Productos FTTH

Tienda FFTH desde 2004

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon La Unión Europea obliga a Google a dar acceso al micrófono, cámara y pantalla de Android a asistentes de IA rivales


La Comisión Europea obligó a Google a permitir que asistentes de IA rivales tengan el mismo acceso a Android que Gemini, incluyendo cámara, micrófono y control de apps. Además, Google deberá compartir datos anonimizados de búsqueda con competidores bajo un pago basado en costes. Estas medidas, derivadas de la Ley de Mercados Digitales, deben implementarse a más tardar en agosto de 2027.



La Comisión Europea ordenó el jueves que Google otorgue a los asistentes de IA rivales el mismo alcance en Android que ya tiene Gemini: la cámara, el micrófono, cualquier cosa que esté en pantalla, una palabra de activación que se dispare con la pantalla apagada y la capacidad de controlar otras aplicaciones en segundo plano imitando toques y escritura.

Google debe implementarlo en la próxima versión importante, Android 18, y a más tardar el 1 de agosto de 2027.

Esta es una de las dos decisiones de especificación vinculantes adoptadas el 16 de julio bajo la Ley de Mercados Digitales, seis meses después de que la Comisión iniciara los procedimientos el 27 de enero.

La segunda obliga a Google a entregar datos anónimos de consultas de búsqueda, clics y clasificación a motores de búsqueda rivales y a chatbots de IA que realicen búsquedas, mediante una tarifa basada en costes. Ninguna de las dos es una multa.

Los procedimientos de especificación solo indican qué debe construir un "gatekeeper"; la facultad separada de la Comisión para abrir un caso de incumplimiento (que incluye multas) permanece intacta. Android concentra alrededor del 60% de los usuarios móviles europeos.

Cinco funciones restringidas, seis no

La decisión de Android cubre 11 funciones del sistema operativo documentadas aquí. Google puede exigir una certificación antes de que una aplicación acceda a cinco de ellas, que las medidas publicadas denominan funciones restringidas:

* Acceso centralizado a los datos del dispositivo que las aplicaciones acepten compartir, hoy AppSearch.
* Inteligencia consciente del contexto, la maquinaria siempre activa detrás de sugerencias proactivas como Magic Cue.
* Integración estructurada en el dispositivo, es decir, App Actions y App Functions.
* Automatización de pantalla, que Android implementa como Computer Control.
* Integración del sistema: ajustes, multimedia, capturas de pantalla, notificaciones y energía.

El párrafo 55 detalla la tercera, y apunta directamente a las propias aplicaciones de Google. Un asistente certificado puede recuperar y redactar Gmail, crear y gestionar eventos de Calendar, extraer contenido de Drive y Docs, activar la navegación de Maps, controlar la reproducción de YouTube y consultar el historial de visionado, leer y escribir SMS, MMS y RCS en Mensajes, y realizar llamadas telefónicas.

Las otras seis no requieren certificación alguna: datos ambientales, detección de palabras clave siempre activa, invocación mediante pulsación larga, los modelos en el dispositivo a nivel de sistema, implementación de modelos de terceros y ejecución en segundo plano.

El párrafo 119 las abre a todos los terceros, incluidas las aplicaciones instaladas por el usuario, y prohíbe a Google restringir el tipo o el caso de uso de la aplicación que las llame.

Los datos ambientales significan entrada de micrófono, audio del sistema, cámara, contenidos de la pantalla, ubicación y sensores como el acelerómetro, de forma continua y en segundo plano, bajo los mismos avisos de consentimiento que reciben los propios servicios de IA de Google.

Esos avisos son los ligeros: el resumen del caso de la Comisión señala que los servicios propios de Google acceden hoy a los sensores con procesos de consentimiento e indicadores de privacidad reducidos, mientras que los terceros obtienen el consentimiento en tiempo de ejecución por cada uso.

La detección de palabras clave utiliza el DSP de bajo consumo, por lo que sobrevive a la pantalla bloqueada y al ahorro de batería, y puede seguir grabando hasta que el usuario finalice la solicitud. Esto solo afecta a los teléfonos que ya llevan el chip. Permitir que varios asistentes escuchen a la vez se pospone hasta Android 19 y el 1 de agosto de 2028.

