Buceamos en el repositorio GitHub donde las operadoras están desarrollando las API de Open Gateway para conocer el alcance del proyecto y cómo afecta a la privacidad de los clientes de móvil y fibra de Movistar, Orange y Vodafone en España. Estos son los datos sobre el usuario, la línea y el móvil a las que las apps que contraten el servicio podrán acceder.
21 operadoras de todo el mundo respaldaron el lanzamiento de Open Gateway en su presentación en el congreso de móviles MWC 2023. Se trata de una iniciativa de la industria de las telecomunicaciones para estandarizar una interfaz de programación que permita a terceros interactuar con las redes de las operadoras, bien para obtener información sobre la línea utilizada por el usuario y su terminal o modificar el comportamiento de su acceso a internet, entre otras posibilidades.
Open Gateway no es el primer intento de las operadoras de ofrecer una interfaz para los desarrolladores, pero sí es el más serio y con mayor respaldo, además de llegar en el momento adecuado, cuando la tendencia As a Service sigue extendiéndose a cada vez más sectores, incluidas las redes de acceso utilizadas por los usuarios finales para acceder a internet. El respaldo que los grandes de la nube como Amazon AWS, Google Cloud o Microsoft Azure han dado al proyecto garantiza que miles de desarrolladores tendrán fácil acceso sus las funcionalidades, por lo que se espera que Open Gateway suponga todo un cambio de paradigma en el uso que las aplicaciones y servicios OTT (Over The Top) hacen de las redes de las operadoras.
Las API de Open Gateway se definen dentro del proyecto Camara de la Linux Foundation, cuyo repositorio está públicamente disponible en GitHub. Para conocer su alcance y cómo afectará a los usuarios clientes de los servicios de telefonía móvil y fibra de las operadoras, hemos buceado en la documentación y el código disponible en el proyecto1.
En la actualidad se están desarrollando 12 funcionalidades que permiten identificar al abonado para realizar perfiles publicitarios, obtener información de la línea y el dispositivo utilizado, cargar compras online en la factura telefónica, acelerar el funcionamiento de la nube gracias a nodos próximos situados en el borde, controlar la calidad del servicio de acceso a internet y detectar el fraude. Algunas funcionalidades ya existían, pero Open Gateway estandariza su acceso haciéndolo homogéneo para todas las operadoras, lo que facilitará la vida de los desarrolladores y por tanto acelerará su uso.
Conviene aclarar que una API no es más que una URL como la que introduces en tu navegador, a la que una app o un servidor envía una serie de parámetros como cuando se envía un formulario, esperando obtener como resultado una información o la ejecución de una acción.
| Función | Responsables | |
|---|---|---|
| AnonymisedSubscriberIdentifier | Identificador único de la línea para personalizar contenido y publicidad | Vodafone |
| DeviceIdentifier | IMEI, marca y modelo del dispositivo | Vodafone |
| DeviceLocation | Confirma que la geolocalización del móvil corresponde a la detectada por la red | Deutsche Telekom, Ericsson, Orange y Vodafone |
| DeviceStatus | Indica si el móvil está en roaming | Deutsche Telekom, Ericsson, Orange, Telefónica y Vodafone |
| IdentityAndConsentManagement | Gestión de los permisos GPDR (General Data Protection Regulation) | Deutsche Telekom, Telefónica y Vodafone |
| CarrierBillingCheckOut | Pagos cargados en la factura telefónica | GSMA, KDDI, Orange, STC y Telefónica |
| EdgeCloud | Indica al móvil el servidor edge más cercano para reducir la latencia | 5GFF, Capgemini, Telefónica y EdgeXR |
| HomeDevicesQoD | Establece la prioridad del tráfico de un dispositivo en la red wifi de casa | Orange, Scenera y Telefónica |
| QualityOnDemand | Establece la prioridad del tráfico del móvil | Deutsche Telekom, Ericsson, KDDI, Orange, Telefónica, Vodafone, Verizon/ 5GFF |
| NumberVerification | Confirma el número de teléfono de la línea | Deutsche Telekom, KDDI, Telefónica y Orange |
| OTPvalidationAPI | Envío y validación de claves para validar que el usuario tiene acceso a un número de teléfono | Deutsche Telekom, KDDI, Telefónica |
| SimSwap | Fecha en la que se cambió por última vez la SIM de la línea | Deutsche Telekom, KDDI, Telefónica y SK Telecom |
Identificador único del usuario para personalizar publicidad y contenidos
- AnonymisedSubscriberIdentifier devuelve un identificador que permite distinguir a un abonado a pesar de que borre cookies, cambie de móvil o tarjeta SIM. Es un código generado de forma única para cada cliente y aplicación, anonimizado pero constante en el tiempo, de forma que la app puede perfilar el comportamiento del usuario con el fin de mostrarle contenidos personalizados, incluyendo publicidad comportamental. Su descripción recuerda poderosamente a TrustPid, la que llamamos supercookie de las telecos y como ésta, es Vodafone quien se encarga de mantener el API.
