Hoy, acceder a Internet se ha convertido en una parte esencial de nuestra vida diaria. Desde una edad temprana, los niños viven en un entorno digital y crecen utilizando una amplia gama de dispositivos interconectados para diversas actividades (aprendizaje, entretenimiento, comunicación con familiares y amigos, pasatiempos, etc.). A pesar de los beneficios que nos está aportando a día de hoy la conectividad a internet, desde que comenzamos el confinamiento ha aumentado considerablemente el tiempo que los menores pasan conectados y en muchos casos sin la supervisión de un adulto.
Debemos ser conscientes de que existen una serie de riesgos que no podemos olvidar, especialmente en los colectivos más vulnerables como es el caso de los menores, y no es casual que en estos tiempos que corren, hayan aumentado considerablemente los delitos que se cometen vía Internet y redes sociales, precisamente por esa mayor dedicación a las nuevas tecnologías durante este confinamiento.
Uno de los riesgos más importantes es la exposición de los menores a contenido inapropiado como imágenes de índole sexual, violentas, sobre juego y apuestas, etc. Esta exposición puede producir importantes efectos negativos sobre los menores, que van desde daños emocionales o psicológicos hasta el establecimiento de conductas peligrosas y socialmente inapropiadas o daños para su salud física.
Por lo tanto, si bien el acceso a Internet debe ser tomado como una gran oportunidad para el desarrollo de los menores, no sólo los padres o tutores deben tomar medidas para protegerlos de las amenazas del entorno digital al igual que se hace en el mundo físico, la industria también ha de proporcionar en este sentido herramientas para ayudar a salvaguardar su intimidad y bienestar.
La Agencia Española de Protección de Datos (AEPD) ha elaborado recientemente una nota técnica sobre protección del menor en Internet, que tiene como objetivo poner de manifiesto el daño que puede producirse a un menor cuando accede a contenido no adecuado para su edad.
Si bien es cierto que esta nota técnica está dirigida principalmente a padres y tutores de menores que desean fomentar un uso seguro de la tecnología, en este post nos vamos a centrar especialmente en las recomendaciones dirigidas a entidades y desarrolladores de herramientas de protección del menor. Dichas entidades deben aplicar las medidas técnicas y organizativas necesarias para proteger los derechos y libertades de los menores, así como las implicaciones de privacidad de las mismas y consejos en cuanto a su uso responsable.
Entre las distintas opciones que pone el mercado a disposición de padres y tutores, para controlar y limitar la exposición de los menores a contenido inapropiado, nos encontramos las aplicaciones de control parental, que ofrecen los propios desarrolladores de sistemas operativos, operadores de telefonía y otras empresas. Adicionalmente al final de este post incluimos una tabla de análisis comparativo de las principales herramientas de control parental que existen actualmente en la industria.
¿Qué entendemos por controles parentales?
Los controles parentales son herramientas que permiten a los padres o tutores poner límites a la actividad en línea de un menor y por lo tanto mitigar los riesgos de que el menor puede estar expuesto.
¿Por qué son importantes?
Son importantes porque pueden ser utilizados para apoyar a los padres en la protección y promoción de los mejores intereses de sus hijos, un papel reconocido en la propia Convención de los derechos del niño firmado en 1989 (en adelante CDN). Sin embargo, debemos valorar también el impacto sobre el derecho del menor a su propia privacidad tal y como se reconoce en el artículo 16 de la CDN. El hecho de que los menores estén sujetos a un bloqueo excesivo puede resultar contraproducente -por lo que es importante mantener abierta la posibilidad de desbloquear contenido a petición del menor- y estar abierto a acordar con ellos los filtros y restricciones, entre otras medidas.
Estas herramientas de control parental resultan muy útiles para vigilar y controlar la actividad de nuestros menores en Internet, pero deben ser utilizadas como medidas de seguridad complementarias y no como herramientas de reemplazo a las labores de formación y concienciación que debemos mantener con nuestros hijos en materia de ciberseguridad consideradas fundamentales para educarles, guiarles y apoyarles en el uso seguro de Internet.
¿Qué funcionalidades ofrecen las herramientas de control parental?
Existe una amplia gama de aplicaciones de control parental en el mercado que permiten bloquear el acceso de menores a contenido inapropiado. Una buena recopilación de estas herramientas, además de una guía de selección, está publicada en la web de is4k de INCIBE.
