menu MENÚ
MALDITA TECNOLOGÍA

Cesión de datos a una aplicación no oficial y sus implicaciones: el caso de Instafest

Publicado
Comparte
Etiquetas

Sí, ya ha llegado esa época del año en que las stories de tus amigos en Instagram se han llenado del esperado Wrapped de Spotify, ese ‘regalo’ que la plataforma de reproducción de música vía streaming hace cuando se acerca al final de año, y que consiste en un recopilatorio de los artistas y canciones que más has escuchado durante los últimos 12 meses.

Pero este año, unos días antes de que Spotify lanzara su Wrapped oficial personalizado para cada usuario, en redes sociales se viralizó otra tendencia: Instafest, una forma de conocer tus artistas más escuchados pero en forma de cartel de un festival. Esta opción ha gustado mucho a los melómanos y fans de la música, ya que podían ver su festival “perfecto” hecho realidad como si del Sonorama, Primavera Sound o Coachella se tratase.

Instafest no es una aplicación oficial, sino una 'app' creada a través de la API de Spotify

Pero hay que anotar un par de cosas importantes sobre Instafest. Se trata de una aplicación no oficial que no está creada por Spotify, sino que ha sido diseñada por un estudiante de informática a través de la API de Spotify, y que no tiene que ver con el Wrapped anual de la plataforma (aunque hasta Google lo haya equiparado y el logo de Spotify salga en la página web de la app). Esto lo ha confirmado a Maldita.es el propio diseñador de Instafest, Anshay Saboo: “No es una aplicación oficial de Spotify, sino un sitio web de terceros que utiliza la API para desarrolladores de Spotify para desarrollar y mostrar los gráficos del festival”.

Aquí, como en toda aplicación de terceros, hay alguna otra cosa que tenemos que tener en cuenta: en el caso del Wrapped, Spotify usa los datos que tiene de tu historial musical como usuario de la plataforma. Sin embargo, para que Instafest funcione, tienes que compartir esos datos de tu perfil de Spotify (o de Apple Music o Last.fm, ya que también está la opción para estas plataformas). Al entrar en la web de Instafest, te pide que inicies sesión y, en el siguiente paso, solicita que aceptes el permiso para ver datos de tu cuenta de Spotify (nombre, nombre de usuario, imagen, seguidores y listas públicas) y tu actividad.

El principal riesgo es no saber qué uso se le puede dar a los datos que cedemos (entre ellos, pueden obtener tu correo electrónico)

Vale, y esto, para todas los amantes de la música emocionados con su cartel de festival propio, ¿qué implica? “El riesgo principal que corres es que no sabes el uso que se le va a dar a los datos que van a recopilar. Hay una máxima en Internet que dice que cuando el producto que te ofrecen es gratis, es que el pago eres tú o mejor dicho: tus datos. Por eso en aquellos casos en los que no esté explicitado de forma clara los datos a obtener y el uso posterior de ellos de forma clara, no se debería hacer uso de él”, indica a Maldita.es Alberto Amado, ingeniero informático y maldito que nos ha prestado sus superpoderes. En Maldita.es también te hemos hablado de cómo escuchar álbumes y canciones nuevas antes que nadie tampoco es gratis, porque cedemos datos al reservar esas novedades.

Además, Amado nos explica que le preocupa que con la API de Spotify se pueden obtener muchos más datos, por ejemplo, no solo conocer gustos musicales, también tendencias en podcasts y audiolibros, y aún más: se podría obtener el correo electrónico del propietario de la cuenta de Spotify, y se podría “posteriormente comerciar con ellos y utilizarlos para campañas de spam o phishing”. Este tipo de riesgos no están asociados a la aplicación Instafest particularmente, pero este tipo de recomendaciones se dan porque en ocasiones se explotan aplicaciones de terceros que se conectan a grandes plataformas para colar agujeros de seguridad.