El consentimiento sigue controlándolo todo, y Google puede seguir exigiendo el aislamiento de procesos y el cifrado. Lo que no puede hacer, para estas seis funciones, es decidir quién tiene permiso para preguntar. Si quiere que la señal bruta del sensor esté tras una barrera, las medidas le dejan una vía: presentar una solicitud razonada demostrando una causa justificada, y la Comisión podrá trasladar la función a la lista de restringidas.

El programa que google tiene que escribir

Para las cinco funciones restringidas, Google debe configurar un Programa de Asistentes de IA Cualificados, permitir que Autoridades de Certificación de Confianza (TCA) de terceros certifiquen asistentes gratuitamente, aceptar esas certificaciones sin añadir condiciones y nunca revocarlas.

También redacta los términos del programa TCA y decide quién es aprobado como certificador, bajo términos que deben ser razonables y no discriminatorios, y que debe validar con la Comisión dos meses antes de cambiarlos. Por lo tanto, no puede revocar la certificación de un asistente realizada por una TCA. Puede revocar a la TCA.

El límite está establecido. Google puede comprobar si un asistente reconfirma la intención del usuario antes de acciones sensibles o irreversibles, si minimiza la divulgación accidental de datos, si supera la seguridad básica de las aplicaciones móviles y si está protegido contra riesgos agenticos que anulen la intención del usuario.

Las medidas ofrecen la entrada, la cadena de suministro, la integración, la integridad del modelo y la infraestructura como ejemplos de ello. Cualquier cosa más allá de eso requiere primero a la Comisión, y las mismas condiciones obligan a Gemini.

La suspensión es limitada: Google necesita un cuerpo coherente de pruebas de prácticas que causen un daño grave e inmediato, y debe entregar esas pruebas a la Comisión y a las autoridades de certificación. Las apelaciones reciben respuesta en un mes. También hay una salida alternativa.

El párrafo 135 obliga a Google a permitir que los usuarios den su consentimiento para saltarse el requisito de certificación, por servicio y por dispositivo, sin esconder el interruptor detrás del modo de desarrollador.

Los borradores de los términos vencen el 1 de febrero de 2027, y los términos finales y solicitudes abiertas el 1 de mayo de 2027.

Si lanzas una aplicación de android

Para agosto de 2027, un asistente certificado, o uno no certificado que el usuario haya autorizado, puede abrir tu aplicación en una pantalla virtual, leer su pantalla y hacer clic en ella mientras el usuario hace otra cosa.

La lista de funcionalidades de esta característica incluye permitir que una aplicación controlada bloquee vistas sensibles para la aplicación controladora. Configura esa decisión antes de la beta de Android 18.

Otras dos salidas existen solo si Google decide construirlas: bloquear la automatización en partes de tu aplicación y mantener el contexto de tu aplicación alejado de los componentes de sugerencia proactiva. La decisión permite ambas. No requiere ninguna.

El conjunto de datos de búsqueda

El método de anonimización está publicado aquí y realiza tres pasadas. Elimina identificadores directos y los atributos que permiten volver a unir los registros: nombres de usuario, direcciones IP, marcas de tiempo precisas, formato de entrada.

Suprime cualquier registro cuya consulta contenga términos raros como nombres completos, contraseñas, direcciones postales o números de cuenta bancaria, o que sea inusualmente larga. Luego generaliza los metadatos hasta que cada usuario se encuentre en un grupo de al menos 1,000 que compartan ubicación, tipo de dispositivo e idioma de consulta, con un 95% situándose en grupos de 29,000 o más.

Los contratos contemplan el resto: procesamiento restringido, no vinculación con otros conjuntos de datos, no divulgación posterior, no intentos de reidentificación, una auditoría independiente antes del acceso y anualmente después.

Los destinatarios necesitan un promedio mensual de 50,000 usuarios de la UE durante el último año, no pueden estar sancionados y no pueden ser controlados por un país que la UE considere un riesgo grave y estructural de ciberseguridad o protección de datos. Los datos llegan con al menos siete días de antigüedad y se cortan después de cinco años por beneficiario. Google también puede evaluar, antes de compartir nada, si un destinatario específico plantea riesgos graves de ciberseguridad y protección de datos.

