El año pasado, varios padres de la EFF inscribieron a sus hijos en una guardería y enseguida les dijeron que se descargaran una aplicación para gestionar el cuidado de sus hijos. Estas aplicaciones suelen incluir notificaciones de comidas, cambios de pañal, fotos, actividades y quién ha recogido o dejado al niño, funciones potencialmente útiles para superar la ansiedad por separación de los niños recién matriculados y sus ansiosos padres. Pero al trabajar en una organización orientada a la privacidad, como es nuestro caso, nos preocupaba la seguridad de estos datos.

Normalmente, nuestro trabajo sobre la privacidad de los estudiantes se centra en los más jóvenes de primaria o secundaria. Pero la EFF va donde están los riesgos de seguridad, así que decidimos profundizar en estas preocupaciones.

 

En primer lugar, nuestros tecnólogos investigaron las aplicaciones para identificar fallos de privacidad y seguridad. A continuación, nuestros expertos jurídicos identificaron lagunas en la ley y destacaron la necesidad de una acción reguladora en una carta dirigida a la Comisión Federal de Comercio ("FTC"). Y por último, nuestro equipo de defensa reiteró nuestras preocupaciones en una serie de comentarios enviados a la FTC, en respuesta a su solicitud de aportaciones públicas sobre vigilancia comercial.

La investigación 

Los tecnólogos de la EFF, dirigidos por Alexis Hancock, Director de Ingeniería, investigaron varias aplicaciones populares de guardería y descubrieron rápidamente peligrosos fallos de seguridad en el funcionamiento de estas aplicaciones.

La seguridad era deficiente: el acceso público a las fotos de los niños, las políticas de contraseñas débiles y el cifrado inadecuado o incluso inexistente eran prácticas habituales.

También descubrimos que no éramos los únicos preocupados. De las 42 aplicaciones para guarderías que los expertos en privacidad han investigado 13 empresas no especificaban los datos que recopilaban en sus políticas de privacidad. En las políticas de las que sí describen los procesos de recogida de datos, la mayoría admitió compartir información sensible (como el número medio de cambios de pañal al día) con terceros. Sólo 10 de las 42 aplicaciones declaraban en sus políticas de privacidad que no compartían datos con terceros, pero siete de esas 10 lo hacían de todos modos.

Alertamos a los creadores de estas aplicaciones de los fallos. Pero, por desgracia, apenas se hicieron cambios para solucionar estos problemas y, en muchos casos, no hubo respuesta alguna.

Carta a la FTC

Ante la falta de respuesta de los propios desarrolladores de aplicaciones, decidimos alertar a la FTC pidiéndole que investigue el asunto y aborde la negligencia rampante.

La carta describe nuestros preocupantes hallazgos en relación con la sensibilidad de los datos recogidos por estas aplicaciones y la falta de suficientes protecciones de la privacidad y la seguridad.

También señala que las leyes actuales no abordan el problema. La Ley de Protección de la Privacidad Infantil en Internet sólo se aplica a los operadores de servicios en línea "dirigidos" a menores de 13 años; las aplicaciones de educación infantil y guarderías, sin embargo, son utilizadas exclusivamente por adultos. La Ley de Privacidad y Derechos Educativos de la Familia también se queda corta: prohíbe a las escuelas revelar los "expedientes educativos" de los alumnos a determinados terceros sin el consentimiento de los padres, pero no suele regular las acciones de terceros que puedan recibir esos datos, como las aplicaciones de guarderías.

"Dado que los padres no tienen las herramientas o la información adecuada para evaluar actualmente la privacidad y seguridad de los datos de sus hijos en las apps de guarderías y educación infantil, la Comisión Federal de Comercio debería revisar las actuales lagunas en la ley y evaluar posibles vías para reforzar la protección de los datos de los niños pequeños, o investigar otros medios para mejorar la protección de los datos de los niños en este contexto", concluye la carta.

