16/10/2021

Qué hay detrás de la recomendación europea de no utilizar teléfonos de Xiaomi

El Ministerio de Defensa de Lituania publicó un informe a finales de septiembre donde recomendaba a sus ciudadanos deshacerse de algunos modelos de móviles chinos. Tras ese informe, Alemania admitió hace unos días una investigación sobre móviles Xiaomi, la marca más vendida en Europa por primera vez en el segundo trimestre de 2021, sin especificar el motivo. Ambas decisiones acapararon titulares y pusieron de nuevo en el punto de mira la tecnología que exporta el gigante asiático. Pero el desafío va mucho más allá, afecta a todo el ecosistema Android, y tiene que ver con las aplicaciones que vienen preinstaladas en cualquier teléfono y cuyas actualizaciones, que nadie controla ni vigila, pueden suponer un riesgo para los usuarios.

Nicolás Waisman, el argentino que maneja la seguridad informática de Lyft, la competencia de Uber

La denuncia que más llamó la atención del informe lituano fue una lista de 449 palabras en caracteres chinos que el dispositivo podía encontrar y bloquear. Muchas tenían connotaciones políticas sobre China: “Tibet libre”, “Movimiento democrático 89″, “Larga vida Taiwán libre” o sobre los uigures. Pero también estaban “nazi”, grupos terroristas islámicos e incluso “ETA”. Pero días después, el 27 de septiembre, el Ministerio de Defensa lituano publicó un apéndice con nuevas palabras, algunas ya directamente en inglés e incluso español. La mayoría está relacionada con el sexo: porno, pornos, porn, anal impaler, handjob, underage, hooker, hot video, clitoris, vaginas, fucker, pero también Dalai Lama, Marxist o extremism.

Entre la lista de palabras en chino sigue estando ETA y aparece por ejemplo Frente Patriótico Manuel Rodríguez (una organización chilena nacida en la era Pinochet) o el artista Ai Weiwei. Hay en total 1.376 términos. La lista en el fondo es poco sofisticada, pero serviría para encontrar a alguien que busca información políticamente sospechosa de China o que consume porno. Lo primero está claro que pueda interesar a una empresa china que debe seguir directrices de su Gobierno. El porno puede tener quizá connotaciones políticas o puede servir también para posibles coacciones o chantajes.

El informe lituano da poca evidencia, pero cree que esta lista encontrada en dispositivos Xiaomi sirve para filtrar contenido: “Se cree que esta función permite a un dispositivo Xiaomi realizar un análisis del contenido multimedia que entra en el teléfono del objetivo”, dice el informe. “Y luego buscar palabras clave basadas en esta lista negra recibida para el servidor”, añade. Una vez hecho esto, el dispositivo puede filtrar contenido para que el usuario no lo vea. Lituania admite que está función ha sido “desactivada” en la Unión Europea.

La magnitud real del problema

Los problemas de seguridad en las aplicaciones no ocurre solo en teléfonos chinos, sino que afecta potencialmente a todos los fabricantes, señalan los investigadores

Hay sin embargo una frase en el informe original que describe mejor la magnitud real del problema: “Es importante recalcar que esta función se activa remotamente por el fabricante”. Las aplicaciones preinstaladas en móviles Android constituyen uno de los campos más oscuros del sector y con una evidencia científica aplastante. Los investigadores que han analizado este fenómeno en Android no ven nada sorprendente en que un fabricante chino pueda activar en remoto un programa o cambiar su función mediante una actualización, sin que el usuario lo perciba. Les parece, de hecho, un juego de niños.

“En muchos teléfonos hay software precargado que ha sido desarrollado por varias organizaciones con la capacidad de instalar cualquier cosa de forma silenciosa, desde espionaje a troyanos”, dice Narseo Vallina, investigador principal de Imdea Networks, y coautor de una investigación pionera y premiada sobre las apps preinstaladas en móviles Android. “Si algún actor de la cadena de suministro se ve comprometido, o facilita el acceso a agentes maliciosos, nuestros dispositivos podrían verse afectados”, añade.

El informe lituano, por lo estrambótico de la lista, puede llamar la atención en la jungla de los programas preinstalados, en el que un montón de actores de la industria mete mano, pero no es responsabilidad única de nadie. Tampoco hay un policía permanente que vigile. El fabricante a menudo cede o permite la instalación de aplicaciones que en principio hacen algo necesario o razonable, pero que nadie controla, vigila ni verifica en el origen ni en sus futuras actualizaciones. El móvil que compramos puede acabar tomando datos o haciendo cosas distintas unos meses después de la compra, como demuestra el cambio en la lista de palabras no permitidas de Xiaomi. Por ejemplo, el móvil de una persona china o extranjera que de repente se posiciona en público a favor de los uigures o del Tíbet desde su Xiaomi puede empezar a mandar datos o descargar información sin que el usuario lo sepa.

“El concepto de instaladas en fábrica no existe desde el momento en que las actualizaciones se producen continuamente, comenzando por el momento en que enciendes el teléfono por primera vez”, dice Juan Tapiador, catedrático de la Universidad Carlos III y coautor de la investigación con Vallina. “Es posible además segmentar a los usuarios y realizar instalaciones particulares para grupos de ellos, por ejemplo, por modelo de dispositivo o por localización geográfica, lo que complica aún más poder hablar de qué hay instalado de fábrica en un mismo dispositivo”, añade.

