Aunque las autoridades chinas prometieron abrir temporalmente una grieta en su "Gran Cortafuegos" durante los Juegos Olímpicos de Pekín para que los atletas extranjeros y asistentes tengan acceso ilimitado a internet, las preocupaciones en torno a la cibervigilancia que puede ejercer la potencia asiática van en aumento.
Hace menos de dos semanas, en Escudo Digital informábamos que diversos países occidentales han pedido a sus deportistas olímpicos que tomen ciertas precauciones para evitar que puedan ser monitoreados a través de la tecnología. Y desde entonces, expertos en seguridad han advertido que hay razones para tener cuidado y China no ha tenido reparos en anunciar que va a lanzar una campaña de un mes de duración para regular el contenido en internet.
El miedo a la cibervigilancia se disparó el pasado 18 de enero, cuando salió a la luz un informe que reveló que MY2022, la aplicación de monitoreo de salud obligatoria para todos los asistentes a los Juegos Olímpicos de Pekín, contiene fallos de seguridad que podrían filtrar información confidencial de los usuarios. Según la guía oficial del gobierno chino sobre los JJ.OO., esta app ha sido creada por el Comité Organizador de Pekín explícitamente para estos Juegos.
Los problemas de seguridad de la app MY2022
El informe es el resultado de una investigación llevada a cabo por Citizen Lab, laboratorio interdisciplinario de asuntos globales y políticas públicas de la Universidad de Toronto. En él, se advierte que MY2022 tiene dos vulnerabilidades relacionadas con la seguridad de la transmisión de los datos de los usuarios. Por un lado, no valida los certificados SSL, por lo que no comprueba a quién envía datos confidenciales cifrados. Esto podría permitir a actores malintencionados, por ejemplo, "leer información confidencial demográfica, de pasaporte, de viaje y médica de una víctima enviada en una declaración de salud aduanera o enviar instrucciones maliciosas a una víctima después de completar un formulario". Y, por otro, no protege con ningún tipo de filtrado las transmisiones de datos, lo que significa que algunos datos confidenciales, "incluidos los nombres de los remitentes y destinatarios de los mensajes y los identificadores de sus cuentas de usuario", se transmiten sin ningún tipo de seguridad.
"Tales datos pueden ser leídos por cualquier intruso pasivo, como alguien dentro del alcance de un punto de acceso wifi no seguro, alguien que opera un punto de acceso wifi o un proveedor de servicios de internet u otra compañía de telecomunicaciones", se lee en el informe.
Además de estas vulnerabilidades, Citizen Lab señala que MY2022 incorpora funciones que permiten a los usuarios denunciar contenido "políticamente sensible" y que también contiene una lista de palabras de censura enfocadas en diversos temas políticos, incluidos asuntos internos como Xinjiang y el Tíbet, así como referencias a agencias gubernamentales chinas.
"Si bien el proveedor no respondió a nuestra divulgación de seguridad, encontramos que los déficits de seguridad de la aplicación pueden no solo violar la Política de software no deseado de Google y las pautas de la tienda de aplicaciones de Apple, sino también las propias leyes de China y los estándares nacionales relacionados con la protección de la privacidad, lo que brinda vías potenciales para futuras reparaciones", sostiene el documento.
El COI desestimó la investigación y contradijo a Citizen Lab
En declaraciones para Deutsche Welle, el Comité Olímpico Internacional (COI) desestimó la investigación de Citizen Lab afirmando que la aplicación había sido evaluada de forma independiente por dos organizaciones de ciberseguridad y concluyeron que "no tiene vulnerabilidades críticas".
"La aplicación 'My2022' es una herramienta importante en la caja de herramientas de medidas contra la COVID-19", se lee en el comunicado emitido por el COI. "La aplicación 'My2022' es compatible con la función de control de la salud".
El COI aseguró que el usuario puede configurar la aplicación para deshabilitar el acceso a funciones como "archivos y medios, calendario, cámara, contactos", así como la ubicación del usuario, su teléfono y el micrófono de su teléfono. El Comité también subrayó que MY2022 había recibido la aprobación de Google Play Store y de la App Store y negó que la aplicación sea obligatoria, tal y como indicaba el informe de Citizen Lab.
