Las aplicaciones de guardería están diseñadas para facilitar la vida cotidiana en las guarderías. Los padres pueden usarlos, por ejemplo, para acceder a informes sobre el desarrollo de sus hijos y para comunicarse con los maestros. Sin embargo, algunas de estas aplicaciones tienen graves fallas de seguridad. Esta es la conclusión a la que llegaron investigadores de Ruhr-Universität Bochum (RUB), Westfälische Hochschule y el Instituto Max Planck para la Seguridad y la Privacidad en Bochum, en colaboración con un socio de la industria. Analizaron 42 aplicaciones de guarderías de Europa y EE. UU. con respecto a la seguridad y la privacidad. En algunas aplicaciones pudieron acceder a fotos privadas de los niños; varias aplicaciones accedieron a los datos personales de los usuarios sin consentimiento y los compartieron con terceros.

El equipo encabezado por el Dr. Matteo Große-Kampmann, quien obtuvo su Ph.D. en el Instituto Horst Görtz para la Seguridad de TI en RUB, y el Dr. Maximilian Golla del Instituto Max Planck para la Seguridad y la Privacidad presentarán sus hallazgos en julio de 2022 en Sydney en el "22º Simposio de Tecnologías de Mejora de la Privacidad". Antes de eso, los resultados se publicaron en línea.

"De acuerdo con el Reglamento General Europeo de Protección de Datos y la Ley de Protección de la Privacidad Infantil en Línea de EE. UU., los datos de los niños están sujetos a una protección especial", dice Maximilian Golla. "Desafortunadamente, descubrimos que muchas aplicaciones no garantizan esta protección".

Los análisis se llevaron a cabo en cooperación con AWARE7 GmbH. El equipo se puso en contacto con todos los fabricantes de aplicaciones antes de la publicación y les informó de las vulnerabilidades.

Usado por millones

Para el estudio, los investigadores analizaron las aplicaciones de guardería de Android que ubicaron en Google Play Store y que ofrecen al menos las siguientes características:tanto el desarrollo de los niños como cualquier actividad especial se pueden registrar en la aplicación en forma de notas, fotos y vídeos; la aplicación tiene una función de mensajería a través de la cual el personal de la guardería puede comunicarse con los padres; la aplicación apoya la gestión de la guardería en procesos administrativos como la facturación, la creación de horarios y la organización de grupos. Las aplicaciones más utilizadas "Bloomz" y "brightwheel" se han descargado más de un millón de veces desde Google Play Store. En conjunto, todas las aplicaciones alcanzaron alrededor de tres millones de descargas.

En algunos casos, se venden datos personales

De las aplicaciones analizadas, ocho tenían serios problemas de seguridad que, por ejemplo, permitirían a los atacantes ver las fotos privadas de los niños. En 40 aplicaciones, los investigadores encontraron que monitorean a los padres y educadores:recopilan el número de teléfono y la dirección de correo electrónico del usuario, así como información sobre el dispositivo y el uso de la aplicación, como la hora en que se hizo clic en un botón. Los fabricantes comparten y venden esta y otra información a proveedores externos. Un desarrollador de aplicaciones escribe:"... compartir datos con socios con fines comerciales, como la cantidad promedio de cambios de pañales por día...". A menudo, los datos se comparten con Amazon, Facebook, Google o Microsoft para campañas publicitarias dirigidas.

Políticas de privacidad inadecuadas

“También analizamos las políticas de privacidad de los proveedores”, señala Maximilian Golla. "Y surgió una imagen aterradora. Muchas de las políticas ni siquiera mencionaron que procesan datos de niños, y mucho menos que recopilan y venden datos, a pesar de que así lo exigen las leyes europeas y estadounidenses".

Pero eso no significa necesariamente que los proveedores actúen de mala fe. "Más bien, sospechamos que se trata de problemas técnicos y organizativos", dice Matteo Große-Kampmann. Según los investigadores, algunos proveedores actúan de manera negligente porque la política de privacidad vinculada no cumple, en parte porque no contiene información sobre el procesamiento de datos en la aplicación o sobre los servicios ofrecidos y, a menudo, no se ha actualizado durante muchos años.

Los investigadores esperan que sus hallazgos llamen la atención sobre este tema delicado, dado que los datos de los niños están en juego. "No hace falta decir que los administradores de las guarderías, los proveedores de guarderías y los padres no pueden analizar todas las aplicaciones por sí mismos", dice Matteo Große-Kampmann. "Pero al final del día, tienen que asumir la responsabilidad de decidir qué aplicación adoptar".

Directrices y listas de control

Según Maximilian Golla, rechazar en principio las apps de guardería no es una solución viable, sobre todo porque existen proveedores sin problemas de seguridad, que cumplen con la normativa de protección de datos. “Si no hay una aplicación oficial, los padres usan servicios de mensajería como WhatsApp, que es la peor de todas las soluciones en lo que a privacidad se refiere”, señala.

Según los expertos en TI, sería una buena idea que los expertos elaboraran pautas y listas de verificación. Por ejemplo, las agencias gubernamentales podrían hacer recomendaciones y pasarlas a las asociaciones que administran las guarderías.