El año pasado, varios padres de la EFF inscribieron a sus hijos en una guardería y enseguida les dijeron que se descargaran una aplicación para gestionar el cuidado de sus hijos. Estas aplicaciones suelen incluir notificaciones de comidas, cambios de pañal, fotos, actividades y quién ha recogido o dejado al niño, funciones potencialmente útiles para superar la ansiedad por separación de los niños recién matriculados y sus ansiosos padres. Pero al trabajar en una organización orientada a la privacidad, como es nuestro caso, nos preocupaba la seguridad de estos datos.
Normalmente, nuestro trabajo sobre la privacidad de los estudiantes se centra en los más jóvenes de primaria o secundaria. Pero la EFF va donde están los riesgos de seguridad, así que decidimos profundizar en estas preocupaciones.
En primer lugar, nuestros tecnólogos investigaron las aplicaciones para identificar fallos de privacidad y seguridad. A continuación, nuestros expertos jurídicos identificaron lagunas en la ley y destacaron la necesidad de una acción reguladora en una carta dirigida a la Comisión Federal de Comercio ("FTC"). Y por último, nuestro equipo de defensa reiteró nuestras preocupaciones en una serie de comentarios enviados a la FTC, en respuesta a su solicitud de aportaciones públicas sobre vigilancia comercial.
La investigación
Los tecnólogos de la EFF, dirigidos por Alexis Hancock, Director de Ingeniería, investigaron varias aplicaciones populares de guardería y descubrieron rápidamente peligrosos fallos de seguridad en el funcionamiento de estas aplicaciones.
La seguridad era deficiente: el acceso público a las fotos de los niños, las políticas de contraseñas débiles y el cifrado inadecuado o incluso inexistente eran prácticas habituales.
También descubrimos que no éramos los únicos preocupados. De las 42 aplicaciones para guarderías que los expertos en privacidad han investigado 13 empresas no especificaban los datos que recopilaban en sus políticas de privacidad. En las políticas de las que sí describen los procesos de recogida de datos, la mayoría admitió compartir información sensible (como el número medio de cambios de pañal al día) con terceros. Sólo 10 de las 42 aplicaciones declaraban en sus políticas de privacidad que no compartían datos con terceros, pero siete de esas 10 lo hacían de todos modos.
Alertamos a los creadores de estas aplicaciones de los fallos. Pero, por desgracia, apenas se hicieron cambios para solucionar estos problemas y, en muchos casos, no hubo respuesta alguna.
Carta a la FTC
Ante la falta de respuesta de los propios desarrolladores de aplicaciones, decidimos alertar a la FTC pidiéndole que investigue el asunto y aborde la negligencia rampante.
La carta describe nuestros preocupantes hallazgos en relación con la sensibilidad de los datos recogidos por estas aplicaciones y la falta de suficientes protecciones de la privacidad y la seguridad.
También señala que las leyes actuales no abordan el problema. La Ley de Protección de la Privacidad Infantil en Internet sólo se aplica a los operadores de servicios en línea "dirigidos" a menores de 13 años; las aplicaciones de educación infantil y guarderías, sin embargo, son utilizadas exclusivamente por adultos. La Ley de Privacidad y Derechos Educativos de la Familia también se queda corta: prohíbe a las escuelas revelar los "expedientes educativos" de los alumnos a determinados terceros sin el consentimiento de los padres, pero no suele regular las acciones de terceros que puedan recibir esos datos, como las aplicaciones de guarderías.
"Dado que los padres no tienen las herramientas o la información adecuada para evaluar actualmente la privacidad y seguridad de los datos de sus hijos en las apps de guarderías y educación infantil, la Comisión Federal de Comercio debería revisar las actuales lagunas en la ley y evaluar posibles vías para reforzar la protección de los datos de los niños pequeños, o investigar otros medios para mejorar la protección de los datos de los niños en este contexto", concluye la carta.
Comentarios de la FTC
La carta fue posteriormente incluida como parte de un periodo abierto de comentarios en el que la FTC solicitaba al público información sobre la vigilancia de la industria, la primera etapa del largo proceso de su normativa federal para regular la vigilancia comercial y las prácticas laxas de seguridad de los datos.
Nuestros comentarios explican que no hay salvaguardias suficientes para proteger los datos recogidos por las aplicaciones de guardería contra robos o usos indebidos. Es probable que solo sea cuestión de tiempo que estas empresas filtren datos o sean objeto de una filtración, y un solo ataque a los servidores de las aplicaciones podría afectar a cientos de guarderías y centros de preescolar.
Los comentarios también señalan que los problemas de estas aplicaciones -defectos de la política de privacidad y prácticas de seguridad mediocres- entran de lleno en la cláusula de "actos o prácticas desleales o engañosos" incorporada a la Ley de la FTC. Es engañoso hacer creer a padres y guarderías que estas aplicaciones recogen y comparten menos información de la que recogen. Y es una práctica desleal exponer a los niños pequeños al riesgo de que sus datos se utilicen indebidamente o sean violados.
Seguiremos investigando este ecosistema el año que viene, y haciendo un seguimiento de posibles normativas para proteger estos datos sensibles. Las aplicaciones de guardería recopilan cantidades ingentes de información detallada sobre niños pequeños y bebés, y si estos datos se vulneraran o se facilitaran a terceros, formarían un perfil muy preciso del desarrollo de un niño. No importa la edad: los datos privados deben estar seguros, y ahora mismo estas aplicaciones no lo están.
Este artículo forma parte de nuestra serie Year in Review. Lea otros artículos sobre la lucha por digitales los derechos en 2022.