Tienen funcionalidades muy diversas, como control de tiempo, filtrado de contenidos, bloqueo de aplicaciones, seguimiento de actividad, alertas y notificaciones, control multidispositivo, control de actividad en redes sociales, gestión remota para padres y tutores e incluso localización GPS del menor en tiempo real. Sin embargo, no todas impiden el acceso a contenido inapropiado, por lo que es importante seleccionar una que incluya filtrado de contenido y bloqueo de aplicaciones.
Lo habitual es que proporcionen, al menos, las siguientes características:
• Filtrado de páginas web por tipo de contenidos, palabras o temática: Si no deseamos que nuestro hijo acceda a páginas web cuyo contenido no consideramos adecuado para su edad o que creemos que puede ejercer una influencia negativa sobre él, podemos configurar la herramienta de tal modo que restrinja su acceso.
• Establecimiento de tiempos de uso del dispositivo y conexión a Internet: Es posible establecer horas de uso de los dispositivos y conexión a Internet para que los menores no hagan un uso excesivo de los mismos.
• Bloqueo de aplicaciones y configuraciones del dispositivo: Hacer uso de esta funcionalidad es útil si consideramos que nuestro hijo no debe acceder a ciertas aplicaciones y/o configuraciones por distintos motivos: compartimos el mismo dispositivo con el menor, consideramos que alguna aplicación no es adecuada para su edad, no queremos que acceda a determinadas configuraciones del dispositivo, etc.
• Servicio de alertas y notificaciones: para facilitarles la vida a los padres y educadores, las aplicaciones entre sus funcionalidades, ofrecen la posibilidad de enviarnos resúmenes periódicamente que recogen la actividad del menor de un periodo de tiempo determinado. También hay herramientas que permiten enviarnos una alerta (email, SMS, etc.) en caso de que el menor esté intentando realizar una de las opciones no permitidas: intentar acceder a páginas web restringidas por el tipo de temática, conectarse a Internet fuera de la franja horaria establecida, etc.
• Supervisión de búsquedas y monitorización de conversaciones de chat: En ocasiones, desconocemos cuales son los intereses de nuestros hijos, que información demanda, o qué es lo que les preocupa. Gracias al servicio de búsquedas y monitorización, podemos ver qué tipo de sitios webs consultan y con qué frecuencia. Muestra el conjunto de páginas web visitadas en el dispositivo y es posible revisarlo aun cuando se hubiera limpiado el historial en el navegador.
¡Pero cuidado!, estas aplicaciones para poder ofrecer todas estas funcionalidades requieren numerosos permisos de acceso a recursos protegidos del dispositivo y tratar un volumen muy elevado de datos personales del menor. En definitiva, son opciones que, aunque sean efectivas en cuanto a la finalidad de control que persiguen, también son muy invasivas para la privacidad el menor.
A TENER EN CUENTA:
1. Antes de seleccionar una aplicación de control parental es importante obtener información precisa sobre:
• los tratamientos de datos personales que llevará acabo la aplicación,
• las medidas de seguridad,
• tiempos de retención de datos
• posibles cesiones de datos
• una clara identificación del responsable de tratamiento
• y cómo ejercer los derechos que confiere el RGPD
2. También es importante elegir aquella opción que mejor se ajuste a la funcionalidad que se necesite, teniendo en cuenta que, a mayor funcionalidad, mayor invasión potencial en la privacidad del menor y mayor riesgo de que un incidente de seguridad pueda afectar a sus derechos y libertades.
3. Hay que prestar especial atención a la configuración de privacidad de cada una de las aplicaciones o redes sociales que utilice el menor. Hacer un buen uso de estas funciones es fundamental para conseguir un control parental más eficaz.
4. Quienes ponen a disposición de padres y tutores este tipo de aplicaciones deben ser ejemplares en el ejercicio de transparencia y responsabilidad activa, ofreciendo granularidad suficiente en las funcionalidades que se ofrecen y por tanto en los tratamientos de datos personales que se realizan. Es decir, aunque una aplicación pueda ofrecer localización precisa del menor, si los padres no consideran necesaria su utilización deben poder prescindir del tratamiento y denegar los permisos de acceso asociados a dicho tratamiento sin que eso impida la utilización de la aplicación.
