Por qu¨¦ la recomendaci¨®n de deshacerse de los m¨®viles Xiaomi revela una amenaza m¨¢s grave de lo que parece

El Ministerio de Defensa de Lituania public¨® un informe a finales de septiembre donde recomendaba a sus ciudadanos deshacerse de algunos modelos de m¨®viles chinos. Tras ese informe, Alemania admiti¨® hace unos d¨ªas una investigaci¨®n sobre m¨®viles Xiaomi, la marca m¨¢s vendida en Europa por primera vez en el segundo trimestre de 2021, sin especificar el motivo. Ambas decisiones acapararon titulares y pusieron de nuevo en el punto de mira la tecnolog¨ªa que exporta el gigante asi¨¢tico. Pero el desaf¨ªo va mucho m¨¢s all¨¢, afecta a todo el ecosistema Android, y tiene que ver con las aplicaciones que vienen preinstaladas en cualquier tel¨¦fono y cuyas actualizaciones, que nadie controla ni vigila, pueden suponer un riesgo para los usuarios.

La denuncia que m¨¢s llam¨® la atenci¨®n del informe lituano fue una lista de 449 palabras en caracteres chinos que el dispositivo pod¨ªa encontrar y bloquear. Muchas ten¨ªan connotaciones pol¨ªticas sobre China: ¡°Tibet libre¡±, ¡°Movimiento democr¨¢tico 89¡å, ¡°Larga vida Taiw¨¢n libre¡± o sobre los uigures. Pero tambi¨¦n estaban ¡°nazi¡±, grupos terroristas isl¨¢micos e incluso ¡°ETA¡±. Pero d¨ªas despu¨¦s, el 27 de septiembre, el Ministerio de Defensa lituano public¨® un ap¨¦ndice con nuevas palabras, algunas ya directamente en ingl¨¦s e incluso espa?ol. La mayor¨ªa est¨¢ relacionada con el sexo: porno, pornos, porn, anal impaler, handjob, underage, hooker, hot video, clitoris, vaginas, fucker, pero tambi¨¦n Dalai Lama, Marxist o extremism.

Entre la lista de palabras en chino sigue estando ETA y aparece por ejemplo Frente Patri¨®tico Manuel Rodr¨ªguez (una organizaci¨®n chilena nacida en la era Pinochet) o el artista Ai Weiwei. Hay en total 1.376 t¨¦rminos. La lista en el fondo es poco sofisticada, pero servir¨ªa para encontrar a alguien que busca informaci¨®n pol¨ªticamente sospechosa de China o que consume porno. Lo primero est¨¢ claro que pueda interesar a una empresa china que debe seguir directrices de su Gobierno. El porno puede tener quiz¨¢ connotaciones pol¨ªticas o puede servir tambi¨¦n para posibles coacciones o chantajes.

El informe lituano da poca evidencia, pero cree que esta lista encontrada en dispositivos Xiaomi sirve para filtrar contenido: ¡°Se cree que esta funci¨®n permite a un dispositivo Xiaomi realizar un an¨¢lisis del contenido multimedia que entra en el tel¨¦fono del objetivo¡±, dice el informe. ¡°Y luego buscar palabras clave basadas en esta lista negra recibida para el servidor¡±, a?ade. Una vez hecho esto, el dispositivo puede filtrar contenido para que el usuario no lo vea. Lituania admite que est¨¢ funci¨®n ha sido ¡°desactivada¡± en la Uni¨®n Europea.

La magnitud real del problema

Hay sin embargo una frase en el informe original que describe mejor la magnitud real del problema: ¡°Es importante recalcar que esta funci¨®n se activa remotamente por el fabricante¡±. Las aplicaciones preinstaladas en m¨®viles Android constituyen uno de los campos m¨¢s oscuros del sector y con una evidencia cient¨ªfica aplastante. Los investigadores que han analizado este fen¨®meno en Android no ven nada sorprendente en que un fabricante chino pueda activar en remoto un programa o cambiar su funci¨®n mediante una actualizaci¨®n, sin que el usuario lo perciba. Les parece, de hecho, un juego de ni?os.

¡°En muchos tel¨¦fonos hay software precargado que ha sido desarrollado por varias organizaciones con la capacidad de instalar cualquier cosa de forma silenciosa, desde espionaje a troyanos¡±, dice Narseo Vallina, investigador principal de Imdea Networks, y coautor de una investigaci¨®n pionera y premiada sobre las apps preinstaladas en m¨®viles Android. ¡°Si alg¨²n actor de la cadena de suministro se ve comprometido, o facilita el acceso a agentes maliciosos, nuestros dispositivos podr¨ªan verse afectados¡±, a?ade.

El informe lituano, por lo estramb¨®tico de la lista, puede llamar la atenci¨®n en la jungla de los programas preinstalados, en el que un mont¨®n de actores de la industria mete mano, pero no es responsabilidad ¨²nica de nadie. Tampoco hay un polic¨ªa permanente que vigile. El fabricante a menudo cede o permite la instalaci¨®n de aplicaciones que en principio hacen algo necesario o razonable, pero que nadie controla, vigila ni verifica en el origen ni en sus futuras actualizaciones. El m¨®vil que compramos puede acabar tomando datos o haciendo cosas distintas unos meses despu¨¦s de la compra, como demuestra el cambio en la lista de palabras no permitidas de Xiaomi. Por ejemplo, el m¨®vil de una persona china o extranjera que de repente se posiciona en p¨²blico a favor de los uigures o del T¨ªbet desde su Xiaomi puede empezar a mandar datos o descargar informaci¨®n sin que el usuario lo sepa.

¡°El concepto de instaladas en f¨¢brica no existe desde el momento en que las actualizaciones se producen continuamente, comenzando por el momento en que enciendes el tel¨¦fono por primera vez¡±, dice Juan Tapiador, catedr¨¢tico de la Universidad Carlos III y coautor de la investigaci¨®n con Vallina. ¡°Es posible adem¨¢s segmentar a los usuarios y realizar instalaciones particulares para grupos de ellos, por ejemplo, por modelo de dispositivo o por localizaci¨®n geogr¨¢fica, lo que complica a¨²n m¨¢s poder hablar de qu¨¦ hay instalado de f¨¢brica en un mismo dispositivo¡±, a?ade.

Tras la publicaci¨®n de este art¨ªculo, Xiaomi escribi¨® a EL PA?S para aclarar que la compa?¨ªa ¡°cumple plenamente con todos los requisitos del Reglamento de Protecci¨®n de Datos¡± de la Uni¨®n Europea y que sus dispositivos ¡°no restringen ni filtran las comunicaciones hacia o desde nuestros usuarios¡±. Este peri¨®dico pregunt¨® a Xiaomi si confirmaban que esas aseveraciones se extend¨ªan al software de terceros que incluyen sus dispositivos de f¨¢brica. Otra portavoz de la compa?¨ªa en Espa?a respondi¨® que no ten¨ªan nada que decir sobre ese asunto, como hace el resto de la industria. El contenido de este art¨ªculo sobre la responsabilidad ¨²ltima de las aplicaciones preinstaladas en el ecosistema Android sigue por tanto sin aclararse.

Lo actualizamos cuando queremos

Tapiador y Vallina han publicado este a?o un nuevo art¨ªculo sobre la facilidad con la que aplicaciones preinstaladas b¨¢sicas para el funcionamiento del m¨®vil pueden actualizarse y cambiar su cometido inicial o adaptarlo a un nuevo objetivo: ¡°Cuando hicimos el trabajo de preinstaladas, no sab¨ªamos qu¨¦ apps estaban all¨ª desde el momento en que el usuario compr¨® el tel¨¦fono y cu¨¢les aterrizaron m¨¢s tarde¡±, dice Tapiador. ¡°En el caso de las actualizaciones, son aplicaciones del sistema que, por su propia naturaleza, tienen unos privilegios muy elevados. La mayor¨ªa de estos privilegios son necesarios para que puedan operar bien, pero tambi¨¦n pueden abusarse con facilidad. No es algo que pueda resolverse sencillamente a nivel t¨¦cnico, pero una mayor transparencia en el proceso ayudar¨ªa a incrementar la confianza y facilitar¨ªa la identificaci¨®n de abusos¡±, a?ade.