Comentarios de la FTC

La carta fue posteriormente incluida como parte de un periodo abierto de comentarios en el que la FTC solicitaba al público información sobre la vigilancia de la industria, la primera etapa del largo proceso de su normativa federal para regular la vigilancia comercial y las prácticas laxas de seguridad de los datos.

Nuestros comentarios explican que no hay salvaguardias suficientes para proteger los datos recogidos por las aplicaciones de guardería contra robos o usos indebidos. Es probable que solo sea cuestión de tiempo que estas empresas filtren datos o sean objeto de una filtración, y un solo ataque a los servidores de las aplicaciones podría afectar a cientos de guarderías y centros de preescolar.

Los comentarios también señalan que los problemas de estas aplicaciones -defectos de la política de privacidad y prácticas de seguridad mediocres- entran de lleno en la cláusula de "actos o prácticas desleales o engañosos" incorporada a la Ley de la FTC. Es engañoso hacer creer a padres y guarderías que estas aplicaciones recogen y comparten menos información de la que recogen. Y es una práctica desleal exponer a los niños pequeños al riesgo de que sus datos se utilicen indebidamente o sean violados.

Seguiremos investigando este ecosistema el año que viene, y haciendo un seguimiento de posibles normativas para proteger estos datos sensibles. Las aplicaciones de guardería recopilan cantidades ingentes de información detallada sobre niños pequeños y bebés, y si estos datos se vulneraran o se facilitaran a terceros, formarían un perfil muy preciso del desarrollo de un niño. No importa la edad: los datos privados deben estar seguros, y ahora mismo estas aplicaciones no lo están.

Este artículo forma parte de nuestra serie Year in Review. Lea  otros  artículos  sobre  la  lucha  por digitales los derechos en 2022.

Related Issues

Student Privacy

Related Updates

young EFF'ers show phones with security icons
Deeplinks Blog by Jason Kelley | March 15, 2024

Des milliers de jeunes nous ont expliqué pourquoi la loi sur la sécurité des enfants en ligne (KOSA) sera préjudiciable aux mineurs

Avec l'adoption du KOSA, les informations auxquelles je pourrai accéder en tant que mineur seront limitées et censurées, sous prétexte de « me protéger », ce qui relève de la responsabilité de mes parents, PAS du gouvernement. J'ai tellement appris sur le monde et sur moi-même grâce aux médias sociaux,...

Deeplinks Blog by Aaron Mackey, Jason Kelley | March 15, 2024

تحليل عميق للمشاكل الدستورية لقانون سلامة الأطفال على الإنترنت KOSA

لماذا لا تعتقد مؤسسة الجبهة الإلكترونية أن التغييرات الأخيرة تعمل على تحسين الرقابة التي يفرضها KOSA؟لم تغير النسخة الأخيرة من قانون سلامة الأطفال على الإنترنت (KOSA) وجهة نظرنا النقدية تجاه التشريع. وقد أدت هذه التغييرات إلى قيام بعض المنظمات بإسقاط معارضتها لمشروع القانون، لكننا ما زلنا نعتقد أنه مشروع...

2023 Year in Review (text animated to change colors)
Deeplinks Blog by Karen Gullo | December 28, 2023

Protecting Students from Faulty Software and Legislation: 2023 Year in Review

Lawmakers, schools districts, educational technology companies and others keep rolling out legislation and software that threatens students’ privacy, free speech, and access to social media, in the name of “protecting” children. At EFF, we fought back against this overreach and demand accountability and transparency.Bad bills and invasive monitoring systems, though...

A wide image with an angry robot on one side. On the other side are the words, Red Flag Machine
Deeplinks Blog by Jason Kelley | October 30, 2023

Cómo GoGuardian invade la privacidad de los estudiantes

GoGuardian es una herramienta de supervisión de estudiantes que vigila a más de veintisiete millones de estudiantes en diez mil escuelas. Pero los alumnos no saben con exactitud lo que hace ni lo bien que funciona. Para obtener más información sobre su funcionalidad, precisión e impacto en los alumnos, presentamos...