Aunque una Política de Privacidad nos asegure ciertas cosas, puede haber riesgos

En este punto, antes de dar ningún permiso, lo que debemos hacer es leer la Política de Privacidad de la app que vayamos a usar para ver qué se quiere hacer con esos datos. ¿En qué deberíamos fijarnos? “En los datos que se van a obtener y el tratamiento que se le va a dar, y en si se van a compartir los mismos con terceros, aunque deberían solicitar esta autorización expresamente”, recuerda Amado.

En el caso de Instafest, su Política de Privacidad es muy corta. En ella se indica que al utilizar Instafest se acepta el uso del nombre de usuario de la cuenta y la información sobre los artistas que más ha escuchado, y que ninguno de los datos de la cuenta utilizados por Instafest se almacena o recoge ni se comparte con terceros.

Política de Privacidad de Instafest.

Anshay Saboo ha ratificado esto a Maldita.es pero no ha aportado detalles sobre la seguridad y la privacidad de los datos. “Los usuarios tienen que permitir explícitamente que utilicemos sus datos accediendo a su cuenta de música y también pueden cancelar ese permiso en cualquier momento. No almacenamos ni compartimos ningún dato con nadie. Lo que obtenemos de su cuenta es su historial musical y sólo lo mostramos en el cartel del festival. No hay ningún problema de seguridad o violación de datos”, asegura.

Sin embargo, para Alberto Amado “el hecho de que la Política de Privacidad sea tan escasa deja las manos libres para hacer un uso completo de la API y de los potenciales datos a obtener a través de ella”. ¿Sería ilegal que se mintiera en algo que el usuario está aceptando? Lo sería, pero como recuerda Amado es complicado llegar a término en un juicio así si el diseñador de un producto está en Estados Unidos y tú en Europa. Es algo que sucede hasta en los procesos con las grandes tecnológicas.

Ambos muestran tus gustos musicales, pero recuerda que Instafest no es una aplicación oficial que venga directamente de Spotify.

Como decíamos, estas recomendaciones y este resumen de riesgos no es exclusivo de esta aplicación, pero sí sirve como ejemplo para recordar la importancia de informarse sobre qué puede haber por detrás de cualquier aplicación de terceros. En cualquier caso, si usas una app así, es importante que después de utilizarla revoques el permiso que diste para que acceda a tu perfil. Si no, la aplicación seguirá teniendo acceso a tus datos. Esto puede hacerse en Spotify > Perfil > Cuenta > Aplicaciones/Apps, y aquí puedes eliminar los accesos. No está de más hacer eso de vez en cuando con todas nuestras plataformas, ya que a veces damos permiso a servicios que ni recordábamos. Mantenerlo actualizado y limpio ayudará a la seguridad de tus datos.

Para llegar a la administración de las aplicaciones en Spotify, debes ir a Perfil, Cuenta, Apps y aquí podrás quitar acceso a las aplicaciones que ya no necesites.

En este artículo ha colaborado con sus superpoderes el maldito Alberto Amado, ingeniero informático.

Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.

Hazte maldito, Hazte maldita
Te necesitamos para combatir los bulos y la mentira: sólo juntos podemos pararla. En Maldita.es queremos darte herramientas para protegerte contra la desinformación, pero sólo con tu apoyo será posible.

Eres muy importante en esta batalla para que no nos la cuelen. Seguro que tienes conocimientos útiles para nuestra batalla contra los bulos. ¿Tienes conocimientos de idiomas? ¿Lo tuyo es la historia? ¿Sabes mucho sobre leyes? ¡Préstanos tu Superpoder y acabemos juntos con los bulos!

También puedes apoyarnos económicamente. Maldita.es una entidad sin ánimo de lucro y que sea sostenible e independiente, libre de publicidad y con profesionales bien remunerados dedicados a luchar, contigo, contra la desinformación depende de tu ayuda. Cada aportación cuenta, cualquier cantidad es importante.