La aplicación Ring comparte sus datos personales con Facebook y otros, según un informe

Ring, el fabricante de timbres de alta tecnología y cámaras de seguridad para el hogar propiedad de Amazon.com Inc., se comercializa como una protección al mundo fuera de los hogares de los usuarios. Pero su aplicación recopila datos de los teléfonos de los usuarios y comparte esa información con múltiples rastreadores de terceros, reveló esta semana un informe de la Electronic Frontier Foundation.

La información incluye los nombres completos de los usuarios, direcciones de correo electrónico, direcciones IP, operadores de redes móviles y datos sobre sensores instalados en el teléfono, según el grupo de libertades civiles, cuyo trabajo se centra en la privacidad y otros derechos digitales.

El EFF dijo que analizó el tráfico web en la aplicación de Ring para dispositivos Android y descubrió que la compañía distribuye datos de clientes principalmente a cuatro empresas de análisis y marketing: Facebook, Branch, AppsFlyer y Mixpanel. Crashlytics, propiedad de Google, también recibe datos de Ring, según el informe.

“Los clientes realmente deberían analizarlo y darse cuenta, ¿Es algo en lo que confío? Este dispositivo de vigilancia que se puede utilizar para vigilar a mis vecinos en realidad me está vigilando a mi”, dijo William Budington, ingeniero de seguridad y tecnólogo de la EFF.

Ring dijo en un comunicado que permite que terceros utilicen los datos sólo para “fines apropiados”.

La política de privacidad de Ring señala que la empresa utiliza servicios analíticos de terceros y participa en “redes publicitarias” que le permiten dirigir mensajes mediante la recopilación de información “a través de medios automatizados, incluido el uso de cookies, registros de servidores web, web ‘beacons’ y otras tecnologías similares”.

Pero sólo una de las compañías de terceros identificadas por EFF, Mixpanel, figura en la lista de servicios de análisis de terceros de Ring.

AppsFlyer, una empresa de análisis de marketing móvil, recopila datos sobre las acciones del usuario dentro de la aplicación Ring y sobre la configuración de calibración y los sensores instalados en el dispositivo.

“Sólo tener la información sobre qué sensores tiene su teléfono es bastante personal”, dijo Budington del EFF. “Es preocupante debido al nivel de detalle y comprensión de las características de su dispositivo. Una compañía de rastreo puede unir y crear una huella digital de su teléfono, un todo sobre cómo se ve su dispositivo”.

Eric Goldman, profesor de la Facultad de Derecho de la Universidad de Santa Clara, que codirige el Instituto de Derecho de Alta Tecnología de la escuela, dice que no se necesita mucho para tomar huellas digitales.

“Un ejemplo sería, si puede ver todas las aplicaciones en el dispositivo de una persona, algo que sólo es exclusivo de esa persona para con el resto de los demás en el universo”, dijo Goldman. “Pues probablemente todos hemos configurado nuestras aplicaciones de manera diferente”.

Reunir algunos de los datos que proporciona Ring podría mostrar, hipotéticamente, que abriste un juego o que te uniste a un punto de acceso Wi-Fi en tu hogar, dijo Budington. Cuanta más información se recopile, mejor podrá una empresa armar una imagen de lo que está haciendo en su vida digital.

“Al igual que muchas empresas, Ring utiliza proveedores de servicios externos para evaluar el uso de nuestra aplicación móvil, lo que nos ayuda a mejorar las funciones, optimizar la experiencia del cliente y evaluar la efectividad de nuestro marketing”, dijo un portavoz de Ring en un comunicado. “Ring garantiza que el uso de los datos proporcionados por los proveedores de servicios se limita contractualmente a fines apropiados, tales como la realización de estos servicios en nuestro nombre y no para otros fines”.

Ring señaló que usa MixPanel para enviar mensajes dentro de la aplicación cuando lanza nuevas funciones. En general, la compañía puede recopilar y divulgar información personal, como cuando los usuarios interactúan con la aplicación o sus dispositivos Ring, a servicios de terceros para rastrear el rendimiento de varias funciones, dijo la compañía.

Budington señaló que Ring no necesariamente viola su propia política de privacidad. Pero manifestó que es demasiado amplia y vaga, y es preocupante que incluso la lista de servicios de terceros de la compañía no sea precisa.

