Qustodio (madres y padres)
Fechas de análisis
- Análisis estático (mediante Exodus Privacy/MobFS): 01/04/2025
- Análisis dinámico (mediante análisis de tráfico de red): 07/04/2025
- Análisis Posteriores:
Resumen de la aplicación
Qustodio es una aplicación de control parental orientada a madres y padres, que promete proteger a las infancias mediante funciones como bloqueo de contenido, monitoreo de aplicaciones y geolocalización. Sin embargo, el análisis revela una herramienta altamente intrusiva, con una recopilación desmedida de datos y un funcionamiento cuestionable.
Entre los principales hallazgos se identificaron:
- Acceso excesivo a permisos peligrosos: Aunque no solicita permisos directamente durante su instalación, Qustodio accede a 34 permisos, muchos de ellos catalogados como “peligrosos”, entre ellos están el acceso a ubicación precisa, configuración del sistema o biometría, lo cual no corresponde con su supuesta función de monitoreo pasivo del dispositivo de la infancia.
- Monitoreo profundo del dispositivo: La app tiene la capacidad de recolectar todo el tráfico de red, contactos, mensajes, historial de navegación, y hasta datos de otras aplicaciones, configurándose como un sistema de vigilancia constante e invasiva del dispositivo supervisado.
- Fallos en funcionalidades clave: Funciones anunciadas como el monitoreo de llamadas, mensajes o redes sociales no funcionan correctamente, incluso con los permisos otorgados. El “monitoreo” de redes sociales se limita a medir el tiempo de uso, sin acceso a contenidos ni mensajes.
- Recopilación y cesión de datos a terceros: Se comparten datos con múltiples empresas, muchas de ellas con fines publicitarios, analíticos o de soporte. Esto contradice las promesas de privacidad ofrecidas en su política.
- Recolección de datos del dispositivo del tutor: La instalación de la app en el dispositivo de la persona adulta convierte a este también en objeto de vigilancia, exponiéndolo a la misma recolección de datos que experimenta la infancia monitoreada.
- Incompatibilidad con versiones modernas de Android: Muchas funciones solo operan en Android 10 o versiones anteriores, y el sistema deja de capturar tráfico en versiones más nuevas, lo que reduce su efectividad pero no limita la recolección de datos.
- Falta de transparencia y sobrerrecolección de datos: La política de privacidad menciona los datos que se recogen, pero o especifica claramente con quién se comparten ni con qué fines exactos. Esta ambigüedad, sumada al volumen y tipo de datos recolectados, representa un riesgo importante para la privacidad.
En resumen, Qustodio se presenta como una app de acompañamiento y seguridad, pero en la práctica opera como un sistema de vigilancia altamente intrusivo. Su diseño, permisos y flujo de datos la convierten en una aplicación claramente datavora, con prácticas desproporcionadas de recolección y distribución de información tanto del menor como del adulto.
Archivos analizados
Descripción de la aplicación
- Tipo: Aplicación de control parental (Parenting)
- Costo: Premium (prueba gratuita)
- Enlace de descarga: https://play.google.com/store/apps/details?id=com.qustodio.family.parental.control.app.screentime
- Descargas: 5,000,000
- Ultima fecha de actualización: 7/03/2025
- Versión: 182.27.2
- Desarrollador: Qustodio LLC
- Firma: Qustodio LLC
- Contacto: support@qustodio.com
-
Condiciones de uso y Política de privacidad: https://www.qustodio.com/family/privacy/
-
Descripción en PlayStore:
Galardonada con el premio Editors’ Choice de PC Mag, **Qustodio - Control parental facilita la vida a los padres** > con funciones como los controles de tiempo diarios, la monitorización y el bloqueo de aplicaciones —incluidas Facebook y YouTube—, el seguimiento de geolocalización, el modo infantil, el bloqueo de pornografía, etc.
- **Bloqueo de dispositivos**: bloquea automáticamente el dispositivo cuando se agota el tiempo
- **Control parental y modo para niños**: supervisa y controla el contenido al que acceden tus hijos y filtra el contenido para adultos
- **Localizador familiar con GPS**: localiza el teléfono de tus hijos y te envía su localización
Primero, descarga **Qustodio - Control parental** en tu dispositivo. Después, descarga **Qustodio para niños** en los dispositivos de tus hijos. Una vez configuradas, podrás gestionar y supervisar la actividad de sus dispositivos móviles, tabletas y ordenadores en Android, iOS y los principales sistemas operativos.
**Versión gratuita (1 dispositivo)**
✓ Configura y gestiona los límites de uso diarios
✓ Bloquea sitios web y categorías (videojuegos, juegos de azar o pornografía)
✓ Supervisa la actividad online, las búsquedas y el uso de las apps
✓ Búsqueda segura para bloquear los sitios web para adultos o pornográficos
✓ Bloquea los navegadores no compatibles
✓ Función Pausar Internet
✓ Informes de actividad avanzados (incluido el historial de los últimos 7 días)
✓ Recibe notificaciones del Localizador familiar, el rastreador GPS y los controles de tiempo
**Versión Premium (5 dispositivos o ilimitado)
Disfruta de las funciones gratuitas más:
✓ Monitorización de YouTube
✓ Localizador familiar con geolocalización GPS
✓ Alertas de los sitios guardados
✓ Bloqueador de aplicaciones (bloquea apps y categorías)
✓ Límites de tiempo en los juegos y las aplicaciones
✓ Seguimiento de llamadas y mensajes
✓ Historial de actividad de los últimos 30 días
✓ Botón de SOS
✓ Alertas de búsqueda basadas en IA
✓ Alertas de mensaje basadas en IA
✓ Rutinas personalizadas
✓ Soporte prioritario
✓ Acceso prioritario a nuevas funciones
✓ Protección multidispositivo para activar todas las funciones del modo infantil y el Localizador familiar
✓ Compatible con dispositivos iOS, Windows, Mac, Android o Kindle
✓ Protege un número ilimitado de dispositivos
**
Rastreadores identificados (mediante Exodus Privacy)
| Rastreador | Tipo |
|---|---|
| Adjust | Retargeting móvil |
| Google Analytics | Analítica |
| Google CrashLytics | Reporte de fallos |
| Análisis de Google Firebase | Analítica |
| Administrador de etiquetas de Google | Analítica, Publicidad |
Los rastreadores de esta aplicación sirven para medir y analizar el uso que le da la persona usuaria a la aplicación, vincular identidades y recopilar datos de perfiles. También para mostrar publicidad dentro de la app, personalizar anuncios y compartir datos personales con terceros.
Leer el reporte de Exodus Privacy
Empresas relacionadas con esta aplicación:
El análisis de tráfico de red indica que estas empresas están relacionadas con la recolección de datos de la aplicación con fines de despliegue de infraestructura y almacenamiento de datos o de publicidad y marketing.
| Empresa | Servicios que ofrecen |
|---|---|
| Amazon Web Services (AWS) | Infraestructura en la nube, almacenamiento, servidores y cómputo escalable. |
| Google Cloud Platform | Infraestructura en la nube, almacenamiento, servidores y cómputo escalable. |
| Publicidad (Ads), analíticas (Google Analytics). | |
| Cloudflare | Infraestructura en la nube, almacenamiento, servidores y cómputo escalable. |
Empresas identificadas a través del Aviso de Privacidad con que se comparten datos:
La aplicación declara en el Aviso de Privacidad que comparte datos con la siguientes empresas para fines de soporte, infraestructura o publicidad:
- Amazon.com, Inc.
- Braze, Inc.
- CHARGEBEE INC.
- Chart.io
- Cleverbridge, Inc.
- Mailchimp
- PayPal, Inc.
- Segment.io, Inc.
- Stripe, Inc.
- Zendesk Inc.
- | Cloudflare
Dominios integrados al código de la aplicación que no pertenecen directamente a los rastreadores
| Dominios |
|---|
| https://x-api.rollout.io |
| https://www.qustodio.com |
| https://www.w3.org |
| https://www.bing.com |
| https://jsoup.org |
| https://crashlytics.com |
| https://rollout.io |
| https://www.qstodio.com |
| https://vwww.google.com |
| https://crashpad.chromium.org |
| https://console.firebase.google.com |
| https://www.youtube.com |
| https://issuetracker.google.com |
| https://github.com |
| https://segment.com |
| https://qustodio.com |
| https://qustodio-com-fair-hallway-795.firebaseio.com |
| https://notify.bugsnag.com |
Estos dominios indican que la aplicación se conecta con múltiples plataformas externas para fines técnicos, analíticas, publicidad y soporte. La variedad de dominios integrados reflejan una alta dependencia de servicios externos, lo cual aumenta el riesgo potencial en términos de privacidad, trazabilidad de la información y transparencia del uso de los datos, especialmente considerando que parte de la información pertenece a personas menores de edad.
Permisos
- Según Exodus Privacy/MobFS: 34
- Según prueba de uso: 2
Permisos según Exodus Privacy
- ACCESS_ADSERVICES_AD_ID
- ACCESS_ADSERVICES_ATTRIBUTION
ACCESS_COARSE_LOCATION: access approximate location only in the foreground- ACCESS_FINE_LOCATION: access precise location only in the foreground
- ACCESS_NETWORK_STATE: view network connections
- INTERNET: have full network access
- POST_NOTIFICATIONS
- READ_APP_BADGE
- USE_BIOMETRIC: use biometric hardware
- USE_FINGERPRINT: use fingerprint hardware
- VIBRATE: control vibration
- WAKE_LOCK:prevent phone from sleeping
- UPDATE_COUNT
- BILLING
- RECEIVE
- BIND_GET_INSTALL_REFERRER_SERVICE
- AD_ID
- READ_GSERVICES
- READ_SETTINGS
- UPDATE_SHORTCUT
- CHANGE_BADGE
- READ_SETTINGS
- WRITE_SETTINGS
- UPDATE_BADGE
- READ_SETTINGS
- WRITE_SETTINGS
- DYNAMIC_RECEIVER_NOT_EXPORTED_PERMISSION
- PushHandlerActivity
- READ
- WRITE
- BROADCAST_BADGE
- PROVIDER_INSERT_BADGE
- BADGE_COUNT_READ
- BADGE_COUNT_WRITE
El icono indica un nivel 'Peligroso' o 'Especial' de acuerdo a los niveles de protección de Google.
La aplicación solicita más de 30 permisos, varios de ellos clasificados como peligrosos o especiales por Android. Estos permisos otorgan a la app un nivel de acceso intrusivo y desproporcionado, especialmente preocupante cuando el dispositivo no es el que se está monitoreando.
Permisos solicitados durante el uso de la aplicación
La aplicación no solicita ningún permiso.
Datos
Datos solicitados al usuario
Datos solicitados durante el registro
Correo electrónico- Nombre del tutor
- Nombre del hijo
Datos solicitados al usuario durante el uso de la aplicación
- Tipo de dispositivo a monitorear (sistema operativo, modelo)
Teléfono o correo electrónico para el botón de pánico
Este ícono indica que se debe ingresar este dato de manera obligatoria.
Este ícono indica que estos datos son opcionales.
Tabla de conexiones realizadas durante el uso de la aplicación
| Dirección IP | Número de Paquetes | País | Ciudad/Zona | Organización AS |
|---|---|---|---|---|
| 3.161.44.59 | 476 | United States | AMAZON-02 | |
| 3.161.44.102 | 244 | United States | AMAZON-02 | |
| 9.9.9.9 | 144 | United States | Berkeley | QUAD9-AS-1 |
| 34.120.195.249 | 352 | United States | Kansas City | GOOGLE-CLOUD-PLATFORM |
| 34.199.63.39 | 710 | United States | Ashburn | AMAZON-AES |
| 44.205.80.224 | 528 | United States | Ashburn | AMAZON-AES |
| 44.209.27.27 | 122 | United States | Ashburn | AMAZON-AES |
| 54.144.48.80 | 620 | United States | Ashburn | AMAZON-AES |
| 65.9.149.79 | 37 | United States | AMAZON-02 | |
| 104.18.35.7 | 100 | United States | CLOUDFLARENET | |
| 172.64.152.249 | 80 | United States | CLOUDFLARENET | |
| 172.217.3.138 | 30 | United States | ||
| 192.178.52.170 | 26 | United States | ||
| 192.178.52.234 | 42 | United States | ||
| 192.178.56.74 | 29 | United States | ||
| 192.178.56.106 | 28 | United States | ||
| 192.178.56.202 | 129 | United States | ||
| 192.178.57.42 | 73 | United States | ||
| 192.178.57.46 | 309 | United States |
Mapa de conexiones realizadas durante el uso de la aplicación
Mediante Wireshark
Otros datos recolectados:
El análisis de conexiones nos indica que la infraestructura de esta aplicación está en Estados Unidos.
