El senador estadounidense Ron Wyden (D-OR) ha advertido en una carta al Departamento de Justicia que gobiernos no identificados están espiando a los usuarios de teléfonos de Apple y Google a través de sus notificaciones push. La carta dice que su oficina recibió una pista el año pasado de que agencias gubernamentales en países extranjeros estaban «exigiendo» registros de notificaciones push de las gigantes tecnológicas.
Las notificaciones push son los mensajes emergentes que aparecen en la pantalla de bloqueo y la pantalla de inicio para alertarte sobre nuevos mensajes, actualizaciones, noticias de última hora y otras actualizaciones de aplicaciones. Dado que estas notificaciones push pasan por los servidores de Apple y Google, las gigantes tecnológicas están «en una posición única para facilitar la vigilancia gubernamental sobre cómo los usuarios están utilizando aplicaciones específicas», explica Wyden, quien se sienta en el Comité de Inteligencia del Senado, en la carta que fue compartida con TechCrunch.
Wyden señala que Apple y Google pueden ser «obligados secretamente por los gobiernos a entregar esta información».
«Apple y Google deberían tener permitido ser transparentes sobre las demandas legales que reciben, especialmente de gobiernos extranjeros, tal como las compañías regularmente notifican a los usuarios sobre otros tipos de demandas gubernamentales de datos», escribió Wyden en la carta.
«Estas compañías deberían tener permitido revelar en general si se les ha obligado a facilitar esta práctica de vigilancia, publicar estadísticas agregadas sobre la cantidad de demandas que reciben y, a menos que una corte temporalmente los haya callado, notificar a clientes específicos sobre las demandas de sus datos.»
Wyden llamó al Departamento de Justicia a revocar o modificar «cualquier política que dificulte esta transparencia».
La carta fue reportada por primera vez por Reuters.
Los datos de estas notificaciones push brindan a Apple y Google información sobre qué aplicación recibió una notificación y cuándo, además de detalles sobre el teléfono y la cuenta de Apple o Google asociada con la notificación. La carta explica que en ciertas instancias, las compañías también pueden recibir contenido cifrado, que podría incluir el texto real que se muestra en la notificación.
La carta de Wyden no especifica qué gobiernos extranjeros han solicitado a Apple y Google información de notificaciones push.
Reuters informa, citando una fuente, que agencias gubernamentales extranjeras y estadounidenses han solicitado tanto a Apple como a Google metadatos de notificaciones push, incluida información que vincula a usuarios de aplicaciones seudónimas a cuentas específicas de Apple o Google.
En un correo electrónico a TechCrunch, el portavoz de Apple, Shane Bauer, dijo que el gobierno federal impidió a la gigante tecnológica compartir cualquier información sobre el asunto.
«Apple se compromete a la transparencia y desde hace mucho tiempo ha sido partidaria de los esfuerzos para garantizar que los proveedores puedan divulgar la mayor cantidad de información posible a sus usuarios», dijo el portavoz de Apple. «En este caso, el gobierno federal nos prohibió compartir cualquier información y ahora que este método se ha vuelto público, estamos actualizando nuestro informe de transparencia para detallar este tipo de solicitudes».
Apple dijo que la gigante tecnológica comenzará a desglosar las solicitudes de tokens de notificación push que ha recibido en su próximo informe de transparencia.
El portavoz de Google, Matt Bryant, dijo a TechCrunch que la empresa comparte el «compromiso de Wyden de mantener informados a los usuarios sobre estas solicitudes».
«Fuimos la primera gran compañía en publicar un informe de transparencia público compartiendo el número y tipos de solicitudes de datos de usuarios que recibimos del gobierno, incluidas las solicitudes a las que se refiere el senador Wyden», dice el comunicado.
Una orden de registro presentada en California sobre un caso de robo criminal detalla cómo las demandas de notificaciones push pueden utilizarse para obtener información sobre una persona. La orden de registro, vista por TechCrunch, incluye una sección donde un agente especial del FBI escribe que cuando un usuario instala y descarga una aplicación, la aplicación dirige su teléfono para obtener un token de envío, que es un identificador único que permite a Google localizar en qué dispositivo está instalada la aplicación.
«Después de que el servicio de notificación push correspondiente (por ejemplo, Notificaciones Push de Apple o Mensajes de Google Cloud) envía un Token de Envío al dispositivo, el Token se envía a la aplicación, que a su vez envía el Token de Envío al servidor/proveedor de la aplicación», dice el registro. Luego, cada vez que una empresa envía notificaciones push al dispositivo de una persona, también envía Tokens de Envío.
El registro continúa señalando que los servidores de Google contienen «información útil que puede ayudar a identificar los dispositivos específicos utilizados por un determinado suscriptor para acceder a la cuenta de Google del suscriptor a través de la aplicación móvil».
