Estos días no se habla de otra cosa, si todo apuntaba este verano a que el móvil marca tendencia en privacidad, el escándalo de Carrier IQ no hará sino acrecentar esta tendencia.

Carrier IQ es una empresa cuyo software registra una cantidad enorme de información acerca de lo que haces con tu móvil. Este software está instalado en millones de dispositivos (por el momento, en Estados Unidos; según su página, más de 140 millones de dispositivos), a pesar de lo cual era una gran desconocida hasta que hace unos días unos hackers apasionados de la seguridad descubrieron cómo funciona el software de Carrier IQ; algo que después grabaron en este vídeo que recoge Wired. Este software está disponible (y es instalado por los operadores sin avisarte expresamente) en la gran mayoría de plataformas móviles, incluyendo BlackBerry, iOS y Android.

Lo más llamativo: el software está instalado para ser en gran parte invisible (inicialmente se lo catalogó de rootkit, registra la ubicación del dispositivo aunque hayas desactivado los servicios de localización y guarda un registro de todas las teclas que pulsas y URL que visitas, incluyendo las URL protegidas con SSL, porque se trata de un keylogger.

Ahora lo importante, ¿quién es el responsable? Al principio, y dado que el software se descubre en un teléfono Android, se culpó a Google. Pero todo parece indicar que los dispositivos apadrinados por Google (la serie Nexus, por ejemplo) no tienen el software instalado. Así, todo apunta a que los responsables son los operadores de red.

He sido muy crítico con el compromiso de Android con el software libre, está en la frontera con lo privativo y el sistema de licencias elegido favorece enormemente al intermediario. Podemos argumentar que este sistema favorece el desarrollo y la adopción del software, pero no podemos negar que el mismo sistema entrega todo el poder al operador y que al usuario final el software le llega compilado y cerrado, y frecuentemente plagado de basura, como ésta de Carrier IQ, cuya existencia desconoces.

Mi opinión: si hubiera una alternativa GPL, sería más difícil establecer ese tipo de pinza sobre los usuarios.

Intentando responder finalmente a la pregunta que lancé a medio post: ¿quién es el responsable? Evidentemente, el primer responsable es Carrier IQ y el segundo parecen ser los operadores. ¿Está Google libre de pecado? Google puede diseñar su sistema para impedir este tipo de cosas y, sobre todo, puede licenciar su sistema para hacer más fácil el librarse de este tipo de herramientas.

¿Qué pueden decir al respecto BlackBerry o Apple, que también incluye este software en su iOS? Google aún puede defenderse (los hechos parecen darle la razón, por una vez) diciendo que no controlan lo que los fabricantes y los operadors hacen con Android, una excusa floja. Pero Apple entrega el teléfono bien cerrado, con un control extremo sobre todo lo que se incluye, y defenderlos hablando de opt-out es otra excusa bastante floja.

No es la primera vez, por cierto, que se descubren cosas parecidas en los móviles: ¿cuántas aplicaciones recogen información personal y/o realizan seguimiento de nuestra actividad sin que nos enteremos para enviarla a servidores remotos? Hace falta reinventarlo todo, necesitamos un sistema libre de verdad.

El otro día comentábamos brevemente sobre la intención de Arabia Saudí y los Emiratos Árabes Unidos de prohibir el uso de Blackberry en sus territorios a menos que RIM permita acceso al contenido de las comunicaciones.

Parece, sin embargo, que existe una negociación de fondo entre RIM y los Emiratos, que desean que la compañía instale sus servidores en el país, donde --de camino-- estarían sometidos a su jurisdicción.

La hipótesis por la instalación de los servidores tiene sentido si consideramos que el cifrado de la comunicación entre Blackberry y servidor no es diferente al que existe entre cualquier máquina y una web que utilice SSL.

De esta forma, ¿cómo hay que entender la extensión de esta manía prohibitoria a otros países del áfrica francófona como Argelia? Resulta complicado justificar que uno tiene intención de atraer capital inversor cuando pone los empeños no en crear un marco que posibilite el éxito sino en demandar a las compañías servicios diseñados para espiar a las personas.

*** Actualización 2010-08-11: Se suspende la prohibición contra Blackberry. RIM ha aceptado que una empresa local gestione la información de sus clientes en servidores alojados bajo el control del Estado Saudí.

Si todo lo que hay que exigirle a un gobierno es la creación de un entorno favorable, abierto y estable para los negocios, ¿cómo se toma uno la prohibición de las Blackberry en Arabia Saudí y los Emiratos tan sólo porque no es posible al Estado espiar las comunicaciones --navegación, llamadas, mensajes-- que tienen lugar desde esos dispositivos? ¿Se venden como centro de negocios globales y hacen cosas como ésta? Desde luego, el que se obceque en mirar a oriente para los negocios ya sabe lo que hay (gente espiando). Porque he aquí una oferta que RIM, de capa caída, no podrá rechazar: o me lo dejas leer o te lo prohíbo. No easy action.