"No es obligatorio instalar 'My 2022' en los teléfonos móviles, ya que el personal acreditado puede iniciar sesión en el sistema de monitoreo de salud en la página web", declaró el COI, que también afirmaba haber solicitado el informe de Citizen Labs para entender mejor las preocupaciones de su investigación.
Se descubre que MY2022 recopila y envía audio a servidores chinos
La seguridad de la aplicación de los Juegos Olímpicos ha vuelto a ponerse en entredicho a raíz de que un experto en ciberseguridad llamado Jonathan Scott haya publicado este pasado miércoles en GitHub un detallado análisis de MY2022 realizado a través de ingeniería inversa. Según ha concluido, "todo el audio de los (atletas) olímpicos se recolecta, analiza y almacena en servidores chinos usando tecnología de una empresa de inteligencia artificial vetada por Estados Unidos".
After reverse engineering all of the #Beijing2022 #spyware app for @Apple #ios and @Google #Android
— Jonathan Scott (@jonathandata1) January 26, 2022
I can definitively say all Olympian audio is being collected, analyzed and saved on Chinese servers using tech from USA blacklisted AI firm @iflytek1999 https://t.co/9wX1sP8PZP pic.twitter.com/hdIfiKX37m
La investigación de Citizen Lab ya indicaba que MY2022 utilizaba tecnología de recolección de audio de iFlytek, una empresa que forma parte de la lista negra de los Estados Unidos por "desatender los derechos humanos". Según señalaba, solo usaba iFlytek para la función de traducción, pero Scott ha afirmado que esto es impreciso porque la recolección de datos es constante y también abarca información de tarjetas bancarias, registros de transacciones, saldos, cupones, y otros elementos, según ha comprobado en la descripción de una de las APIS de terceras partes integradas en la aplicación.
it is important to read the decrypted iOS binary and files I have posted.
— Jonathan Scott (@jonathandata1) January 28, 2022
TSetting_userAgreement_en.html@citizenlab missed Syswin Interconnected 3rd Party Vendor, they collect
transaction records, balances, coupons, game exchange codes, bank card information, etc. pic.twitter.com/9iHdKLFi5f
Scoot ha calificado a iFlytek como "una conocida empresa China de spyware" y, ante la pregunta de un usuario de Twitter, ha resaltado que la aplicación se fuerza a sí misma para estar en el primer plano del dispositivo para asegurarse así de tener la capacidad de escuchar.
it doesn't get rid of the dot, the application forces itself to the foreground to make sure it has the capability to listen. so for example on android
— Jonathan Scott (@jonathandata1) January 27, 2022
<uses-permission android:name="android.permission.REORDER_TASKS"/>
for iOS a monitor is triggered & brings the app up front pic.twitter.com/5zbdT9WTfi
China anuncia que monitoreará contenidos en línea durante un mes
A pesar de las crecientes preocupaciones de cibervigilancia por parte de China, la Administración del Ciberespacio de China (CAC) lanzó este pasado martes una campaña de "limpieza del ciberespacio" de un mes de duración para regular el contenido en internet durante el Año Nuevo Chino y los Juegos Olímpicos.
Según explicó en un comunicado publicado en su cuenta oficial de WeChat, el objetivo es "rectificar el desorden en internet, frenar la difusión de la cultura malsana" para "crear un entorno en línea sano, festivo y armonioso para los usuarios de Internet, especialmente para los menores durante el Año Nuevo chino".
La Administración anunció que su monitorización estará centrada en cinco áreas que abarcan desde supersticiones feudales ancestrales, hasta temas relacionados con el ciberacoso, la pornografía, el suicidio y la violencia. También se enfocará en combatir la difusión de rumores en la red, de los escándalos de las celebridades, así como en cualquier comportamiento online que pudiera considerarse que muestra estilos de vida fastuosos, por lo que fomentan el culto al dinero, a los famosos o a las supersticiones feudales.
Finalmente, cabe recordar que los Juegos Olímpicos de Invierno de Pekín arrancan el próximo 4 de febrero. La cuenta atrás ya ha comenzado y no hay ningún indicio para pensar que van a dejar de estar rodeados del miedo a la cibervigilancia.