Seguridad

Tu SmartTV te vigila: el impune ACR (Reconocimiento Automático de Contenido)

Los televisores inteligentes (Smart TVs) se han vuelto muy populares. Actualmente, casi tres cuartas partes de los hogares tienen un Smart TV y la mayoría de los televisores vendidos son de este tipo. De hecho, cada vez es más difícil encontrar televisores «tontos» (sin conexión a internet). Existen varias plataformas de Smart TV, siendo las más populares Samsung Tizen y LG WebOS.

Anteriormente, los investigadores se han centrado en la privacidad dentro de las aplicaciones de estos televisores, pero no han explorado el «tracking de second-party» que realiza directamente la plataforma del Smart TV. Este seguimiento, llamado Reconocimiento Automático de Contenido (ACR), permite crear perfiles de los hábitos de visualización de los usuarios. A diferencia del seguimiento online y móvil, que usualmente se implementa por librerías de terceros, ACR está integrado directamente en el sistema operativo del Smart TV.

ACR funciona capturando periódicamente la imagen de la pantalla y comparándola con una biblioteca de contenido para detectar qué se está viendo. Es similar a Shazam pero para audio y video. A partir de esta info, crea una huella digital del contenido y la comparte con un servidor para compararla con una base de datos. Si coincide, el servidor puede determinar qué contenido se está viendo. Esto permite a plataformas como Samsung y LG crear perfiles de audiencia para anuncios personalizados. Las huellas digitales son básicamente un hash del contenido, que se compara en el servidor para identificar el contenido.

Todos los fabricantes de Smart TV importantes, como Samsung y LG, utilizan ACR. Esta tecnología ha generado debate público y regulación. Por ejemplo, la FTC demandó a Vizio e Inscape en 2017 por usar ACR sin consentimiento del usuario.

A pesar de la existencia y extensión de ACR, no ha habido estudios detallados sobre su funcionamiento. Investigar directamente el código del Smart TV es complejo, por lo que un grupo de investigadores de varias universidades han publicado un interesante paper donde describen cómo analizaron el tráfico de red entre el televisor y los servidores de ACR para las plataformas Samsung y LG.

El estudio analizó tres aspectos de ACR:

  • ¿Funciona independientemente de cómo se use el televisor? Se comparó el seguimiento al ver televisión lineal (ej. via antena), streaming, usar HDMI, etc. Se encontró que ACR funciona al ver televisión lineal y usar HDMI como pantalla externa, pero no al ver contenido de aplicaciones como Netflix o YouTube.
  • ¿Los controles de privacidad afectan el seguimiento? Se comparó el tráfico de red antes y después de activar las opciones de privacidad. Se encontró que desactivar el seguimiento de ACR lo detiene, pero el estado de inicio de sesión no afecta el tráfico.
  • ¿Hay diferencias entre países? Se analizó el comportamiento de televisores en Reino Unido y Estados Unidos. Ambos países tienen leyes de privacidad diferentes y transferir datos entre ellos está regulado. Se encontró que los televisores contactan con dominios ACR distintos y que en Estados Unidos, ACR funciona incluso al ver contenido de la app del propio Smart TV (a diferencia del Reino Unido).

Tenéis el código y todos los datos en: https://github.com/SafeNetIoT/ACR

¿Preocupado? Pues decirte que, desafortunadamente, no hay una forma sencilla y directa para que un usuario promedio verifique si el ACR (Reconocimiento Automático de Contenido) está activado en su televisor. Esto se debe a que el ACR suele funcionar en segundo plano y no tiene una interfaz de usuario visible que permita su activación o desactivación de manera explícita.

¿Por qué es difícil detectarlo?

  • Configuración del sistema operativo del televisor: El ACR suele estar integrado en el sistema operativo del televisor y su configuración se encuentra en niveles profundos del sistema, a los que el usuario no suele tener acceso directo.
  • Falta de transparencia: Las empresas que implementan ACR suelen mantener los detalles técnicos de su funcionamiento en secreto para proteger sus intereses comerciales.
  • Variaciones entre marcas y modelos: La implementación del ACR puede variar significativamente entre diferentes marcas y modelos de televisores, lo que dificulta la creación de una guía universal.

¿Qué puedes hacer?

Aunque no puedas verificar directamente si el ACR está activado, puedes tomar algunas medidas para limitar su impacto en tu privacidad:

  • Lee detenidamente las políticas de privacidad: Revisa las políticas de privacidad de tu televisor y de las aplicaciones que utilizas. Busca términos como «reconocimiento de contenido», «seguimiento» o «publicidad personalizada».
  • Desactiva la recopilación de datos: Si encuentras opciones para desactivar la recopilación de datos, la publicidad personalizada o el seguimiento, actívalas.
  • Limita el acceso a internet: Si es posible, desconecta tu televisor de internet cuando no lo estés usando. Esto limitará la cantidad de datos que pueden ser recopilados.
  • Utiliza un bloqueador de anuncios: Aunque no elimine completamente el ACR, un bloqueador de anuncios puede ayudar a reducir la cantidad de publicidad personalizada que ves.
  • Mantente informado: Sigue las noticias sobre privacidad y protección de datos para estar al tanto de las últimas investigaciones y desarrollos en este campo.

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.