19 de julio de 2019
19.07.2019

FaceApp, apariencia legal pero sin control

Posibilita la suplantación de identidad y los expertos la consideran peligrosa porque escapa a los estrictos controles de protección de datos

18.07.2019 | 23:25
Wismichu, Risto Mejide y Ana Fernández tras pasar por la aplicación FaceApp.

La popular FaceApp, una aplicación que permite al usuario, entre otras muchas cosas, simular cómo va a envejecer, es especialmente peligrosa porque se presenta con una apariencia de legalidad y porque escapa a los estrictos controles de protección de datos que impone la UE y la legislación española.

La aplicación, desarrollada por un programador ruso, incluye unos términos de uso «completamente abusivos» que conducen al usuario a la más absoluta desprotección, ya que no puede ni pedir el acceso a los datos que ya tiene la compañía ni solicitar que los cancelen, según han subrayado expertos en ciberseguridad.

El usuario queda así indefenso ante derechos cada vez más extendidos en los países más desarrollados, como el derecho al olvido, el derecho a la intimidad y la seguridad de que los datos personales no se van a ceder a terceros.

FaceApp suma ya más de cien millones de descargas en el mundo, y entre quienes ya se la han bajado figuran numerosos famosos, que han jugado a simular cómo sería su aspecto dentro de unos años y que han compartido esas imágenes en sus redes sociales. También ofrece simulaciones para que el usuario compruebe cómo le sienta un cambio en el color de pelo, un bigote, un tatuaje, o hasta un cambio de género.

La aplicación ha despertado suspicacias particularmente en Estados Unidos, donde los demócratas han pedido al FBI que la investigue.

La cara es la «biohuella»


Eusebio Nieva, director técnico para España y Portugal de la multinacional de ciberseguridad Check Point, subraya que el principal peligro son precisamente sus «términos de uso» y el almacenamiento de las imágenes que se generan durante su utilización. Nieva ha observado que las propias condiciones de uso de la aplicación -que no están disponibles en la propia app sino en una web y que muy pocas personas leen antes de instalarla- advierten de que los datos podrían ser almacenados fuera de su país y no estar por lo tanto sometidos a la legislación vigente en ese país.

Nieva alerta de que una de las «biohuellas» más utilizadas en la actualidad para el reconocimiento de las personas es la cara; «eso significa que tienen una base de datos de rostros inmensa». Precisa que no tienen por qué estar haciendo, hoy, un uso malicioso de esos datos, «pero sí puede ser un problema en el futuro dependiendo de en manos de quién estén esos datos» y apunta que pueden ser cedidos a otro socio, a una agencia o utilizados por el Gobierno ruso, ya que éste tiene derecho a acceder a ese tipo de datos por el bien o el interés de la nación.

En el mismo sentido se ha pronunciado el abogado especializado en protección de datos y ciberseguridad Borja Adsuara, quien señala que muchas aplicaciones «roban» datos ilegalmente de las personas, pero ésta lo hace con el propio consentimiento de los usuarios cuando aceptan los «términos de uso».

Adsuara subraya que esa cláusula es «abusiva» y denuncia que utilizar esas imágenes y datos de una forma ilimitada es contrario al Reglamento Europeo de Protección de Datos, ya que la compañía tiene que aclarar cuáles son esos usos concretos y el usuario tiene que dar consentimiento «expreso y específico» para cada uno de ellos, además de disponer del derecho a cancelarlos. «Pero la empresa es rusa, y escapa al control de la UE», asevera el abogado, para quien darse de alta en una aplicación de estas características tampoco supone «regalar la privacidad», aunque sí uno de los datos más sensibles en la actualidad: la imagen.

A su juicio, estas aplicaciones se están desarrollando y expandiendo por el mundo como un «cebo» para mejorar los sistemas y las tecnologías de reconocimiento facial basadas en inteligencia artificial.

Suplantación de identidad


El principal riesgo de FaceApp, es su posible uso para suplantar la identidad. «Se puede suplantar la identidad de alguien a través de una mera foto», afirma José Miguel Loste, responsable del Departamento de Productos y Tecnologías de Seguridad del Centro Criptológico Nacional (CCN).

La suplantación de identidad por biometría es un gran riesgo, según Loste, entre otros motivos porque la cara es una de las herramientas más habituales para comprobar la identidad de una persona en aplicaciones móviles.

Marco Lozano, responsable de Empresas y Profesionales del Instituto Nacional de Ciberseguridad (Incibe), explica que para autorizar transacciones se suele pedir un PIN, la huella dactilar o la cara. Y los expertos recuerdan además que la tecnología disponible ya es capaz incluso de generar imágenes en movimiento de una persona a partir de una foto, con lo que se pueden saltar filtros de seguridad más sofisticados.

«Tenemos que saber que vamos a entrar en una época en la que va a ser muy complicado distinguir lo real de lo falso», según Lozano, quien señala que, como fuente de información, para muchos usuarios «Facebook es tan válido como el Telediario».

Julián Inza, jefe de Auditoría de TCAB -una de las cuatro únicas empresas españolas que audita compañías de certificación de seguridad-, recomienda desconfiar de las aplicaciones que soliciten permisos que excedan de las prestaciones que se esperan de ella. Un clásico ejemplo es el de la linterna que para instalarla en el móvil pide acceso a datos del usuario.

También aconseja prestar atención a las condiciones antes de instalar una aplicación y, en general, no facilitar fotos de la cara en primer plano, ya que, además de la imagen, el dispositivo podría grabar los preparativos en los que el usuario se coloca y tratar de ofrecer la imagen más clara y mejor encuadrada, lo que facilita su manipulación en tres dimensiones. Y recuerda que en tecnología «quien te puede comprobar te puede suplantar».

Compartir en Twitter
Compartir en Facebook