Más fallos e información oculta en la 'app' de La Liga: "Han mentido en casi todo"

La polémica de la ‘app’ de La Liga parecía zanjada después de que la propia institución española mandara un comunicado el pasado domingo explicando su funcionamiento, pero todo apunta a que aún nos quedan varios capítulos por delante. Primero la Agencia Española de Protección de Datos anunciaba este lunes que empezaba una investigación sobre el programa y ahora un nuevo análisis técnico de la misma muestra que tanto en el comunicado como en los términos y condiciones había más fallos e información oculta.

El especialista en ciberseguridad y 'hacker' español SadFud, autor de este estudio, ha explicado en un artículo técnico todos los entresijos de la ‘app’ y no tiene desperdicio. En él, cuenta cómo La Liga ocultó parte del funcionamiento de su programa en el comunicado que lanzó hace unos días y no da las suficientes explicaciones en los términos y condiciones del programa. "Después de analizar la aplicación y ver cómo La Liga, por el motivo que sea, falta a la verdad sobre lo que hace, me queda la duda de por qué lo hace. Han mentido en prácticamente la totalidad de su comunicado sobre la privacidad de los datos", explica el informático.

TE PUEDE INTERESAR

Cómo evitar que la app de La Liga (y otras) te espíen a través del micro de tu móvil

G.C.

En el análisis, se muestra cómo la LFP da datos contradictorios en el texto. Por ejemplo, asegura en su comunicado que el uso del micro y la geolocalización se habilitó el 8 de junio cuando, en realidad, y según ha explicado este joven a El Confidencial, desde la versión 6.3.0 lanzada el 21 de diciembre la 'app' ya contaba con esta característica. “En ese momento se empezó a implementar la opción aunque no fue hasta la publicada el 7 de junio cuando los datos recabados se enviaban a un servidor. Pero eso ya desmontaría la versión de La Liga”. Lo que cambió el 8 de junio es que la ‘app’ empezó a pedir permiso a los usuarios para usar esta herramienta.

Pero ese no es el único dato erróneo que, según este ‘hacker’, se ha ofrecido por parte de la mayor institución deportiva del país. También hablan de que sólo se guarda la geolocalización en los momentos de partido, pero no es así. Como explica SadFud, los entresijos de la ‘app’ demuestran que se registra siempre que se esté usando o la tengas en segundo plano. Es la empresa Fluzo, un tercero que da servicio al programa, la que elige si guarda o no esa información en cada momento. "Recopila la geolocalización cada 30 minutos y se la envía a Fluzo para el análisis si se ha recibido una respuesta positiva del servidor".

En lo relacionado con el micrófono, Sadfud destaca “la burrada” que es decir que el programa no graba fragmentos de audio. “Dicen que su aplicación es capaz de hacer algo similar a lo que hace Shazam (que está valorada en 400 millones de euros) pero aún mejor. Shazam cuenta con una base de canciones limitada con las que compara el sonido que captas, pero la ‘app’ de La Liga asegura que puede hacer lo mismo con el sonido ambiente de un bar que, obviamente, no has podido guardar previamente. Vamos, si de verdad funciona, los desarrolladores son unos genios”, comenta a El Confidencial.

Una relación extraña con Fluzo

Pero, ¿quiénes son esos 'genios'? Aunque desde La Liga se dice que todo lo hacen de forma local, o al menos no mencionan nada en su web sobre el envío de datos a un tercero, lo cierto es que en su código fuente aparece el nombre de una empresa: Fluzo. Esta pequeña ‘startup’ madrileña, que ha estado incluso bajo el ala de Google en su Campus de Madrid, sería, según explica Sadfud, la encargada de recopilar los datos en sus servidores, identificarlos y analizarlos. “Los datos que se recaban por el micro y la geolocalización podría ir a un servidor de La Liga, pero no, va a los que Fluzo ha montado para este cliente. Es decir, son ellos los que deciden cuando una información es válida o no y se encargan de analizarla”.

De momento, en su web solo aparece el logo de Fluzo y un correo genérico, pero buscando en la red podemos encontrar diferentes perfiles en los que definen su negocio. Su idea se basa en ofrecer “una tecnología de reconocimiento de audio (Automatic Content Recognition, ACR) basada en 'fingerprinting' (huella digital) similar a la que utiliza Shazam que sirve para: monitorizar el consumo de TV de los espectadores y ofrecer métricas digitales por primera vez sobre sus perfiles y cómo consumen el contenido (qué funciona mejor, cuándo y con quién)”.

Desde El Confidencial nos hemos puesto en contacto con esta compañía creada en 2015 por Vicente García, José Luis García, Marcos Pinazo y Diego de Ávila pero no han querido hacer ninguna declaración y nos han remitido directamente a La Liga. Preguntados por su relación comercial con Fluzo y los nuvos fallos e incongruencias demostrados en el análisis técnico de SadFud, La Liga ha preferido no ofrecer ninguna explicación.