5. Pero debemos ser conscientes de que los métodos de control parental no son infalibles y si el menor tiene cierto interés y curiosidad puede llegar a encontrar mecanismos para saltarse los límites de acceso a contenido. Incluso careciendo de dicho interés, y a pesar de las medidas los menores podrán seguir accediendo a contenido de este tipo de forma colateral.
Los principales mecanismos para evitar el control de acceso a contenido son:
1. Uso de proxy online para acceder a contenido web restringido. Por ejemplo, desde https://www.hidemyass.com/es-es/proxy se puede navegar a otras páginas restringidas. Estas páginas que funcionan a modo de proxy pueden bloquearse específicamente, pero es necesario estar atento y bloquearlas si se detecta su uso.
2. Descubrimiento de contraseña. A menudo los menores son capaces de descubrir la contraseña/PIN de acceso a la gestión del control parental.
3. VPNs. La conexión a través de VPNs (gratuitas o de pago) puede producir un efecto similar al uso de proxies, perdiendo todo el control posible sobre el filtrado de contenidos.
4. Conexión a redes (WiFi) no protegidas, por ejemplo, la WiFi de centros comerciales o restaurantes. Si se opta por soluciones de filtrado de contenido basadas en filtrado de peticiones DNS de la red de casa, mediante la conexión a otras redes WiFi el menor podrá navegar sin ningún tipo de filtro. Las aplicaciones de control parental suelen ser capaces de filtrar independientemente de la red de acceso a internet que se utilice.
5. Navegadores portables. Algunas herramientas de control parental únicamente filtran contenido en determinados navegadores web. Es necesario bloquear la instalación de otros navegadores para impedir el acceso a contenido inapropiado. Pero algunas plataformas permiten la utilización de navegadores portables que no requieren instalación y pueden ser utilizados para evitar el filtrado de contenidos.
6. Visionado de contenido a través de servicios no bloqueados como Google Images, Google Translate, Wikipedia, Whatsapp, Telegram.
Una vez expuestos estos mecanismos, queda patente que las distintas opciones de control parental no son infalibles y la única forma de atajar esta suerte de vulnerabilidades es complementar el uso de estas herramientas con una educación adecuada sobre el uso seguro de la tecnología, los peligros de internet y la importancia de que ellos mismos sean capaces de tomar sus propias medidas.
A continuación, pasamos a detallar una serie de recomendaciones que deber ser tenidas en cuenta por los prestadores de servicios en el desarrollo de dichas aplicaciones de control parental.
RECOMENDACIONES PARA LA INDUSTRIA
1. Aplicación del principio de minimización de datos. Si bien estas aplicaciones suelen ofrecer funcionalidades muy diversas, no siempre será necesario que los padres utilicen todas ellas. Debe ofrecerse granularidad en este sentido, estableciendo mecanismos que permitan activar y desactivar cada una de esas funcionalidades en base a las necesidades de cada familia. Los datos personales que correspondan a una funcionalidad desactivada no deberán ser tratados.
2. Minimización de permisos. De forma análoga al punto anterior, deben establecerse mecanismos para no solicitar permisos de acceso a recursos del sistema innecesarios para las funcionalidades que se van a utilizar. A modo de ejemplo, si un usuario no necesita utilizar la funcionalidad de localización GPS del menor, no parece necesario que la aplicación tenga que acceder a datos de geolocalización de forma continua e incluso en segundo plano.
3. Gestión de librerías de terceros. Prácticamente todas las aplicaciones incluyen librerías de terceros para añadir funcionalidad muy diversa como estadísticas de uso, informes de error, autenticación de usuarios o publicidad. En tal caso, debe informarse a los interesados de los tratamientos de datos personales que puedan introducir tales librerías de forma que se pueda obtener un consentimiento válido antes de que dichos tratamientos se lleven a cabo.
4. Establecer garantías en los servicios en la nube. Estrechamente relacionado con el apartado anterior, todas las aplicaciones móviles requieren un conjunto similar de características ofrecidas a través de backends. En algunos casos se utilizarán backends ofrecidos por terceros para cada una de funcionalidades, en otros casos esos backends serán desarrollados a medida para la aplicación concreta y consumidos desde la app mediante una API. Independientemente de la modalidad, lo habitual es que esos backends estén alojados en servidores en la nube.
