El viernes 10 de julio, Google anunció que ya no permitiría la publicidad de spyware y tecnología de vigilancia similar, a menudo denominada «stalkerware», en su plataforma.

El cambio es un paso bienvenido por una de las compañías más grandes y poderosas en publicidad en línea, pero una lectura atenta de la política revela una posible laguna que podría permitir que los fabricantes de aplicaciones de tipo stalkerware sigan publicitando sus productos en Google. En pocas palabras, estas compañías podrían eludir las reglas cambiando la cara de lo que están vendiendo, sin cambiar la tecnología central dentro.

Esperamos que esta excepción se aborde pronto.

Durante más de un año, Malwarebytes ha cobrado por adelantado un compromiso renovado para proteger a los usuarios y a los sobrevivientes de abuso doméstico de las amenazas que representa el stalkerware. Estas aplicaciones pueden dar a las personas la oportunidad de entrometerse en mensajes de texto, correos electrónicos y registros de llamadas, buscar a través de la navegación web y el historial de ubicación GPS, y revelar fotos sensibles, videos y actividad en redes sociales, todo sin consentimiento.

En nuestra defensa para proteger a los usuarios de estas amenazas, hemos hablado directamente con los sobrevivientes de abuso doméstico. Hemos brindado capacitaciones en seguridad de dispositivos a organizaciones locales de apoyo al abuso doméstico y centros de justicia familiar. Nos hemos reunido con funcionarios dedicados de aplicación de la ley. Ayudamos a lanzar la Coalición contra Stalkerware como socio fundador . Hemos contribuido a estudios de investigación y hemos aumentado nuestras propias detecciones para nuestras dos categorías internas de aplicaciones que proporcionan capacidades para espiar la actividad del usuario sin consentimiento: aplicaciones de «monitoreo» y aplicaciones de «spyware».

A través de nuestro trabajo continuo, hemos aprendido que una de las formas en que las aplicaciones de tipo stalkerware evitan el escrutinio es a través de campañas de marketing potencialmente engañosas que se califican como herramientas seguras para el monitoreo parental. Es lamentable que estas mismas tácticas puedan resultar efectivas para eludir la nueva política de Google.

El cambio, la excepción y el problema.

Según Google, la política publicitaria actualizada de la compañía «prohibirá la promoción de productos o servicios que se comercialicen o apunten con el propósito expreso de rastrear o monitorear a otra persona o sus actividades sin su autorización». La política actualizada entrará en vigencia el 11 de agosto de 2020.

Al responder una pregunta sobre por qué Google decidió anunciar esta actualización, un portavoz dijo: “Evaluamos y actualizamos constantemente nuestras políticas publicitarias para asegurarnos de proteger a los usuarios. Actualizamos rutinariamente nuestro idioma con ejemplos para ayudar a aclarar lo que consideramos una violación de la política. La tecnología de software espía para la vigilancia de socios siempre estuvo en el alcance de nuestras políticas contra el comportamiento deshonesto «.

La política actualizada se aplica a «el software espía y la tecnología utilizados para la vigilancia de la pareja íntima, incluidos, entre otros, el software espía / malware que puede utilizarse para monitorear mensajes de texto, llamadas telefónicas o historial de navegación; Rastreadores GPS comercializados específicamente para espiar o rastrear a alguien sin su consentimiento «. y «promoción de equipos de vigilancia (cámaras, grabadoras de audio, cámaras de tablero, cámaras de niñera) comercializados con el expreso propósito de espiar».

La lista no exhaustiva captura algunos de los tipos actuales de herramientas invasivas disponibles en la actualidad. Pero más abajo en su actualización de políticas, Google explicó que hay excepciones a la nueva regla. La política no se aplicará a los «servicios de investigación privados» o «productos o servicios diseñados para que los padres rastreen o controlen a sus hijos menores de edad».

El problema, como informamos hace casi un año en Malwarebytes Labs , es que la línea entre las aplicaciones de tipo stalkerware y las aplicaciones de monitoreo parental puede ser borrosa.

