Apps que publican por ti en tus redes sociales: tú les has dado permiso (y también para recoger tus datos) y eso tiene riesgos

Hay aplicaciones que nos ofrecen servicios relacionados con nuestras redes sociales que nos pueden resultar atractivos: consultar con qué perfiles interactuamos más en Twitter, conectar nuestros gustos musicales de Spotify con una app que gestione una agenda de conciertos o calcular qué valor tiene una publicación nuestra en Instagram.

A cambio de conectar esa información, estas apps necesitan que les demos acceso a nuestras redes y, en muchas ocasiones, no somos conscientes de los datos que les estamos entregando: hasta pueden hacer publicaciones en nuestras redes y seguir a otros perfiles, sin nuestro conocimiento. Os contamos cómo estos programas externos se hacen con nuestros datos personales y cómo podemos controlar los permisos que les otorgamos.

A un clic, ¿de qué hablamos en este tema? Pincha para ampliar:

¿A qué riesgos nos exponemos al otorgar permisos a una aplicación externa en nuestras redes sociales?

A principios de noviembre de 2023 se hizo viral en redes una de estas apps: Instagram Wrapped. Esta aplicación, lanzada un par de meses antes, prometía hacer un resumen de nuestra actividad en la aplicación de Meta y mostrar con quién interactuamos más o qué perfiles leen nuestras publicaciones, entre otras funciones. Todo ello a través de un formato muy llamativo que buscaba imitar el estilo de los resúmenes anuales de Spotify, el conocido como Spotify Wrapped. Para ello, la aplicación pedía los datos de inicio de sesión de Instagram, como el nombre de usuario y la contraseña.*

Sin embargo, muchos usuarios han denunciado que esta aplicación se trataba de un engaño, ya que mostraba datos que no se ajustaban con la realidad. Otros perfiles aseguraron que su cuenta había sido robada después de utilizar esta aplicación y que habían perdido el acceso a su perfil. Lo que quizá no sabían es que Instagram Wrapped no pertenece a Instagram o Meta, sino que era una aplicación desarrollada por una empresa externa que no tiene ninguna relación con la compañía de Mark Zuckerberg. *

Los creadores de Instagram Wrapped aseguraban que no se hacían con los datos de los usuarios ya que todos estos procesos se realizaban, supuestamente, desde dentro del propio dispositivo. Pero la aplicación no detalla en ningún momento cómo recogía estos datos ni cómo era capaz de ver qué cuentas han visto nuestras publicaciones. Otros expertos han señalado que esta aplicación podría violar la prioridad de los usuarios y hacerse con sus datos personales, como las credenciales de inicio de sesión. Meta solicitó la retirada de esta aplicación al entender que viola sus políticas de privacidad, según recoge NCB, e Instagram Wrapped ya no se encuentra disponible ni en la App Store ni en la Play Store a 16 de noviembre de 2023. Los responsables de la aplicación han puesto su cuenta en privado en Instagram.*

Este caso no es el único. Algunos usuarios en redes sociales han denunciado cómo una aplicación externa a Twitter ha tomado el control de sus publicaciones enviando mensajes que ellos no habían escrito. No es el único caso: otros usuarios también han asegurado que, después de usar algunos de estos servicios, han aparecido varias cuentas desconocidas en su lista de personas seguidas.

Todos estos casos tienen algo en común: autorizaron a una aplicación externa a acceder a su cuenta personal. Algunas de estas apps se promocionan como “juegos” que nos permiten hacer nuestro “árbol familiar” en la plataforma o decirnos el “valor” de nuestro perfil. Servicios por los que nos pide acceso a nuestra cuenta. 

El problema es que, a la hora de pedirnos autorización, estas plataformas no solo van a tener acceso para leer nuestras publicaciones: también estamos permitiendo que accedan a nuestra información personal, nuestras listas de seguidores, e incluso a que publiquen y sigan a otras cuentas en nuestro nombre, sin que lo hagamos nosotros de manera activa.

Una vez que otorgamos estos permisos, estas aplicaciones pueden utilizar nuestros datos personales para otros fines. Miguel López, director general de Barracuda Networks, incide en los riesgos de darle este poder a aplicaciones desconocidas. “Lo que están haciendo es comerciar con tu información personal, construir una base de datos que va a ser traficada en Internet y tú vas a ser la mercancía. Y no sabes quién la va a comprar”, detalla el experto.

Pero los riesgos de compartir nuestra información personal van más allá. “Que te roben tu identidad digital puede generar problemas muy serios. Ya no que te llegue publicidad indeseada, sino que te roben otra información sensible, dinero o te utilicen como intermediario en fraudes”, remarca López.