En tal caso, los tratamientos que realicen estos proveedores de servicios en la nube deberán estar regulados por un contrato o vínculo legal que cumpla los requisitos establecidos en el RGPD. El responsable de tratamiento deberá mostrar diligencia en la selección de los proveedores de servicios en la nube y en el contrato de encargo de tratamiento deberá cumplir los requisitos establecidos en el RGPD, poniendo especial atención a las medidas de privacidad desde el diseño, por defecto, de seguridad, compromiso de confidencialidad y procedimiento de gestión de brechas de seguridad. Si bien la contratación de este tipo de servicios suele realizarse mediante la adhesión a cláusulas contractuales establecidas por el prestador de servicios en la nube, éstos deberán o bien adaptar dichas clausulas a los requisitos del RGPD o bien dotar de flexibilidad suficiente a los sistemas de contratación para que los contratos establecidos puedan dar cumplimiento a las exigencias del RGPD.
5. Aplicar medidas de seguridad. Teniendo en cuanta el volumen, categorías y el perfil de los individuos sobre los que se realiza el tratamiento se deben maximizar las medidas aplicando los más altos estándares de seguridad.
ANÁLISIS DE LAS PRINCIPALES HERRAMIENTAS DE CONTROL PARENTAL
Este cuadro ha sido elaborado a partir de la información proporcionada por la Nota técnica de la AEPD protección del menor en Internet.
HERRAMIENTAS DE CONTROL PARENTAL | ||
Sistemas operativos de los fabricantes | Operadores de telefonía | Otros sistemas de control parental |
Control Familiar MicrosoftFamily Link GoogleControl Parental iOS | Movistar ProtegeVodafone SecurenetOrange Kids Ready | Kapersky SafekidsSecurekidsQustodioF-Secure Mobile SecurityNorton Family |
La herramienta utilizada para el análisis es Mobile Security Framework, herramienta de código abierto y libre. Se han valorado cuatro parámetros obtenidos mediante el análisis estático de las aplicaciones de control parental que aparecen en la misma. Se han analizado exclusivamente las versiones Android de las aplicaciones relacionadas.
PARÁMETRO | SIGNIFICADO |
CVSS-MobSF | Estimar el impacto derivado de las vulnerabilidades identificadas en Tecnologías de Información. Se obtiene una media de las potenciales vulnerabilidades detectadas. La severidad se considera baja si la puntación obtenida está entre 0.0 y 3.9. La severidad es media si el resultado se ubica entre 4.0 y 6.9. Se considera alto cuando la puntuación está entre 7.0 y 10.0 |
Score -MobSF | Puntuación de seguridad obtenido por MobSF en una escala de 0 a 100, en función del análisis estático. Basado en la metodología OWASP. |
Número de permisos solicitados – MobSF | Número de permisos de acceso a recursos del sistema declarados en el código de la aplicación y que se solicitarian al usuario. |
Trakers – Mob SF | Número de librerias o urls de trackers detectados en la aplicación. |
**Fuente: Tabla comparativa de las herramientas de control parental analizadas. Nota técnica AEPD Protección de Menores
En conclusión, el análisis de las distintas herramientas examinadas nos abre un nuevo debate y reflexión:
¿El potencial de las aplicaciones de control parental para proteger a los menores justifica los riesgos relacionados con la recopilación y el tratamiento de sus datos?
Debemos ser conscientes de los riesgos de estas aplicaciones de control parental desde una perspectiva de la privacidad. Muchas de estas aplicaciones solicitan permisos innecesarios, recopilan y envían información personal sin el consentimiento apropiado y comparten datos con terceros sin hacer mención alguna en su política de privacidad. Por eso la AEPD a través de esta nota técnica hace un llamamiento y recuerda a los creadores de estas aplicaciones de control parental la importancia de ser ejemplares en cuanto a transparencia y responsabilidad activa en los tratamientos de datos personales que realizan, estableciendo mecanismos que permitan activar y desactivar cada una de esas funcionalidades en función de las necesidades de cada familia, de forma que antes de seleccionar una opción de control parental es necesario obtener información precisa sobre los tratamientos de datos que llevará a cabo la aplicación, especialmente medidas de seguridad, tiempos de retención de datos, posibles cesiones a terceros, una clara identificación del responsable de tratamiento y cómo ejercer los derechos en materia de protección de datos.