de los autores del estudio, el 72% de las aplicaciones comparten datos con terceros (incluidos los servicios de análisis y publicidad en línea) sin mencionar su presencia en las políticas de privacidad de las aplicaciones.

La falta de transparencia de las aplicaciones de control parental en las que tantas familias confían ciegamente y el incumplimiento de los requisitos reglamentarios pueden tener graves consecuencias para la privacidad de los niños.

Las recomendaciones existentes de los organismos oficiales no tienen en cuenta la privacidad, ya que solo evalúan características como el precio, las capacidades o la facilidad de uso. Con estos resultados se abre un debate sobre los riesgos para la privacidad que introducen estas aplicaciones. ¿Está justificada la recogida y tratamiento de datos por el control parental para proteger a los niños? La legislación actual (como el RGPD) protege el acceso a los datos de los menores sin el claro consentimiento de los padres.