Google Messages y aplicaciones que podrían estar enviando datos personales

Un portavoz de Google informó en una declaración:

“Tanto Marcador como Mensajes usan cantidades limitadas de datos para fines muy específicos que nos permiten diagnosticar y resolver problemas de funcionalidad del producto y garantizar que la entrega de mensajes sea consistentemente confiable. Estos registros técnicos no se usan, y nunca se usaron, para orientar anuncios y estaban protegidos por estrictos controles de acceso internos. Los números de teléfono y los datos relacionados con los SMS cifrados dentro de Mensajes solo se usaron en los registros técnicos para depurar los problemas del servicio de la aplicación. Los números de teléfono que no se guardaron en la lista de contactos de un usuario solo los utiliza Dialer para proteger a los usuarios contra llamadas de spam no deseadas. Estamos comprometidos con el cumplimiento de las leyes de privacidad de Europa y aplicamos estrictas protecciones de privacidad a los datos recopilados a través de nuestras aplicaciones Marcador y Mensajes”.

Según Douglas Leith, profesor de informática en Trinity College Dublin, las aplicaciones Google Messages y Google Phone han estado recopilando y enviando datos sobre las comunicaciones de los usuarios a Google sin previo aviso o consentimiento específico de sus usuarios.

Según Leith, los usuarios no tienen una opción de exclusión de la recopilación de datos. Esto, como afirmó el profesor en su artículo titulado “¿Qué datos envían a Google las aplicaciones Google Dialer y Messages en Android?” potencialmente viola el RGPD de Europa, que es la ley de protección de datos de Europa (a través de Android Police). ¿Qué información envían Google Messages y las aplicaciones de Google Phone a Google? En su artículo, Leith explica que los datos que envía Google Messages contienen un hash del mensaje, lo que permite que el remitente y el receptor del mensaje se comuniquen. Google Phone envía datos a Google sobre la hora, la duración y los números de teléfono de su llamada, lo que permite establecer nuevamente la comunicación entre dos teléfonos. Ambas aplicaciones utilizan el registrador Clearcut de Google Play Services y Google/Firebase Analytics para enviar los datos a Google.

Leith también explica que, del mensaje de un usuario, Google toma el contenido del mensaje y su marca de tiempo; a partir de ahí, genera una versión hash del mensaje y envía una parte del hash al registrador Clearcut de Google y Firebase Analytics.

En un correo electrónico a The Register, Leith explicó si los mensajes cifrados se podían deshacer: “Mis colegas me dijeron que sí, en principio es probable que esto sea posible. El hash incluye una marca de tiempo por hora, por lo que implicaría generar hashes para todas las combinaciones de marcas de tiempo y mensajes de destino y compararlos con el hash observado para una coincidencia; creo que es factible para mensajes cortos dada la potencia informática moderna”.

Según el documento, Google informa que algunos datos de los usuarios se recopilan por motivos de seguridad, prevención de fraudes y para que los servicios de la aplicación funcionen correctamente.

Pero el documento también afirma que Google no explica por qué recopila el contenido del mensaje o la información de las personas que llaman y los destinatarios de las llamadas.

En este sentido, el documento declaró: “Se dan pocos detalles sobre los datos reales recopilados”.

Además, según Leith, las aplicaciones Google Messages y Google Phone registran las interacciones de los usuarios cuando los usuarios las usan y envían las grabaciones a Google.

Douglas Leith dio un ejemplo de un usuario que ve una conversación por SMS o busca sus contactos dentro de las aplicaciones.

Las acciones y su tiempo se registrarán y, luego, se enviarán a Google, lo que permitirá “reconstruir una imagen detallada del uso de la aplicación a lo largo del tiempo”. Es probable que Google use estas grabaciones para determinar si una aplicación tiene éxito o no y si los usuarios realmente la usan.

Pero nuevamente, según Leith, los usuarios no pueden optar por no participar en esta recopilación de datos. En su artículo, Leith también afirmó que debido a que los datos enviados están etiquetados con la ID de Android del usuario, que está vinculada a su cuenta de Google porque están conectados a su cuenta en su teléfono, Google probablemente pueda ver la identidad real de los usuarios.

La parte más interesante es que, como informó The Register, Google confirmó que Leith tiene razón en sus afirmaciones y agregó: “Agradecemos las asociaciones y los comentarios de académicos e investigadores, incluidos los del Trinity College. Hemos trabajado de manera constructiva con ese equipo para abordar sus comentarios, y continuará haciéndolo”.

Hay algunas posibilidades por las que Google podría necesitar información personal como el contenido del mensaje y los registros de llamadas telefónicas. Por ejemplo, el hash del mensaje podría recopilarse para ayudar a la empresa a detectar errores de secuenciación de mensajes.

Google podría estar recopilando números de teléfono para mejorar el reconocimiento de mensajes en el sistema de mensajería.

La tecnología utiliza RCS (Rich Communication Services), que es un nuevo protocolo de mensajería utilizado para enviar y recibir mensajes.

El sistema utiliza códigos de contraseña de un solo uso (OTP) para autenticar a los usuarios y, con la ayuda de los números de teléfono, Google mejora el reconocimiento al verificar los números de remitente OTP conocidos, con información de Phone Arena.