Google se pronuncia sobre la investigación de escaneo de email hecho por apps de terceros
Google ha respondido a una reciente investigación sobre apps desarrolladas por terceros que escanean las bandejas de entrada para recopilar datos de marketing, diciendo que examina de cerca las aplicaciones y suspende a los desarrolladores que no cumplen con sus estándares de privacidad.
El pronunciamiento viene después de una investigación del Wall Street Journal (WSJ) que encontró que compañías de marketing realizaron escaneos automáticos en bandejas de entrada de correo electrónico y, de vez en cuando, operadores humanos analizaron y leyeron los correos en la bandeja.
La investigación sostuvo que las compañías de marketing Return Path y Edison no informaron adecuadamente a los usuarios que sus correos electrónicos podían ser leídos, en tanto que las empresas sostienen que sus acuerdos de usuario tuvieron divulgación suficiente, informa el WSJ.
Acorde a expertos en borrado seguro de datos, Google permite que apps de terceros, como planificadores de viaje, calendarios y sistemas de gestión de clientes, agreguen funciones extra dentro del correo electrónico. Esas apps podrían tener acceso sin restricciones para ver todos los correos electrónicos del usuario.
Por su parte, Google afirma que las apps de terceros son revisadas para garantizar que sean transparentes con los usuarios sobre el uso de sus datos y asegurar que las aplicaciones no pidan demasiados permisos; “revisamos las aplicaciones que no son de Google para asegurarnos de que sigan cumpliendo nuestras políticas y las suspendemos cuando no lo hacen”, dicen portavoces de la empresa.
Pero la investigación del WSJ sostiene que Google no hace gran cosa para controlar a los desarrolladores externos, que analizan una cantidad asombrosa de correo electrónico mientras que esencialmente se autocontrolan.
Escaneo de email
Especialistas en borrado seguro de datos conocen desde hace tiempo el peligro de agregar apps de terceros con acceso al correo electrónico. Se sabe que hay hackers que crean aplicaciones falsas para obtener acceso al correo electrónico, tergiversando los permisos de la aplicación.
Conceder acceso a los correos sólo toma un clic. El atacante obtiene un token de acceso a la cuenta de la víctima. Ese acceso persiste incluso si una persona cambia su contraseña, afirman expertos en borrado seguro de datos.
Google, Microsoft y otros proveedores de servicios en la nube tienen paneles de seguridad que muestran otras aplicaciones vinculadas a una cuenta. Pero es posible que las personas sólo revisen los paneles pocas veces y descuiden revocar aplicaciones que no son necesarias.
Según reportes del Instituto Internacional de Seguridad Cibernética, antes de que una aplicación que no es de Google pueda acceder a los datos del usuario, se muestra una pantalla de permisos que informa los tipos de datos a los que la aplicación puede acceder y cómo puede usar esos datos.
La notificación de manera clara a los consumidores de estos servicios es una parte central del Reglamento General de Protección de Datos de la Unión Europea. La regulación es la más estricta del mundo, requiere que las compañías revelen datos recopilados a petición, realicen borrado seguro de datos a petición y establezcan políticas de datos consistentes.
Humanos envueltos en el proceso
Return Path, una compañía especializada en ajustar mensajes de marketing basándose en el nivel de correos leídos, escaneaba hasta 100 millones de mensajes al día, de acuerdo a al investigación del WSJ.
Pero también hay humanos leyendo estos correos. El WSJ informó que empleados de Return Path leyeron 8 mil correos electrónicos hace dos años para configurar el software de la compañía. Esto se realizó después de que el software de escaneo de correo electrónico de Return Path marcara los correos electrónicos personales como comerciales.
Otra compañía, Edison Software, que hace una aplicación para Gmail, también revisó manualmente cientos de correos a los que tenía acceso, informa el WSJ, aunque la investigación sostiene que no dispone de información para afirmar que estas empresas hayan cometido los abusos.
Aunque los usuarios deben otorgar acceso a apps de terceros, existe preocupación sobre si los usuarios comprenden por completo el poder que le entregan a los desarrolladores.
La plataforma de Return Path para especialistas en marketing les permite ver si los correos de contenido comercial son leídos o no. Se pueden ver capturas de pantalla de los correos, aunque se eliminan el nombre y las direcciones, según la investigación del WSJ.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad