Al menos 50 de las aplicaciones más populares de Android tienen agujeros porque en su construcción se reutilizó software que contenía "errores". Por eso, envían información personal a terceros, según una investigación.

Los resultados preliminares de un estudio del equipo de analistas de Codenomicom revelaron que más de la mitad de esas 50 aplicaciones envían información personal de los usuarios, sin autorización, a redes de publicidad de terceros, por lo general en texto plano.

El informe, adelantado por el sitio australiano ITnews, refiere a una investigación que esta semana publicará el mismo equipo que en abril pasado descubrió y alertó sobre "Heartbleed", la falla de seguridad en el software de cifrado OpenSSL, que puso en peligro a cientos de miles de sitios web y servicios de correo electrónico de todo el mundo.

Según el estudio, estas 50 aplicaciones -cuyos nombres aún no se hicieron públicos- heredaron vulnerabilidades de seguridad al reutilizar librerías de software libre que contenían errores ("bugs").

El jefe de seguridad de Codenomicom, Olli Jarva, explicó que entre el 80 y el 90 por ciento del software de las aplicaciones móviles se crea reutilizando librerías, la mayoría de las cuales son de código abierto.

Según Jarva, es natural que los programadores no quieran "invertir en reinventar la rueda" con cada aplicación que publican, y por eso usen código previamente desarrollados por otros.

Los resultados preliminares señalan que cerca de la mitad de las principales 50 aplicaciones de Android en el mercado le entregan a terceros (en general, redes de publicidad) el "Android ID", el código de identificación particular asociado a cada dispositivo con ese sistema operativo.

Además, una de cada diez envía el código IMEI -el código alfanumérico único, pregrabado en el móvil, que identifica a cada aparato-, mientras que una de cada siete envía también el número de teléfono del usuario.

Por otro lado, más del 30 por ciento de las aplicaciones en estudio transmite los datos en texto plano, sin encriptar, lo que las vuelve aún más inseguras.

"Algunas personas podrían proveer vulnerabilidades a propósito para hacer cosas desagradables" una vez que el código se reutilizó, sostuvo Jarva, y arriesgó que "los desarrolladores podrían estar ganando sus dólares gracias a las redes de publicidad".

"La dificultad que enfrentamos está en que la motivación a la hora de hacer apps raramente está puesta en la calidad de la seguridad. Más pruebas suponen más tiempo, y eso significa más costo para el desarrollador y una precio más alto para el producto", explicó el investigador.