Apple promete que iPhone es el ecosistema más seguro para tus datos, pero acaban de revelar cómo 'canta' cada vez que recibe una notificación

Desde hace años, Apple defiende en sus campañas publicitarias que, frente a otras alternativas, su ecosistema de dispositivos es el más seguro para la privacidad de sus usuarios. De hecho, en 2021 lanzó una función en el sistema operativo de sus iPhone que habilitaba la opción de impedir que apps de terceros creasen perfiles publicitarios en torno al uso de los propios dispositivos.

Aquella nueva función supuso todo un órdago para compañías como Meta, antes Facebook, que basan su modelo de negocio en la extracción de datos para utilizarlos con fines publicitarios.

Sin embargo, un estudio realizado por los desarrolladores y expertos en seguridad de iOS que están detrás de Mysk, una compañía germanocanadiense, han revelado que muchas aplicaciones pueden extraer mucha información de los usuarios de los dispositivos de Apple a través de un método muy sucinto: las notificaciones que te llegan a tu terminal.

Ha sido Gizmodo uno de los primeros medios en recoger la noticia. Aplicaciones como Facebook, LinkedIn, TikTok o X —antes conocida como Twitter— estarían sorteando los mecanismos de iOS que les impiden generar perfiles publicitarios sobre los usos y costumbres de los usuarios de iPhone gracias a las notificaciones que envían a los teléfonos.

Normalmente, al instalar una aplicación en un dispositivo móvil, es necesario darle a la app en cuestión los permisos necesarios para que el programa pueda enviar notificaciones sobre el sistema operativo. Una nueva solicitud de amistad, una nueva respuesta a una publicación, una nueva oferta de trabajo. Las notificaciones se prodigan cada vez más en los dispositivos.

Para que esas notificaciones funcionen, las aplicaciones, claro, necesitan tener información del dispositivo al que las están remitiendo. También necesitan recoger ciertas métricas. Como por ejemplo, si el usuario ha accedido o no a la aplicación tras recibir la notificación, o simplemente la ha cerrado, deslizado o ignorado para no verla más.

Ahí está el quid de la cuestión. Aunque grandes plataformas como Facebook, TikTok, Instagram o X no son necesariamente actores maliciosos —ciberdelincuentes, por ejemplo—, es cierto que la información que recaban por esta vía estaría lesionando los principios de Apple que siempre garantizan que el ecosistema de iPhone es el más seguro para tus datos.

Apple es líder en móviles por primera vez desde 2010: por qué se pone en cabeza pero esto no es (tan) malo para su rival Samsung

Los autores de la investigación, Tommy Mysk y Talal Haj Bakry, han reconocido a Gizmodo que les ha sorprendido el hallazgo. "Nos sorprendió descubrir que esta práctica está tan extendida". "¿Quién podría imaginarse que una acción tan inocua como ignorar una notificación enviaría tantísima información sensible y única de un dispositivo a servidores remotos?".

Ese es el tema. Aparentemente, y según los hallazgos de estos dos ingenieros, cuando un usuario interactúa con una notificación en su dispositivo iPhone, los servidores de la app en cuestión no solo reciben el resultado de su acción —lo que puede ser razonable— sino que también reciben detalles sobre el dispositivo que ha interactuado con la misma.

Entre la información que se envía, por ejemplo, están direcciones IP, el tiempo en milisegundos desde la última vez que se reinició el terminal, la cantidad de memoria libre en el móvil, etc. Combinar tanta información sobre un solo dispositivo permitiría trazar un perfil e incluso abriría la puerta a identificar a un solo usuario.

Ni Apple, ni TikTok ni X han atendido a Gizmodo, que se ha interesado por conocer su postura ante estas revelaciones. Sí han contestado Meta o LinkedIn, que han negado tajantemente que la extracción de esos datos les lleve a utilizarlos con fines publicitarios o de rastreo de individuos.

"No estamos usando las notificaciones como una forma de recopilar datos de nuestros usuarios para fines publicitarios o analíticos", ha enfatizado un portavoz de LinkedIn citado en Gizmodo. "Los datos solo se extraen para confirmar que la notificación se ha enviado correctamente". Además, incide en que esos datos jamás se comparten con terceros.

Emil Vázquez, portavoz de Meta, ha dado una respuesta similar. Ha criticado los hallazgos de la investigación de Mysk, tildándolos de "inciertos". "La gente inicia sesión en nuestra app desde sus dispositivos y le dan permiso para que emita notificaciones". "Usamos de vez en cuando la información, incluso cuando la app está apagada, para mejorar las notificaciones".

Es cierto que la información que se extrae con este método no es tan sensible como podría ser la remisión de datos relacionados con la geolocalización del dispositivo. Con todo, los hallazgos de Mysk dejarían clara una cosa: tu privacidad no está solo en tus manos ni en manos del fabricante de tu terminal. Siempre hay una vía para que alguien sepa de ti cosas que ni te imaginas.