Susana Regalado, experta en ciberseguridad y maldita que nos ha prestado sus superpoderes, también coincide en que “en la mayoría de los casos existe un abuso de la recopilación de datos”, y que “la divulgación de información y datos de carácter personal puede desembocar en un problema que ni imaginamos”, como es la suplantación de nuestra identidad.

Otros ejemplos: aplicaciones para hacer nuestro “festival de verano ideal” o ganar dinero por hacer encuestas

Hay otro tipo de aplicaciones que nos piden nuestros datos personales para participar en un “juego” o incluso ganar dinero. Es el caso de Instafest, una aplicación externa a Spotify que recopila a nuestros artistas favoritos en forma del cartel de un festival. Imitando el estilo de Spotify Wrapped  (al igual que Instagram Wrapped) esta aplicación también se viralizó en redes sociales.

El problema es que muchos usuarios no eran conscientes de que Instafest no es una aplicación oficial creada por Spotify y no tiene relación con la compañía, pese a que se hace con los datos personales de los usuarios, como explicamos aquí. La Política de Privacidad de esta app asegura que estos datos no se almacenan ni se comparten con terceros, pero según los expertos consultados por Maldita.es este documento no ofrece las garantías suficientes para mantener a salvo nuestra información personal.

Otro caso similar es el de las aplicaciones que supuestamente pagan por hacer encuestas online. Estas apps piden datos considerados de “alta protección” como nuestra orientación sexual, raza, edad o religión. Una información que posteriormente se usa para hacer publicidad personalizada y vender nuestros datos a terceros, lo que las convierte en aplicaciones “inseguras”, según los expertos. Un riesgo que no compensa los escasos beneficios que ofrecen.

¿Es legal pedir estos datos y permisos? ¿Qué normativa tienen que seguir estas aplicaciones?

Esta cesión de datos se produce en el momento en el que aceptamos las condiciones de uso la primera vez que utilizamos la aplicación. En ese texto, la empresa tiene que especificar qué uso se va dar de ellos y quién es el responsable de su tratamiento, según detalla Regalado.

Este formulario de consentimiento tiene que cumplir con la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, que tiene como objetivo adaptar el Reglamento General de Protección de Datos de la Unión Europea en España.

Según el texto, este consentimiento ha de ser libre, específico, informado e inequívoco. Es decir, que el usuario consienta por su propia voluntad la cesión de su información personal para las finalidades que pide la aplicación. El problema está, según la experta, en que mucha gente no lee detenidamente este apartado: “Es legal que nos pidan esos datos porque se cumple con la normativa sobre el consentimiento, la responsabilidad es nuestra por conceder permisos de forma irresponsable”.

Según López, en la mayoría de los casos “simplemente leyendo con cuidado” podemos valorar si los permisos que nos piden son realmente necesarios. “Cuando una aplicación nos pide acceder a nuestros datos normalmente lo hace de forma clara. Lo que sucede es que se aceptan por costumbre, sin pararse a pensar. No hay mucha concienciación sobre la importancia de nuestra vida digital”, concluye.

¿Cómo podemos limitar el uso de los datos que recogen estas aplicaciones? ¿Y si hemos cedido demasiados datos?

A la hora de acceder a estas aplicaciones externas es importante fijarnos en qué permisos se solicitan y qué información van a poder recabar. Para ello podemos fijarnos detalladamente en la solicitud que nos hace la aplicación y desconfiar si nos pide demasiados datos para las funciones que promete.

Si ya hemos cedido nuestros datos, Regalado recuerda que podemos ejercer los derechos de rectificación y oposición que vienen recogidos en la ley, como el derecho al olvido. También podemos revocar los permisos que hemos otorgado a otras aplicaciones externas y negar el acceso a los programas que ya no usemos o que no conozcamos.

Si queremos revocar un permiso o borrar nuestra información y la aplicación no lo permite, podemos reclamar a los responsables del programa o al responsable del tratamiento de datos, y en última instancia a la Agencia Española de Protección de Datos si no obtenemos respuesta, señala la experta.

Para revocar el acceso de aplicaciones externas, cada plataforma cuenta con un apartado desde el que gestionar los permisos de estas apps:

En este artículo ha colaborado con sus superpoderes la maldita Susana Regalado, experta en ciberseguridad.

Susana Regalado forma parte de Superpoderosas, un proyecto de Maldita.es en colaboración con FECYT que busca aumentar la presencia de científicas y expertas en el discurso público a través de la colaboración en la lucha contra la desinformación.

Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.

*Este artículo ha sido actualizado para incluir el caso de Instagram Wrapped y cómo configurar las aplicaciones de terceros en Instagram.

Primera fecha de publicación de este artículo: 19/06/2023