Como escribimos antes:

«Emory Roane, asesor político de Privacy Rights Clearinghouse, dijo que, no solo las capacidades técnicas de las aplicaciones stalkerware y las aplicaciones de monitoreo parental son muy similares, sino que las capacidades en sí mismas se pueden encontrar dentro del tipo de herramientas de piratería utilizadas por los estados nacionales.

‘Si nos fijamos en las capacidades: ¿qué resultados se pueden obtener de los dispositivos implantados con stalkerware versus dispositivos pirateados por los estados nacionales? Es lo mismo ‘, dijo Roane. ‘Encender y apagar el dispositivo de forma remota, registradores de teclas, seguimiento a través de GPS, todo esto’ «.

Lo que es más, a veces, las aplicaciones que anteriormente se comercializaban como herramientas para espiar potencialmente a parejas y cónyuges románticos, pueden cambiar rápidamente y enmascararse como aplicaciones de monitoreo parental.

Erica Olsen, directora del proyecto Safety Net para la Red Nacional para Terminar con la Violencia Doméstica, dijo que ella personalmente vio estas tácticas de «cambio de marca» cuando el entonces senador Al Franken introdujo una legislación para prohibir el uso de aplicaciones que podrían revelar la ubicación GPS de una persona sin su conocimiento o consentimiento

«Después de las audiencias legislativas públicas que Al Franken realizó sobre aplicaciones basadas en la ubicación y productos de acecho, una tonelada de ellas cambió su comercialización casi de la noche a la mañana», dijo Olsen, quien también compartió que la política actualizada de Google es un movimiento en la dirección correcta. “Mostramos imágenes grandes y ampliadas de su marketing problemático y lo eliminaron. Pero no cambiaron la funcionalidad básica de las aplicaciones que les permitieron ser utilizadas para estos comportamientos. Eso dijo mucho.

El año pasado, Twitter permitió tweets patrocinados que anunciaban una aplicación que puede rastrear registros de llamadas, mensajes de texto, ubicación de GPS, historial de navegación web y actividad de redes sociales, y revelar fotos y videos sensibles. El anuncio retrataba a un hombre acostado en la cama, revisando su teléfono. Escrito en el anuncio estaban las palabras: «¿Qué se está escondiendo de ti?»

Twitter retiró el anuncio después de que los usuarios se indignaron. Según VICE, Twitter explicó su eliminación diciendo: «La aplicación viola nuestra  Política de descarga de software y malware y  ya no se le permitirá anunciar en la plataforma».

Este fue un movimiento rápido de Twitter, pero hoy, esa misma aplicación se comercializa en su propio sitio web como una herramienta para el monitoreo parental.

El viernes, el escritor de seguridad informática Graham Cluley planteó los mismos problemas que estamos planteando aquí: que algunas aplicaciones de tipo stalkerware aún pueden anunciarse en Google, simplemente cambiando su estrategia publicitaria.

«Lamentablemente, dudo que la prohibición de anuncios de Google impida que las aplicaciones de stalkerware se promocionen a sí mismas», escribió Cluley , «es solo que tal vez ya no puedan ser tan explícitos en sus anuncios en línea sobre cómo es más probable que se usen».

Próximos pasos contra el stalkerware

Como socio fundador de la Coalición contra Stalkerware, Malwarebytes entiende que las amenazas de stalkerware son multifacéticas, y responder a estas amenazas requiere un apoyo interdisciplinario. Eso incluye el compromiso de las plataformas de anunciantes en línea de eliminar espacios para empresas que anuncian deliberadamente el potencial de la privacidad como una característica del producto.

A pesar de la exclusión de la política publicitaria actualizada de Google, la intención general de la compañía aquí es buena.

Nuestro compromiso de proteger a los usuarios de estas amenazas de las aplicaciones de tipo stalkerware continúa. Damos la bienvenida a otros a unirse.