Es el tema del día y toca hablar de ello, aunque lo cierto es que no está del todo claro el asunto. Sea como fuere, ya hay medios acusando a Audacity de spyware nada menos y como ya hemos tropezado con la misma piedra en el pasado por chorradas, cabe preguntarse ¿es verdad esta vez?
Recapitulando rápidamente los últimos acontecimientos, el popular editor de audio de código abierto Audacity fue adquirido por Muse Group el pasado mayo y aunque como era de esperar la nueva propietaria aseguró que nada iba a cambiar y que, de hacerlo, sería para mejor, tardaron poco en saltar las alarmas por la dirección que su nueva propietaria quería imprimir al que es un referente en su categoría. Se vio apenas unos días después del anuncio del acuerdo de compra, todo a razón de la telemetría que introduciría la aplicación.
Al tema de la telemetría le dedicamos un artículo a fondo, y es que a pesar de todo lo que se dice por ahí, la telemetría (la recopilación de datos estadísticos con los que mejorar una aplicación o servicio) ni es una práctica ajena al mundo del código abierto, ni es negativa per se. Y todo quedó bastante bien, parece. En resumen (para más datos, el enlace anterior):
- La telemetría es estrictamente opcional y está deshabilitada de forma predeterminada. No se comparten datos a menos que se elija.
- La telemetría solo funciona en las compilaciones realizadas por GitHub CI desde el repositorio oficial.
- Si se está compilando Audacity desde el código fuente, se proporcionará una opción para habilitar el código de telemetría. Esta opción estará desactivada de forma predeterminada.
Así, el proceso de recopilación de datos por parte de Muse Group en Audacity cumplía con las formas que uno espera en un proyecto serio de código abierto, como es el estar desactivado por defecto, avisar al usuario, etc; y, sobre todo, no recopilar información personal identificable… con un pero: toda esa información se recogería a través de servicios como Google Analytics y Yandex Metrica, que entre muchos otros datos obtienen la dirección IP del usuario.
Esto último generó muchas quejas en la comunidad más cercana al proyecto y Muse Group lo despachó limitando el tipo de datos enviados a cada servicio. Es decir, tanto Google Analytics como Yandex Metrica recibirían la IP del usuario, pero los datos enviados serían muy pocos, de carácter meramente técnico y se incorporaría un bloqueo del seguimiento entre sitios, «lo que limita la capacidad de identificar al usuario tanto por Google como por Yandex», explicaron entonces.
Sin embargo, hace un par de días que Muse Group actualizó la política de privacidad de Audacity y hay nuevas disposiciones que no han gustado nada. Véase como ejemplo el párrafo dedicado a la entrega de datos a reguladores y autoridades: «Todos sus datos personales se almacenan en nuestros servidores en el Espacio Económico Europeo (EEE). Sin embargo, ocasionalmente estamos obligados a compartir sus datos personales con nuestra oficina principal en Rusia y nuestro asesor externo en los EE. UU», indica el texto.
Esto, desde luego, suena muy mal. Se podría entender en casos de aplicaciones y servicios en los que los datos pueden servir para algún tipo de investigación criminal, pero… ¿Audacity? Claro que peor suena la clausula que se reserva la compañía para compartir todos los datos recogidos por la aplicación, incluyendo la dirección IP del usuario, que durante un día se mantiene íntegra en sus servidores, con «terceras partes» que pueden ser «asesores» o «potenciales compradores»… Con quien les dé la gana, sería la traducción más apropiada.
Asimismo, han añadido otra nueva disposición que ha gustado menos si cabe, y por la que se acusa también a Muse Group de violar la licencia GPL de Audacity: «La aplicación que proporcionamos no está destinada a personas menores de 13 años. Si tiene menos de 13 años, no use la aplicación«. A qué viene esta advertencia es motivo de debate, pero todo huele a la GDPR europea, que prohíbe ciertas prácticas con menores, entre ellas la firma y aceptación de contratos o condiciones con implicaciones legales.
Entonces ¿es Audacity spyware? No está nada claro. Por el momento, las últimas versiones de la aplicación no incluyen aviso de privacidad ninguno o preferencias desde las que habilitar o deshabilitar el envío de telemetría. Tampoco se prohíbe con coacción legal la descarga y uso de Audacity entre los menores de 13 años, menos aún en la página de descarga oficial… Y los requerimientos asociados a las autoridades son comunes a muchas otras aplicaciones y servicios de código abierto.
No obstante, si bien es comprensible que los desarrolladores de una aplicación como Audacity quieran recopilar datos de los usuarios de carácter técnico que les ayuden a mejorar el software allí donde haga falta, datos tales las especificaciones del sistema, las características más usadas, etc… ¿Necesitan la IP de nadie para estimar el número de usuarios activos de Audacity? ¿Y qué es eso de compartir los datos con quienes quieran?
De este motivo deriva el resto de la polémica, pues la dirección IP real del usuario se mantiene durante un día en los servidores de Muse Group, antes de ser ofuscada. En todo caso, que una aplicación de edición de audio que funciona de manera local mande esta información a un servidor, suena feo. De ahí a calificarla de spyware hay un trecho, pero… Seguiremos el culebrón, a ver hasta dónde llega, aunque como os estaréis imaginando, las trompetas del fork -uno definitivo, no amagos- suenan cada vez más fuertes.