La Liga, en la última versión de su app para móviles, solicita permiso para usar el micrófono y la localización gps de tú móvil, y así comprobar si el bar donde estás viendo fútbol paga la correspondiente licencia para su emisión.

Seguramente hayas oído hablar sobre el escándalo de la app de LaLiga, y es que diversos medios de comunicación se han hecho eco de la polémica durante las últimas semanas, y no es para menos. Todo saltó a raíz de una captura de pantalla realizada por quien les escribe, desde casa, cuando intentaba obtener una manera de informarme sobre los partidos del Mundial Rusia 2018.

Al instalar la app de LaLiga en mi móvil y ejecutarla, apareció la nueva política de privacidad, que a razón de la nueva GDPR, muchas otras apps están mostrando al entrar en ellas en las últimas semanas. Por lo general, la gente suele tender a aceptarlas rápidamente, sin leerse ni un solo párrafo, pero si trabajas en Servitux y conoces a Esther Botella, sueles preocuparte un poco más de lo normal por estas cosas. Se me ocurrió echarles un vistazo, y todo me pareció normal hasta que llegué a los dos últimos puntos, los cuales, mediante unas casillas de verificación, te solicitaban la aceptación de la ya comentada Política de Privacidad, y una segunda, que en mi opinión, y retorciendo de una manera un tanto rebuscada el lenguaje, solicitaba permiso para utilizar el micrófono y la localización GPS de mi móvil, para, según ellos, “Proteger a tu equipo”.

Captura de Pantalla Política Privacidad AppLaLiga

 

En una segunda lectura, ya que no salía de mi asombro, pude comprobar que la aplicación necesitaba tales permisos para poder localizar si te encuentras en un bar, y en ese caso, grabar el entorno para comprobar si están emitiendo un partido de La Liga. De esta manera evitaban el fraude de la emisión de partidos de futbol sin licencia.

De primeras, dos cosas fueron las que más me llamaron la atención:

  1. Utilizar a los usuarios para grabar, mediante sus terminales privados, lo que sucede en un local privado, ¿es licito?
  1. La “naturalidad” con la que solicitaban tal permiso. Era como si estuvieran pidiendo que aceptaras un favor que ellos te hacían a ti, para proteger los intereses del equipo del que eras aficionado, ¡y no al revés!

Sin pensármelo mucho, hice una captura de pantalla de mi móvil, y se la envíe a Esther Botella, amiga personal y colaboradora de Servitux, sabiendo que ella sabría responder a la pregunta de si aquello era lícito. Ella, dándose cuenta enseguida de la situación, sólo me hizo una pregunta: ¿Me das permiso para utilizar la captura?

A partir de ese momento, en Twitter comenzó una avalancha de comentarios de usuarios de la App no muy conformes con dicha petición, con @estherbotella y @jorge_morell como abanderados por este tweet:

A continuación os dejo algunos de los enlaces a medios de comunicación que se hicieron eco de la noticia, y que a día de hoy sigue dando coletazos.

A raíz de la repercusión en medios y redes sociales, LaLiga emitió un comunicado en el que intentaba explicar el cómo y el por qué, y del que no podía extraerse nada en claro. A continuación reproduzco un trozo del comunicado:

LaLiga sólo activará el micrófono y geoposicionamiento del dispositivo móvil durante las franjas horarias de partidos en los que compitan equipos de LaLiga.

LaLiga no accede a los fragmentos de audio captados por el micrófono del dispositivo, ya que estos se convierten de forma automática en un código binario en el propio dispositivo. LaLiga sólo accede a este código binario, que es irreversible y no permite obtener de nuevo la grabación de audio.

Uno o dos días más tarde, un usuario decompiló el fichero apk de la aplicación para Android, y analizó técnicamente el funcionamiento de ésta. Aun con secciones de código ofuscadas, hizo un buen trabajo de investigación que aportaba resupestas a las preguntas que más se nos venían a la cabeza en relación al verdadero funcionamiento de la App. Os dejo también el enlace: «Analizando la app de La Liga para Android»

Al parecer, y como resumen, tumba prácticamente la totalidad del comunicado de La Liga, llegando a, entre otras, las siguientes conclusiones, que considero las más importantes:

  1. Las versiones de la aplicación, al menos desde Febrero, también utilizaban el microfono y el GPS.
  2. «El micrófono captará código binario» es exáctamente lo mismo que de decir que «El microfono graba fragmentos de audio».
  3. Envían los audios a una tercera empresa, que, aparentemente, procesará el resultado.
  4. Las comprobaciones se realizan cada X minutos, y no en horarios concretos de partidos.

Finalmente, y a tenor del revuelo mediático y de pruebas como estas, la Agencia de Protección de Datos informa inmediatamente, y a través de Twitter, que abre actuaciones previas de investigación de oficio sobre la App de LaLiga:

Evidentemente toda esta inmensa bola de nieve que inicié desde mi sofá  no pudo llevarse a cabo sin la profesionalidad de Esther Botella, cuya experiencia en este terreno le hizo ver, en aquella captura recibió de mi, que esto había de publicarse, anunciarse y denunciarse. Las redes sociales, al fin y al cabo, debería valer para algo más que para lo que valen hoy en día.

¿Qué ha pasado con LaLiga? – 2018 – Esther Botella

Explicación de la polémica creada con la App de LaLiga, que podría haber estado haciendo un uso indebido de los datos de sus usuarios.

Aprovecho también la oportunidad de enlazar un artículo de mi compañero Paco Brufal, donde habla de La importancia de los permisos en aplicaciones Android, aunque también es extensible a iOS, de lectura obligatoria, y que espero que os ayude a proteger vuestros terminales.