Una investigación de Vice revela que Zoom para iOS envía datos a Facebook
El jueves pasado (26 de marzo), Vice revelaba que Zoom envía datos a Facebook cuando utilizas su aplicación en iOS. En particular, Zoom informa a Facebook de cuándo abres la aplicación, cuándo la cierras, y envía información como el identificador publicitario, tu dirección IP, tu ciudad o el modelo de tu smartphone. Y esto incluso si no tienes cuenta de Facebook. Otro problema señalado por Vice: Zoom no informa al usuario del tracking de Facebook en su política de privacidad. En realidad, Zoom sí menciona el tracking de Facebook en "Collection of your Personal Data", pero solo para indicar que recupera tu información de perfil de Facebook si decides crear tu cuenta Zoom con Facebook:
Facebook profile information (when you use Facebook to log-in to our Products or to create an account for our Products)
En cambio, no hay ninguna mención a un tracking de Facebook cuando no utilizas el inicio de sesión con Facebook para acceder a Zoom.
El timing de la investigación de Vice es excelente: Zoom se beneficia del boom del teletrabajo en pleno periodo de confinamiento por el coronavirus, con una multiplicación por 12 de las descargas y una valoración bursátil que se dispara.
Con curiosidad por comprobar esta fuga de datos por mí mismo, seguí estos pasos en mi iPhone:
- Cierre de las distintas aplicaciones abiertas
- Lanzamiento de Charles Proxy y activación del seguimiento
- Lanzamiento de Zoom
- Exportación de los logs a mi ordenador para analizarlos
Zoom sí utiliza Facebook y efectivamente envía la información señalada por Vice. Cabe señalar que Facebook es el único tercero que recibe información de Zoom. Vice solo señala el problema en iOS, pero como uso Zoom en mi ordenador (como imagino que la mayoría de los usuarios profesionales de Zoom), quise probar el tracking en Mac. Así que seguí el mismo procedimiento que con iOS, usando esta vez la versión Mac de Charles Proxy:
La aplicación Zoom para Mac no envía ninguna información a terceros y, por tanto, nada a Facebook.
La reacción de Zoom al día siguiente del artículo de Vice
Zoom no tardó mucho en disculparse, por voz de su CEO, por este tracking y en eliminar el SDK de Facebook responsable de la fuga de datos. Es interesante conocer las explicaciones de este tracking: la implementación del SDK de Facebook estaba destinada a permitir a los usuarios crear su cuenta Zoom y luego iniciar sesión a través de Facebook.
Esta funcionalidad, aunque invasiva, es apreciada por algunos usuarios porque les permite crear una cuenta más fácilmente. Pero implementada directamente en el código de la aplicación (el "SDK Facebook" para iOS), permite a Facebook recuperar sistemáticamente tus datos:
- Facebook recupera tus datos incluso si decides crear tu cuenta Zoom e iniciar sesión sin Facebook (por ejemplo, con tu email)
- Facebook también recupera tus datos si no tienes cuenta de Facebook (datos asociados a un identificador)
También es interesante que Zoom no haya eliminado la creación de cuentas vía Facebook, sino que la haya trasladado al navegador. Así, el usuario que quiera crear su cuenta Zoom a través de Facebook podrá seguir haciéndolo, pero el tracking de Facebook queda eliminado para los demás usuarios. Eric S. Yuan indica que revisará los procesos de implementación de estas features para no repetir el error.
Preocupado por verificar la eliminación efectiva del tracking de Facebook, actualicé la aplicación en mi iPhone (fíjate en cómo Zoom comunica la actualización: "Improvements to Facebook Login").
Y, en efecto, el tracking de Facebook desapareció:
El poder de las investigaciones sobre el tracking
El tracking está lamentablemente generalizado en las aplicaciones, y Zoom no es lo peor en este caso. En efecto, muchas aplicaciones utilizan los SDK de Google, de Facebook o de otras empresas de marketing de las que nunca has oído hablar, y a menudo para filtrar datos personales mucho más sensibles (como tu nombre, tu dirección de email o tu geolocalización). ¿El origen de este escándalo?
- La permisividad de Apple y Google en sus respectivas App Store, que permite a cualquier desarrollador de aplicaciones usar tantos SDK de empresas terceras y permite a esos SDK terceros acceder a tus datos personales.
- La falta de transparencia y de control: los desarrolladores de aplicaciones rara vez proporcionan la información necesaria y el control sobre la transmisión de tus datos personales a terceros. En este caso, el RGPD debería resolver el problema, pero todavía está lejos de aplicarse.
Aun así, es alentador ver que una simple investigación de Vice permitió resolver el problema de tracking en Zoom.