Datos recopilados y uso según la PlayStore
| Datos | Uso |
|---|---|
| Información y rendimiento de la app | Diagnostico |
| Nombre | Administración de la cuenta |
| Correo electrónico | Administración de la cuenta |
| Número de teléfono | Administración de la cuenta |
Datos compartidos y uso según la PlayStore
| Datos | Uso |
|---|---|
| Registro de fallas | Estadísticas |
| Diagnóstico | Estadísticas |
| Interacciones en la app | Estadísticas, Publicidad o marketing, Personalización |
| Dispositivo u otros IDs | Estadísticas |
Prácticas de seguridad
- Los datos están cifrados en tránsito.
- Puedes solicitar a los desarrolladores que se borren los datos asociados a tu cuenta.
Estas practicas de seguridad indican que existen medidas para mantener cifrados (ilegibles) los datos de los usuarios en el momento en que se mueven, lo que proporciona seguridad, ademas de que puede solicitar directamente a la aplicación, eliminar tus datos.
Nota: NO existe información adicional sobre el proceso de eliminación de datos de la aplicación en Google Play Store ni en al Política de Privacidad
Datos recopilados y uso según la Política de privacidad
| Datos | Uso |
|---|---|
| Datos de Registro |
Nombre, apellidos, correo electrónico y teléfono. (obligatorios, es información de contacto asociada a la cuenta). Cualquier información personal que determinemos, a nuestro exclusivo criterio, que es suficiente para verificar su identidad con un grado razonable de certeza. |
| Pagos | Proveedores de pago (PayPal, Braintree, Cleverbridge, Chargebee y Stripe) recopilan datos de pago. |
| Información del dispositivo | ID del modelo, número de serie, código IMEI, sistema operativo. |
| Información recolectada | Todo el tráfico de red del dispositivo, nombres de dominio, direcciones URL de los motores de búsqueda y sitios web visitados, información de las aplicaciones, usuarios, contactos, conexiones, pagos, mensajes y otras comunicaciones, contenido publicado y recibido. |
Uso general de la información según la Política de privacidad
- Registro de cuenta
- Estos incluyen información que proporcionas al crear y gestionar tu cuenta, como tu nombre y dirección de correo electrónico. Qustodio utiliza estos datos para administrar la relación contigo, lo que abarca la activación del servicio, soporte técnico, facturación y posibles mejoras o ventas adicionales de sus servicios.
- Datos de usuario y dispositivos monitoreados
- Información recopilada de los dispositivos que se supervisan mediante Qustodio. Esto puede incluir detalles sobre el uso de aplicaciones, sitios web visitados, mensajes y otras comunicaciones. Qustodio procesa estos datos en tu nombre para proporcionarte servicios de control parental y monitoreo a través de su panel de control.
Información compartida con terceros
- Datos personales
- Proveedores de soporte al cliente (Zendesk).
- Servicios de facturación y pagos.
- Herramientas de analíticas.
- Qustodio podría compartir ciertos datos con terceros para otros fines específicos.
Funciones particulares de la aplicación
La aplicación tiene un costo de $730 mx (básico) $1290 mx (premium) al año, con el cual desbloqueas todas las funciones.
Panel de control
La aplicación tiene secciones del panel de control donde muestra las apps monitoreadas y el tiempo de uso, sitios web y búsquedas en internet, tiempo en redes sociales y resumen de búsquedas (historial) de Youtube.
Listas de bloqueo y advertencia de sitios web
La aplicación tiene una configuración donde se pueden bloquear sitios web por categoría o por su dirección. Se envía una notificación de advertencia al padre o no permitir cargar el sitio web. Esta función solo funciona en Android 10 y versiones anteriores.