Su plazo aquí es corto: formulario de elegibilidad y una página web de beneficiarios para finales de agosto, conjunto de datos finalizado para noviembre y precios para enero de 2027.

La objeción de google

Kent Walker, presidente de asuntos globales de Google, afirmó que la decisión de Android "amenaza la seguridad del dispositivo al conceder a aplicaciones externas permisos sensibles y potentes del dispositivo" según sus palabras. Dijo que los fabricantes de teléfonos examinan a los asistentes hoy en día y que la decisión elimina esa salvaguarda.

Sobre la parte de Búsqueda, su posición es que la anonimización no es suficiente, que no se está preguntando a los usuarios y que las consecuencias afectan a secretos comerciales y seguridad nacional. Citó a ENISA, la agencia de ciberseguridad de la UE, que escribió este mes que "los fundamentos de la seguridad importan más que nunca en la era de la IA" en este documento.

Ese documento de ENISA trata sobre cómo los modelos frontera reducen la ventana entre el descubrimiento de una vulnerabilidad y su explotación casi a cero. No menciona Android, la interoperabilidad ni los permisos de aplicaciones.

La objeción no es imaginaria. Gemini es la prueba. La lista de contexto digital de la decisión entrega a los asistentes de terceros notificaciones, SMS, contenidos de pantalla y capturas de pantalla. El contenido de las notificaciones es el canal que SafeBreach utilizó para secuestrar el propio agente de Utilidades de Android de Gemini mediante una inyección de prompts indirecta, sin requerir ninguna aplicación maliciosa en el dispositivo.

Google mitigó aquello en el lado del servidor en noviembre de 2025, antes de que SafeBreach publicara el mes pasado. El riesgo de entrada es ahora una de las cosas contra las que un asistente candidato debe estar protegido. Google escribe la prueba.

Lo que decía el borrador de abril

Las salvaguardas que Walker dice que faltan son las que llegaron después de que Google se quejara. Las medidas provisionales de la Comisión del 27 de abril aquí no tenían funciones restringidas, ni Programa de Asistentes de IA Cualificados, ni autoridades de certificación.

El párrafo 134 del borrador prohibía a Google restringir quién se beneficiaba, y permitía un proceso de verificación solo si era gestionado por terceros neutrales e independientes y se aplicaba solo en la Play Store. La versión final permite que Google certifique a los solicitantes él mismo.

Las cláusulas de integridad del borrador prohibían límites sobre el propósito, beneficiarios, aplicaciones, tecnologías y casos de uso; la final añade "a menos que se especifique lo contrario en este Anexo" a cada una. El borrador de Búsqueda era aún más laxo: sin umbral de usuarios, sin requisito de capital, sin exclusión por riesgo de país y un suelo de grupo de metadatos de 50 en lugar de 1,000.

Los plazos se movieron en la misma dirección. La mayoría de las funciones de Android vencían el 1 de enero de 2027 en el borrador. En la decisión, caen el 1 de agosto de 2027. Las palabras clave concurrentes pasan de esa misma fecha de enero a agosto de 2028. La Comisión afirma que las medidas finales tienen debidamente en cuenta lo que Google y terceros presentaron durante la consulta, y la diferencia muestra lo que se negoció.

Lo que Google no consiguió fue discrecionalidad. Las medidas de integridad deben ser estrictamente necesarias, justificadas por pruebas objetivas que debe conservar, verificables por alguien ajeno a Google y aplicadas idénticamente a sus propios servicios.

No puede imponer "un nivel de integridad a terceros superior al que se aplica a sí mismo" según la norma. Debe avisar a la Comisión con cuatro semanas de antelación antes de aplicar una. La única forma de evitarlo es un cambio que no afecte al usuario, sea puramente técnico, idéntico para Google y todos los demás, e inocuo para terceros. Las cuatro condiciones, o aviso previo.

Así que la lucha se traslada al 1 de febrero de 2027, cuando lleguen los términos del borrador del programa. Google pasó la primavera argumentando que los asistentes no certificados no deberían tener estos permisos, y ganó un régimen de certificación que no existía en abril. Ahora tiene que redactarlo, en público y una sola vez, sabiendo que la definición se aplicará directamente a Gemini.

Fuente:
THN


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.