Goldman dijo que no está claro por qué Branch o Facebook necesitarían información de Ring para ayudar con el análisis o la orientación de anuncios.

El portavoz de la sucursal Alex Austin señaló que la compañía proporciona un servicio que corrige los enlaces móviles que llevan a los usuarios a la página correcta. “Para realizar este servicio para Ring y muchos otros, debemos procesar algunos datos desde la aplicación, pero tener mucho cuidado al manejarlo”, dijo Austin en un correo electrónico. Según la política de datos de usuario de la empresa, Branch recopila información del dispositivo, como identificadores publicitarios, direcciones IP y cookies, pero no reune ni almacena datos como nombres, correos electrónicos o direcciones físicas.

Otras compañías mencionadas en el informe de EFF no respondieron de inmediato a las solicitudes de comentarios.

La nueva Ley de Privacidad del Consumidor de California, que el estado comenzará a aplicar en julio, podría ayudar a regular este tipo de actividad de Ring, dijo Goldman. Dependiendo de cómo la oficina del fiscal general del estado interprete la ley, podría obligar a la compañía a revelar más sobre los terceros que aprovechan sus datos.

La ley estatal “va a cambiar el ecosistema. No estoy seguro de cuánto, pero está claro que se avecinan cambios”, reveló Goldman.

Amazon adquirió Ring en 2018, y la compañía de cámaras con timbre se ha enfrentado a un escrutinio y críticas considerables en los últimos meses por problemas de privacidad en torno a sus acuerdos con las agencias de aplicación de la ley y en relación a ataques y violaciones que comprometieron los videos de los propietarios de Ring.

El mes pasado, un hacker accedió a una cámara Ring en la habitación de una niña de 8 años en Mississippi y la usó para acosarla. Una pareja en Texas se despertó cuando un hacker le dijo a través de su cámara Ring que “serían exterminados” a menos que pagaran un rescate de 50 bitcoins. Ring ha dicho anteriormente que estos incidentes “no están relacionados de ninguna manera con una violación o compromiso de la seguridad de Ring” y señaló que los actores con malicia pueden obtener credenciales de cuenta (especialmente cuando las personas reutilizan nombres de usuario y contraseñas) de servicios externos que no son de Ring.

Un informe de la placa base el mes pasado detalló algunas prácticas de seguridad laxas de Ring, como permitir múltiples inicios de sesión desde varias ubicaciones y direcciones IP sin informar a los propietarios, lo que facilita a los piratas informáticos poner las cámaras de la compañía contra sus clientes.

El senador Edward J. Markey (D-Mass.) criticó duramente a la compañía en noviembre por hacer tratos con las agencias de aplicación de la ley que podrían exponer a los clientes y sus vecinos a “prácticas invasivas o incluso discriminatorias de recopilación de información” por parte de la policía. El principal ejecutivo de hardware de Amazon ha dicho que está orgulloso del programa y que las alianzas con los departamentos de policía son buenas para los vecindarios.

A mediados de diciembre, supuestamente se violaron las credenciales de inicio de sesión de más de 3.600 titulares de cuentas Ring. La compañía dice que esas violaciones no fueron el resultado de fallas en su propio sistema. Los incidentes y otros han provocado demandas, incluida una colectiva presentada en diciembre en un tribunal federal de Los Ángeles.

Ring dijo a los legisladores a principios de enero que despidió a los trabajadores en los últimos años por acceder incorrectamente a los datos de video de los usuarios. Según Verge, la compañía aseguró que agregaría un nuevo panel de privacidad a sus aplicaciones móviles que permitirá a los usuarios administrar sus dispositivos conectados, servicios de terceros y solicitudes de la policía para acceder al video desde sus teléfonos.

Al menos un trabajador de Amazon ha dicho que la compañía debería cerrar Ring por completo, argumentando que las preocupaciones de privacidad “no son compatibles con una sociedad libre”.

“Los problemas de privacidad no se pueden solucionar con la regulación y no hay un equilibrio que pueda alcanzarse”, escribió el ingeniero de desarrollo de software Max Eliaser. “Ring debe cerrarse de inmediato y no volver a traerlo”. Su comentario fue parte de una serie de críticas de los empleados a Amazon, publicado el domingo en desafío a las reglas de la compañía que restringen cuándo los trabajadores pueden hablar.

Para leer esta nota en inglés, haga clic aquí.