Recopilación del identificador del dispositivo

Risk: low

Descripción

Recopilación de identificadores de dispositivos

Un identificador de dispositivo es cualquier valor —basado en el hardware, provisto por la plataforma o generado por la aplicación— que se mantiene estable a lo largo del tiempo y puede emplearse para identificar unívocamente a un dispositivo o usuario en múltiples sesiones. Estos identificadores facilitan el reconocimiento del dispositivo y la correlación a largo plazo de la actividad, pero introducen también consideraciones de privacidad significativas.

Normalmente, existen tres familias:

Identificadores basados en hardware

Los identificadores de hardware provienen de los componentes físicos o del firmware del dispositivo y, por lo general, se mantienen constantes durante toda la vida útil de este.

• IMEI / MEID: Identificadores de módem únicos utilizados históricamente para identificar dispositivos móviles. El acceso a ellos está muy restringido en los sistemas operativos modernos.
• Número de serie: Un identificador de hardware único asignado por el fabricante. Generalmente no es accesible para aplicaciones estándar.

Identificadores provistos por la plataforma

Los sistemas operativos exponen identificadores con permisos o alcance limitados.

• Android ID: Un identificador estable y específico de la aplicación, que persiste tras las reinstalaciones para la misma aplicación y clave de firma en versiones recientes de Android.
• IDFV (Identifier for Vendor): Un identificador en iOS compartido entre las aplicaciones pertenecientes a un mismo desarrollador, que se restablece únicamente si se desinstalan todas las aplicaciones de dicho desarrollador.
• IDFA (Advertising Identifier): Un identificador que puede restablecer el usuario, utilizado para publicidad y análisis, disponible solo con el consentimiento del usuario conforme a los marcos modernos de privacidad.

Identificadores generados por la aplicación

Las aplicaciones pueden generar sus propios identificadores y almacenarlos de forma persistente.

• UUID personalizados: Identificadores aleatorios almacenados en el almacenamiento local o en sistemas de llaveros seguros (keychains), que pueden perdurar tras la reinstalación de la aplicación.
• Identificadores derivados o con formato hash: Valores creados mediante la combinación de atributos del dispositivo.

Estos identificadores funcionan como identificadores de dispositivo si es posible utilizarlos para correlacionar la actividad del usuario a lo largo del tiempo.

Consideraciones normativas y de privacidad

De acuerdo con las normativas de privacidad más importantes, tales como el GDPR, la CCPA y marcos equivalentes, los identificadores persistentes de dispositivos están tipificados como datos personales dado que permiten la identificación o el seguimiento de un usuario o dispositivo. Un tratamiento indebido puede vulnerar:

• La minimización de los datos
• La limitación de la finalidad
• Los requisitos de transparencia
• Las obligaciones en materia de consentimiento

Asimismo, las políticas de las plataformas (por ejemplo, Apple App Store, Google Play) imponen mayores restricciones al uso de identificadores persistentes para análisis, publicidad o rastreo entre aplicaciones sin una autorización explícita del usuario.

Implicaciones para la seguridad y la conformidad

Los identificadores persistentes pueden emplearse de forma indebida para:

• La huella digital del dispositivo (Device fingerprinting)
• Seguimiento entre aplicaciones o servicios
• Elaboración de perfiles de comportamiento

Por tanto, su recopilación demanda un tratamiento cuidadoso y una justificación pertinente.

Recomendación

Recomendación

Con el fin de asegurar una gestión de los identificadores persistentes del dispositivo que sea segura y respetuosa con la privacidad, resulta fundamental adherirse a las mejores prácticas para minimizar los riesgos de rastreo y asegurar el cumplimiento de las normativas de privacidad. Se recomiendan, en particular, dos enfoques:

• Restringir la recopilación y priorizar identificadores más seguros: Solo recopile identificadores persistentes de dispositivos cuando sea estrictamente necesario para la funcionalidad esencial de la aplicación. Evite el uso de identificadores de hardware como el IMEI o el número de serie a menos que exista una exigencia operativa ineludible. Cuando la recopilación sea precisa, opte por alternativas más seguras como los identificadores autorizados por la plataforma para el ámbito de la aplicación (por ejemplo, App Set ID en Android, IDFV en iOS) o los UUID generados y efímeros almacenados de forma segura durante el ciclo de vida de la aplicación.

• Transparencia y consentimiento: Es necesario documentar de forma clara el propósito de recopilar cualquier identificador persistente. Detalle las prácticas de recopilación en la política de privacidad y obtenga el consentimiento del usuario si así lo exige la ley.

• Almacenamiento seguro: Guarde todos los identificadores persistentes de manera segura empleando mecanismos de almacenamiento provistos por la plataforma (por ejemplo, Android Keystore, iOS Keychain). Se debe evitar el almacenamiento de identificadores en texto sin cifrar o en ubicaciones accesibles para otras aplicaciones.

• Evitar el seguimiento entre aplicaciones: No utilice los identificadores persistentes para publicidad, análisis o rastreo entre múltiples aplicaciones, salvo que las políticas de la plataforma y el consentimiento del usuario lo permitan explícitamente.

Mediante la implementación de estas mejores prácticas, las aplicaciones pueden reducir los riesgos de privacidad, satisfacer los requisitos normativos y conservar la confianza del usuario.

Enlaces

• Android Developers - Identifiers
• Android Developers - App Set ID
• Apple Developer - Identifier for Vendor (IDFV)