En 2019, se hizo público un estudio en el que se demostraba por primera vez la presencia de vulnerabilidades en el sistema operativo Android. Se constaba que esas brechas de seguridad permitían que miles de aplicaciones recopilaran información sensible de millones de usuarios.

Datos como su localización e identificadores únicos quedaban al descubierto sin su conocimiento ni consentimiento a través de ataques de canales encubiertos (covert-channels) y laterales (side-channels). 

[Un canal lateral consiste en encontrar un método de acceso que no está vigilado (como forzar una ventana en lugar de entrar por la puerta) mientras que un canal encubierto consiste en compartir información a través de un canal alternativo con ayuda de otra entidad (como si una persona nos abriese la puerta trasera para poder acceder al interior de la casa)].

Tras la revelación responsable de la vulnerabilidad, Google incluyó varios cambios en el sistema de permisos de Android 10 para bloquear estos ataques. Tres años después, la repercusión del artículo sigue teniendo impacto.

Recientemente, varios congresistas de Estados Unidos lo citaron en una carta dirigida al regulador estadounidense, la USA Federal Trade Commission, para instarlos a tomar medidas que permitan controlar las prácticas intrusivas de la industria digital.

También ha sido galardonado en enero por la Agencia Española de Protección de Datos (AEPD) con el 'Premio a la investigación y protección de datos personales Emilio Aced'.

Este estudio pionero fue fruto de la colaboración entre investigadores de la Universidad de Calgary (Canadá), el International Computer Science Institute (ICSI) de la UC Berkeley (EE.UU.), la startup de ciberseguridad AppCensus (EE.UU.) y el grupo de Análisis de Internet de IMDEA Networks (España) dirigido, este último, por Narseo Vallina Rodríguez.

Ineficiencias en las redes

Este ingeniero de Telecomunicaciones, que pasó su infancia en La Hueria de Carrocera (Asturias), forma parte del equipo de investigadores de IMDEA Network desde 2016. Un trabajo que compatibiliza con el que desempeña, también como investigador, en la ICSI de Berkeley, y como cofundador de AppCensus. 

A las preguntas de esta entrevista, mantenida por videollamada, responde desde su domicilio, ahora en Madrid, donde se instaló hace casi seis años “por motivos personales”. “Era el momento de formar mi propia familia y no me veía haciéndolo en Estados Unidos donde hay muchas cosas positivas, pero también, al menos en San Francisco, mucha desigualdad”.

Las ineficiencias de las redes móviles tiene bastente impacto en la batería de los dispositivos y en el espectro de los operadores.

Su llegada al mundo de la investigación no fue premeditada. “Tras finalizar mis estudios en la Universidad de Oviedo, tuve la oportunidad de trabajar unos meses en Telefónica Digital, en Barcelona, y fue allí donde entré en contacto con la parte académica de la investigación y me gustó”.

Después vendría su paso por la Universidad de Cambridge (Reino Unido), donde permaneció casi cuatro años, y su salto a la de Berkeley ya como investigador.

Durante su estancia en el país anglosajón desarrolló una tesis, ya relacionada con Android, sobre “ineficiencias de energía relacionadas con el modo en el que las aplicaciones móviles utilizaban las interfaces de red para, por ejemplo, comunicarse con servidores o recibir notificaciones”.

“Unas ineficiencias que –explica–tenían bastante impacto en la batería de los dispositivos, pero también en el espectro de los operadores móviles”.

Es necesario desarrollar metodologías innovadoras para estudiar empíricamente internet y caracterizar la llamada economía de datos.

Fue en Cambridge donde se introdujo en el mundo científico y entró en contacto con la investigadora Dina Papagiannaki, entonces en Telefónica y ahora en Microsoft. “Durante su trayectoria, Dina se había dedicado al análisis del tráfico de internet. Dentro de esta área, hay una disciplina que trata de entender qué dinámicas hay dentro de internet y qué ineficiencias existes desde una perspectiva empírica. No con el ánimo de crear cosas nuevas, sino de tratar de entender las que hay”.

Con ella desarrolló un trabajo en el que trataban de medir el tráfico asociado a la publicidad de una red móvil (“por entonces [2011] era del 12%, ahora es un poco menor porque existen otros servicios que antes no había”).

Análisis empírico

Su salto a Berkeley en 2013, con una beca de posdoctorado, le permitió seguir por ese camino. “Es allí cuando me impliqué más en el análisis de protocolos, si se utilizan bien con las aplicaciones, si se producían abusos y fraudes”. Vallina reconoce que fue Papagiannaki quien le introdujo en una perspectiva de las redes de comunicaciones que no conocía.

“Hasta ese momento, había desarrollado mis trabajos en la parte de sistemas y no tanto en su análisis y caracterización. Fue entonces cuando descubrí lo que se me daba bien: romper cosas e intentar destriparlas para ver lo que ocurre realmente, y no tanto crear sistemas porque, generalmente, desde el mundo académico no van a llegar a implementarse. Hoy, la mayor parte de la innovación viene de las empresas”, afirma.

La mayor parte de la innovación hoy viene de las empresas. Es difícil que los sistemas que se crean en el ámbito académico lleguen a implementarse.

Este investigador cree que “la Academia debería centrar la mayoría de sus esfuerzos en intentar entender qué está haciendo la industria y cuáles son sus repercusiones sociales en campos como los de la privacidad, la discriminación o la violación de derechos fundamentales”.

Áreas donde este asturiano desarrolla su trabajo a través de dos líneas de investigación: mediciones de redes y privacidad y seguridad online, sobre todo en el entorno Android y ahora en internet de las cosas (IoT, por sus siglas en inglés).

“Internet es un ecosistema complejo y de rápida evolución formado por miles de tecnologías, miles de millones de usuarios y actores de todo tipo. Como consecuencia, los usuarios están expuestos a muchas amenazas de privacidad y seguridad, incluso sin darse cuenta”.

“Por eso, es necesario desarrollar metodologías y herramientas innovadoras para estudiar empíricamente internet y el software móvil, caracterizar la llamada economía de datos y los riesgos de seguridad y privacidad inherentes a los productos digitales”, defiende.

Vulnerabilidades por implementación

También apunta a que muchas de esas vulnerabilidades que detecta en los estudios con su equipo no son premeditadas y se deben a errores de implementación. “Es lo que ocurrió con la app española Radar Covid. Su tecnología de rastreo no tenía fallos de diseño”, como así pusieron de manifiesto desde AppCensus.

Su labor es ejercer de detective. Es casi un trabajo intuitivo que desde su equipo en IMDEA Networks aplican, sobre todo, a las apps preinstaladas. “Son aplicaciones que tienen mucha dependencia del sistema operativo y son difíciles de analizar. Por eso, ahora estamos desarrollando un emulador para realizar análisis de riesgos a través de ingeniería inversa”.

Otra de sus actuales líneas de trabajo está relacionada directamente con lo que Vallina adelantaba un poco más arriba: el desarrollo de metodologías, en este caso para comprobar si las apps cumplen con los requisitos regulatorios. “Ya en 2018 analizamos más de 7.000 aplicaciones de Google Play de la categoría destinada a familias y los resultados arrojaron que el 51% no cumplían con la normativa de Estados Unidos”.

Para continuar con sus investigaciones, hace unos meses Vallina fue galardonado con una de las becas Ramón y Cajal del Ministerio de Ciencia e Innovación. Unas ayudas dirigidas a la contratación laboral que, aunque son bien recibidas, “siguen siendo muy limitadas en comparación con otros países europeos”. Para concluir pide “un apoyo financiero más ambicioso para la acciones de I+D como gran catalizador de la comunidad científica española".