- IdentityAndConsentManagement comprueba si el usuario ha otorgado el consentimiento para el tratamiento de sus datos o se le debe pedir con un mensaje similar al banner de cookies. Algunas API facilitan datos personales, por lo que la legislación sobre protección de datos exige que se pida permiso al titular.
Información sobre la línea, terminal del cliente y medidas antifraude
- DeviceIdentifier devuelve el IMEI del dispositivo utilizado por el usuario, además de la marca y modelo del móvil. Estos tres datos están relacionados, puesto que el IMEI del dispositivo contiene los dígitos que identifican al fabricante y el modelo de forma única.
- DeviceLocation permite confirmar que el terminal del usuario está donde dice estar. Para ello en la llamada al API se pasan las coordenadas GPS que detecta el móvil y la red confirma su veracidad comprobando que se sitúan en la proximidad de la antena que está dando servicio en ese momento al usuario. Gracias a este API las app podrán detectar cuándo el usuario spoofea su geolocalización.
- DeviceStatus permite en este momento saber si el móvil está en roaming fuera de su país de origen, aunque está previsto ampliarlo a otros estados, como podría ser fuera de cobertura.
- NumberVerification permite validar el número de teléfono del usuario sin necesidad de enviar ningún código por SMS. Tiene dos formas de funcionamiento. La primera comprueba que el número pasado corresponde con el de la línea y la segunda es la más delicada, puesto que devuelve directamente el número de teléfono del usuario.
- OTPvalidationAPI facilita enviar y validar claves temporales (One Time Password) para acceder a un servicio. Es útil por ejemplo para validar que el usuario tiene acceso al número de teléfono que ha facilitado cuando está accediendo desde un ordenador. Open Gateway se encarga de generar una clave alfanumérica, enviar el SMS y posteriormente de validarla.
- SimSwap devuelve la fecha en la que se cambió por última vez la SIM de la línea. Permite a los servicios financieros como la banca online, saber si ha habido un cambio de SIM recientemente, lo que sirve para marcar una operación como de riesgo y solicitar otras validaciones, con el fin de evitar el fraude por SIM swapping.
Calidad de servicio
De momento hay dos API que permiten a las aplicaciones pedir a la red cómo quieren que se comporte. La primera está dedicada a la red wifi de casa, facilitando que ciertos dispositivos tengan prioridad sobre otros. La segunda está orientada a la velocidad mínima y latencia máxima al usar datos móviles. Aplicaciones que necesitan computación en la nube con muy baja latencia podrán además averiguar el nodo edge más cercano a su antena con el fin de que el tráfico no tenga que salir, siquiera, de la red de la operadora.
- HomeDevicesQoD permite que la aplicación comunique a la red con qué prioridad debe tratar el tráfico que genera. HomeDevicesQoD está enfocado a las conexiones domésticas fijas como la fibra. Cuando una app ejecutada en un dispositivo conectado por wifi en casa llama a este API establece la prioridad (DSCP) con la que el router tratará el tráfico de un dispositivo conectado por wifi. En el caso de Telefónica, esta función es posible gracias al Agente Único que en los últimos meses ha introducido en el router Smart WiFi, el cual se encarga de recibir la orden desde Open Gateway y aplicarla en la red local.
- QualityOnDemand permite establecer la calidad mínima de internet en los datos móviles. Por ejemplo, antes de establecer una videollamada, la app invoca este API para indicar la red el caudal mínimo que necesita para funcionar, de forma que la red le garantiza esta capacidad incluso cuando hay cierto nivel de saturación. Hay 4 niveles definidos2 para garantizar latencia estable cuando hay congestión o mínimos de ancho de banda. El concepto es similar al modo turbo para el 5G que Ericsson presentó hace un tiempo.
- EdgeCloud indica a la app qué servidor edge le corresponde por ser el más cercano. Los servidores de la nube edge se ubican en las centrales telefónicas o en puntos muy cercanos a las estaciones de telefonía móvil en vez de situarse en un centro de datos en Madrid, todo con el fin de reducir la latencia al mínimo posible.
Pagos a terceros
- CarrierBillingCheckOut permite que el usuario pueda pagar las compras dentro de apps con su factura telefónica sin necesidad de introducir los datos de pago de su tarjeta de crédito. Se trata de la estandarización de los Pagos a Terceros que ya existen desde hace bastantes años. Es inevitable mencionar que hasta la fecha las operadoras no han demostrado merecer demasiada confianza como medio de pago, pues son frecuentes las reclamaciones por suscripciones inadvertidas a servicios de dudosa utilidad.