Tras la publicación de este artículo, Xiaomi escribió a EL PAÍS para aclarar que la compañía “cumple plenamente con todos los requisitos del Reglamento de Protección de Datos” de la Unión Europea y que sus dispositivos “no restringen ni filtran las comunicaciones hacia o desde nuestros usuarios”. Este periódico preguntó a Xiaomi si confirmaban que esas aseveraciones se extendían al software de terceros que incluyen sus dispositivos de fábrica. Otra portavoz de la compañía en España respondió que no tenían nada que decir sobre ese asunto, como hace el resto de la industria. El contenido de este artículo sobre la responsabilidad última de las aplicaciones preinstaladas en el ecosistema Android sigue por tanto sin aclararse.

Lo actualizamos cuando queremos

La tienda de apps Mi de Xiaomi, una firma que planea unificar su catálogo junto a otras compañías chinas como Oppo, Vivo y Huawei

La tienda de apps Mi de Xiaomi, una firma que planea unificar su catálogo junto a otras compañías chinas como Oppo, Vivo y Huawei

Tapiador y Vallina han publicado este año un nuevo artículo sobre la facilidad con la que aplicaciones preinstaladas básicas para el funcionamiento del móvil pueden actualizarse y cambiar su cometido inicial o adaptarlo a un nuevo objetivo: “Cuando hicimos el trabajo de preinstaladas, no sabíamos qué apps estaban allí desde el momento en que el usuario compró el teléfono y cuáles aterrizaron más tarde”, dice Tapiador. “En el caso de las actualizaciones, son aplicaciones del sistema que, por su propia naturaleza, tienen unos privilegios muy elevados. La mayoría de estos privilegios son necesarios para que puedan operar bien, pero también pueden abusarse con facilidad. No es algo que pueda resolverse sencillamente a nivel técnico, pero una mayor transparencia en el proceso ayudaría a incrementar la confianza y facilitaría la identificación de abusos”, añade.

Esto no ocurre solo en teléfonos chinos, sino potencialmente en todos. “Es difícil saber cómo está de extendido en general”, dice Juan Caballero, investigador de Imdea Software y coautor de un artículo sobre mercados de aplicaciones citado en el informe lituano. “Hemos encontrado muchos problemas de privacidad, pero es difícil generalizar para vendedores de teléfonos grandes como Huawei y Xiaomi. Pero sí que hay empresas más pequeñas que han tenido muchos problemas. Se ha visto que claramente era una cosa sistémica”, añade.

Un terminal barato puede tener más programas preinstalados porque los fabricantes esperan seguir ganando dinero vendiendo datos de uso de sus clientes. “Muchos usuarios piensan que compran el teléfono y ya está, pero no”, dice Caballero. “La relación va más allá. Para una parte de los fabricantes, el negocio continúa con tus datos, con acuerdos con terceros normalmente en el ámbito de la publicidad. Los vendedores chinos e indios atacan el mercado de muy bajo coste, con márgenes enanos. Eso sobre todo afecta a móviles de esos países con terminales más baratos y hay más. No es la única razón, pero es fundamental”, añade.

Por qué no es un escándalo enorme

¿Por qué todo este presunto mercadeo de datos no es más conocido y transparente? Es una pregunta compleja. Todos los usuarios necesitan en el fondo su Android sin tener que pensar todo el rato en que los pueden estar vigilando o espiando. Es el gran cuello de botella de la privacidad: pocos tienen en principio algo que temer, se dice. Hasta que un día, alguien puede querer saber detalles de tu vida porque se ha cruzado alguna desconocida línea roja.

“Hay muchos aspectos sociales, regulatorios y económicos que pueden influir en el relativo impacto que este tipo de descubrimiento puede tener”, dice Vallina. “Por un lado, por ejemplo, la forma en la que el Reglamento General de Protección de Datos define las responsabilidades que cada país tiene para ejercitar el cumplimiento de la norma pone la responsabilidad en países con intereses económicos contrapuestos”, dice.

Fold3 y Z Flip3: Samsung vende más de un millón de teléfonos plegables Galaxy Z

Aunque a nivel regulatorio despierte lógicamente más interés, sigue siendo un panorama muy complejo plagado de intereses contrapuestos. “Si hablamos de reguladores es un poco distinto. Sí se lo toman en serio, pero hay muchos proveedores, con muchos modelos y con acuerdos con entidades terceras que es de donde vienen muchos problemas”, dice Caballero.

En el informe lituano citan también los problemas que da la tienda de aplicaciones de Huawei. Cuando un usuario no encuentra ahí la aplicación que busca, lo mandan a otro mercado, con apenas controles. “Huawei te redirige a terceras entidades cuando una app no está en su tienda. En nuestro último artículo mostramos que en esos mercados de terceros la probabilidad de que descargues malware (un programa malicioso) o un programa que potencialmente no quieres (PUP, en sus siglas en inglés) es cinco veces más altas que si lo descargas de la Play Store. Con esa política Huawei rebaja tu seguridad y muchos usuarios no son conscientes”, añade.

close

Suscribite a nuestro boletín informativo diario. Completamente GRATUITO.

¡No enviamos spam!