Artículos

Fingerprinting: así lograba Uber monitorizar a los usuarios que desinstalaban su aplicación

Travis Kalanick, el CEO de Uber, hace lo necesario para ganar. Eso es lo que afirman en un perfil en The New York Times en el que apuntaban a cómo este directivo había aprovechado una práctica discutible llamada fingerprinting para monitorizar a los usuarios de Uber. No a los que utilizan el servicio, sino a aquellos que borraban la aplicación de sus iPhones.

Seguían recolectando datos sobre esos ex-usuarios, algo prohibido según los términos de uso de la plataforma de Apple. Eso llevó a Tim Cook a reunirse con Kalanick a principios de 2015 para darle un buen tirón de orejas. Apple ha dado una segunda oportunidad a Uber, que tuvo que bajar las orejas —la mano ganadora la tienen los de Cook— no sin explicar que en realidad el fingerprinting es una práctica común en la industria para evitar fraudes y robo de cuentas de usuarios.

Uber, jugando con fuego (y con nuestra privacidad)

Kalanick no se ha expresado públicamente sobre la nueva (enésima) polémica que afecta a su empresa, pero los portavoces de Uber sí explicaban que esta práctica anti-fraude es por ejemplo especialmente útil en China, donde los conductores del servicio registran múltiples cuentas de Uber en iPhones robados para solicitar viajes desde ellos y que sus números suban de forma ficticia para cobrar más.

Kalanick

En el pasado Apple facilitaba esas medidas anti-fraude con el uso de los identificadores únicos de dispositivo (UDID), pero abandonó este tipo de técnica por los problemas para la privacidad que podía suscitar su uso.

Un experto en seguridad analizó una versión de 2014 de la aplicación de Uber para descubrir cómo esta empresa hacía el seguimiento a sus usuarios. La técnica de fingerprinting consistía en el uso de IOKit.framework, un entorno que es parte de iOS y que les permitía monitorizar a los usuarios tras la desinstalación de la aplicación, algo prohibido por Apple.

La trampa de Uber fue más allá: según ese análisis los ingenieros de Uber crearon una muralla virtual que impedía que en la sede de Apple en Cupertino pudieran descubrir el código utilizado en ese proceso. Otras oficinas de Apple sí que detectaron el problema, y eso llevó a esa reunión en la que Cook le dijo a Kalanick “He oído que has estado violando algunas de nuestras reglas“.

Apple amenaza a a Uber con hacerla desaparecer de la App Store

El CEO de Apple amenazó a Kalanick con eliminar Uber de la App Store si la firma no cesaba inmediatamente de realizar estas prácticas, y Kalanick tuvo que dar marcha atrás en este tipo de recolección de datos.

Cook1 Kalanick y Cook en un evento en mayo de 2016. Fuente: Business Insider

Aún así en Uber siguen usando fingerprinting, pero de una forma que se ajusta a las reglas de Apple. Un portavoz de la empresa indicaba que con esta técnica “ni se sigue a los usuarios o su ubicación si han borrado la aplicación“.

Las cosas incluso fueron más allá: en el New York Times también indicaban cómo Uber había comprado los recibos de un conductor de su servicio competidor, Lyft, para analizarlos. En realidad quien le vendió esos datos fue Slice Intelligence, que se encarga de recolectar esos datos para analizar el negocio de Lyft y publicar sus descubrimientos en su blog.

Todo esto se une a las críticas sobre otras decisiones tomadas por los directivos de Uber con respecto a la aplicación móvil. Entre ellas, la que hace que la ubicación de los usuarios de Uber sigan siendo monitorizada incluso cuando no usan la app. Según Uber esa monitorización —que es opt-in, esto es, que el usuario debe habilitar— se produce cinco minutos antes o después de reservar un viaje para dar más seguridad al usuario tanto en la recogida como en la llegada a destino.

La condena del canvas fingerprinting

Las técnicas aprovechadas por Uber no son en absoluto nuevas. Ya en 2014 hablábamos del llamado canvas fingerprinting, un tipo de sistema que hace que las tradicionales cookies se conviertan en un método mucho más primitivo.

Finger

La idea de este tipo de seguimiento que se aplica especialmente a través de los navegadores, como el de las cookies, es el de conocer al usuario y sus hábitos de navegación para poder por ejemplo mostrarle publicidad personalizada.

Bloquear este tipo de identificación es más complicado que desactivar las cookies, desde luego. Podríamos aplicar eso del “dime cómo navegas y te diré quién eres“, porque a través del navegador es posible extraer una asombrosa cantidad de información no solo sobre nuestro PC o portátil, sino también sobre nuestro entorno.

Aquí se toman en cuenta detalles increíbles como las tipografías que utilizamos en el navegador o si tenemos activado o no el anti-aliasing para suavizar esas fuentes para identificarnos. El seguimiento es espectacularmente preciso porque el fingerprinting combina decenas e incluso cientos de parámetros para que al final las coincidencias nos identifiquen solo a nosotros.

Yo Efectivamente, el que suscribe puede ser perfectamente identificado por cómo navega. Maldición.

Puedo usar la misma tipografía que otro usuario, pero si lo hago en combinación con cierto idioma, cierta versión del navegador o ciertos plugins instalados, el sistema de seguimiento sabrá que esa combinación particular me pertenece a mí. Para evitarlo, como explicaban nuestros compañeros de Genbeta, la idea es la de minimizar la información que compartimos con internet sobre nuestro sistema, algo que es tedioso y que como siempre no garantiza del todo el anonimato.

Hace poco apareció de hecho un experimento llamado “Am I Unique?” en el que con tan solo pinchar en “View my browser fingerprint” era posible comprobar todo lo que decimos de nosotros mismos (o de nuestro sistema) al usar nuestro navegador. El resultado de este experimento es inquietante, y demuestra lo efectiva que es esta técnica.

Fuente