Esto no ocurre solo en tel¨¦fonos chinos, sino potencialmente en todos. ¡°Es dif¨ªcil saber c¨®mo est¨¢ de extendido en general¡±, dice Juan Caballero, investigador de Imdea Software y coautor de un art¨ªculo sobre mercados de aplicaciones citado en el informe lituano. ¡°Hemos encontrado muchos problemas de privacidad, pero es dif¨ªcil generalizar para vendedores de tel¨¦fonos grandes como Huawei y Xiaomi. Pero s¨ª que hay empresas m¨¢s peque?as que han tenido muchos problemas. Se ha visto que claramente era una cosa sist¨¦mica¡±, a?ade.

Un terminal barato puede tener m¨¢s programas preinstalados porque los fabricantes esperan seguir ganando dinero vendiendo datos de uso de sus clientes. ¡°Muchos usuarios piensan que compran el tel¨¦fono y ya est¨¢, pero no¡±, dice Caballero. ¡°La relaci¨®n va m¨¢s all¨¢. Para una parte de los fabricantes, el negocio contin¨²a con tus datos, con acuerdos con terceros normalmente en el ¨¢mbito de la publicidad. Los vendedores chinos e indios atacan el mercado de muy bajo coste, con m¨¢rgenes enanos. Eso sobre todo afecta a m¨®viles de esos pa¨ªses con terminales m¨¢s baratos y hay m¨¢s. No es la ¨²nica raz¨®n, pero es fundamental¡±, a?ade.

Por qu¨¦ no es un esc¨¢ndalo enorme

?Por qu¨¦ todo este presunto mercadeo de datos no es m¨¢s conocido y transparente? Es una pregunta compleja. Todos los usuarios necesitan en el fondo su Android sin tener que pensar todo el rato en que los pueden estar vigilando o espiando. Es el gran cuello de botella de la privacidad: pocos tienen en principio algo que temer, se dice. Hasta que un d¨ªa, alguien puede querer saber detalles de tu vida porque se ha cruzado alguna desconocida l¨ªnea roja.

¡°Hay muchos aspectos sociales, regulatorios y econ¨®micos que pueden influir en el relativo impacto que este tipo de descubrimiento puede tener¡±, dice Vallina. ¡°Por un lado, por ejemplo, la forma en la que el Reglamento General de Protecci¨®n de Datos define las responsabilidades que cada pa¨ªs tiene para ejercitar el cumplimiento de la norma pone la responsabilidad en pa¨ªses con intereses econ¨®micos contrapuestos¡±, dice.

Aunque a nivel regulatorio despierte l¨®gicamente m¨¢s inter¨¦s, sigue siendo un panorama muy complejo plagado de intereses contrapuestos. ¡°Si hablamos de reguladores es un poco distinto. S¨ª se lo toman en serio, pero hay muchos proveedores, con muchos modelos y con acuerdos con entidades terceras que es de donde vienen muchos problemas¡±, dice Caballero.

En el informe lituano citan tambi¨¦n los problemas que da la tienda de aplicaciones de Huawei. Cuando un usuario no encuentra ah¨ª la aplicaci¨®n que busca, lo mandan a otro mercado, con apenas controles. ¡°Huawei te redirige a terceras entidades cuando una app no est¨¢ en su tienda. En nuestro ¨²ltimo art¨ªculo mostramos que en esos mercados de terceros la probabilidad de que descargues malware (un programa malicioso) o un programa que potencialmente no quieres (PUP, en sus siglas en ingl¨¦s) es cinco veces m¨¢s altas que si lo descargas de la Play Store. Con esa pol¨ªtica Huawei rebaja tu seguridad y muchos usuarios no son conscientes¡±, a?ade.

Puedes seguir a EL PA?S TECNOLOG?A en Facebook y Twitter o apuntarte aqu¨ª para recibir nuestra newsletter semanal.