Rutinas
Se pueden establecer horarios y un limite de tiempo de uso de aplicaciones y del dispositivo.
Botón de pánico
Botón de pánico que envía un mensaje o correo electrónico a un contacto de emergencia.
Monitoreo de llamadas y mensajes
Instalación de un certificado web y una conexión VPN para realizar el monitoreo y captura del tráfico de red del dispositivo monitoreado.
Notas
- La aplicación no solicita ningún permiso al instalarse sin embargo, el reporte de Exodus Privacy indica que la aplicación accede a 34 permisos que son muy invasivos para el tipo de funciones que realiza el panel de control de monitoreo.
- El monitoreo de llamadas y mensajes de texto no funciona a pesar de haber dado los permisos para hacer y administrar llamadas telefónicas y leer mensajes de texto.
- El seguimiento de redes sociales es el seguimiento normal que le da a cualquier aplicación (tiempo de uso), no se monitorean mensajes como da a entender la aplicación.
- La aplicación no funciona correctamente ya que en Android 11 y versiones posteriores el sistema operativo no permite hacer una captura de red por temas de seguridad. Es decir, Qustodio se aprovechaba de esta vulnerabilidad. Sin esta característica la aplicación solo monitorea el tiempo que pasas en las aplicaciones y conocer la ubicación de tu infancia, es posible bloquear por tiempo las aplicaciones y hacer rutinas.
Conclusiones
Permisos y Nivel de Acceso
Aunque la app no solicita permisos directamente al usuario durante su instalación, el análisis con herramientas como Exodus Privacy revela que accede a 34 permisos, muchos de ellos de tipo peligroso o especial para Android, como acceso a ubicación, configuraciones del sistema y uso de biométricos. Esta cantidad de permisos no son congruentes con las funciones de la aplicación ya que este teléfono no es el teléfono monitoreado.
Rastreo y Análisis de Datos
El análisis de tráfico de red indica que la app se comunica con múltiples servidores y servicios de terceros, incluyendo Amazon, Google, Cloudflare, PayPal, Stripe, Mailchimp, Segment y Zendesk, entre otros. También se identificaron rastreadores de Google, Adjust y Firebase, lo cual contradice parcialmente su promesa de “protección y privacidad” publicada en su política de privacidad.
Privacidad y datos recolectados
Se recolectan datos sensibles como mensajes, historial de navegación, llamadas, contactos y geolocalización, lo que implica un monitoreo de nivel profundo del dispositivo del menor. Estos datos no solo son procesados por Qustodio, sino también potencialmente compartidos con terceros con fines de soporte, analítica, pagos y otros servicios de publicidad.
Funcionalidad
Algunas funciones no son como se anuncian, como el monitoreo de llamadas y mensajes, que no se ejecutan correctamente, incluso tras otorgar los permisos correspondientes.
El supuesto “monitoreo de redes sociales” se limita al tiempo de uso de las apps, y no accede a contenidos ni mensajes, a pesar de que la publicidad de la app sugiere una funcionalidad más intrusiva hacia las aplicaciones de mensajería como Instagram, Whatsapp y Line.
Transparencia
La política de privacidad de Qustodio explica qué datos se recopilan, pero no especifica de forma granular qué datos se comparten con cada proveedor.
A pesar de usar cifrado, el hecho de recopilar el tráfico completo de red y todo el uso del dispositivo es un monitoreo desmedido especialmente cuando se trata de infancias y adolescencias.
Conclusión final
La aplicación es muy invasiva y a pesar de acceder a toda la información no logra funcionar correctamente. Incluso en la versión premium las funciones no cumplen la espectativa generada con la descripción de la PlayStore.
En resumen, además de que esta aplicación no funciona, sí recopila una exagerada cantidad de datos del teléfono con el objetivo de compartirla con terceros. Instalar esta aplicación implica que el dispositivo del padre será monitoreado por la empresa de la misma manera que monitorea a la infancia, con fines de marketing y publicidad. Por lo tanto, esta aplicación es sumamente Datavora.