Los gobiernos pueden espiar tus notificaciones push

Si le dijera que los gobiernos le espían a través de su smartphone, ¿le sorprendería? Probablemente no. Todos sabemos que estos pequeños espejos negros son una pesadilla para la privacidad, incluso con las amplias funciones de protección de datos que tanto Apple como Google han añadido a lo largo de los años.

Sin embargo, es probable que te sorprenda saber que los gobiernos no están necesariamente rastreando tu ubicación a través del GPS de tu teléfono, o interviniendo tus llamadas telefónicas (aunque quién sabe): Ahora sabemos que en realidad te espían a través de tus notificaciones push.

Cómo roban los gobiernos los datos de tus notificaciones push

Lo sabemos gracias a Ron Wyden. El senador de Oregón envió el miércoles una carta al Departamento de Justicia (DOJ) instándoles a que permitan a Apple y Google advertir a sus clientes sobre las solicitudes de uso de sus teléfonos inteligentes.

En la carta, Wyden explica que su oficina recibió un aviso en la primavera de 2022 en el que se afirmaba que gobiernos extranjeros estaban exigiendo a Apple y Google que entregaran los registros de notificaciones push de los usuarios. Desde entonces, la oficina de Wyden ha investigado el asunto: Cuando se pusieron en contacto con Apple y Google sobre esta preocupante afirmación, ambas empresas dijeron que el gobierno federal les había bloqueado la posibilidad de hacer comentarios sobre esta práctica. Es escalofriante.

Como explica la carta, las notificaciones push no son una conexión directa entre el teléfono inteligente y la aplicación o servicio que envía la alerta. Estas notificaciones tienen que pasar primero por los servidores de Apple y Google: Por parte de Apple, se trata de Apple Push Notification Service, mientras que Google utiliza Firebase Cloud Messaging. Todas las notificaciones push que dependen de una conexión a Internet pasan por estos servidores antes de llegar a tu iPhone o Android, lo que significa que todas son susceptibles de esta extralimitación de las agencias gubernamentales.

Además, estas notificaciones push contienen bastantes datos. Cuando Apple y Google reciben datos de notificaciones push en sus servidores, interceptan metadatos (datos sobre la aplicación que recibe la notificación push), así como detalles sobre el teléfono y la cuenta a la que pertenece la notificación. Si Duolingo está intentando enviar una notificación al "iPhone 14 Pro de Jake" el jueves a las 10 de la mañana, los gobiernos que exijan a Apple la información de mis notificaciones push podrían ver exactamente eso.

Este es un buen momento para implorarle que utilice servicios de mensajería cifrados para sus necesidades de envío de mensajes de texto. El contenido cifrado no aparecerá en los datos que terceros reciben de Apple y Google, por lo que los gobiernos no pueden leer tus iMessages, mensajes RCS o alertas de WhatsApp, por ejemplo. Sin embargo, si interceptan notificaciones push de alertas sin cifrar, como mensajes enviados mediante SMS o un DM de Instagram sin cifrar, podrían ver eso como parte de los datos que obtienen. Los secretos que envías por SMS a través de métodos no cifrados los guardan tú, tu amigo y gobiernos de todo el mundo.

Según Wired, los gobiernos y las fuerzas de seguridad que quieren estos datos deben obtener primero tu "token" de notificación push de un desarrollador de aplicaciones. Las aplicaciones que descargas en tus dispositivos te asignan un token que te conecta a sus notificaciones push. El gobierno puede entonces llevar tu token a Apple o Google para exigir información sobre la cuenta asociada a ese token. Esto ya ha ocurrido antes en Estados Unidos: En 2021, en un caso relacionado con el 6 de enero, el FBI solicitó los datos de las notificaciones push de dos cuentas de Meta. Meta no respondió a la solicitud de comentarios de Wired.

Wyden está implorando al DOJ que permita a Apple y Google ser más transparentes sobre estas solicitudes con el público. Apple, por su parte, afirma que esta carta les autoriza ahora a ser más públicos sobre esta práctica, aunque está por ver hasta qué punto lo serán.

Qué puedes hacer para proteger tus datos de los espías de notificaciones push

En este punto, los detalles que rodean esta práctica son todavía confusos, pero eso no significa que debamos quedarnos de brazos cruzados y esperar a que Apple y Google hagan declaraciones.

Si quieres ir al extremo, deberías desactivar las notificaciones push de todas tus aplicaciones. Soy un gran partidario de mantener desactivadas las notificaciones de casi todas las aplicaciones, excepto las que realmente necesitas, y las noticias recientes no hacen más que reforzar mi postura. No hay absolutamente ninguna razón por la que los gobiernos, extranjeros o nacionales, deban poder ver lo que mis aplicaciones me notifican, pero es especialmente atroz permitir que lo hagan cuando se trata de Snapchat pidiéndome desesperadamente que abra la aplicación.

Creo que el 90% de las aplicaciones que te envían alertas en tu iPhone o Android son una mierda, así que desactivarlas te dará tranquilidad y reforzará tu privacidad. Por supuesto, desactivar las notificaciones de ciertas aplicaciones puede ser contraproducente: Es probable que te quedes atrás en los chats de grupo si desactivas las notificaciones de tus aplicaciones de mensajería, y podrías perderte reuniones y citas desactivando las notificaciones de tu calendario. (Lo siento, jefe.)

Al fin y al cabo, se trata de encontrar el equilibrio entre privacidad y comodidad, como siempre. Incluso con las noticias de hoy, me costaría desactivar las notificaciones de Mensajes, aunque ayuda que iMessage esté encriptado. Pero otras aplicaciones me gusta más tenerlas desactivadas para poder ponerme al día cuando quiera. (Te miro a ti, Snapchat).

Dicho todo esto, la solución más amplia tendrá que venir de fuerzas mayores. No deberías tener que desactivar las notificaciones para preservar tu privacidad, y los gobiernos no deberían estar autorizados a pedir esta información de todos modos. Esperemos que la carta del senador Wyden logre algún cambio en Washington.