Exclusiva: app My 2022 de Pekín suceptible a hackeo
18 de enero de 2022
Los atletas que participan en los Juegos Olímpicos de Invierno de Pekín están en los últimos preparativos de viaje, incluyendo el cumplimiento de las medidas sanitarias de China con la aplicación para dispositivos móviles "My 2022". Sin embargo, las medidas insuficientes de encriptación de la aplicación abren la puerta a que atletas, periodistas y funcionarios deportivos sean víctimas de hackers que violen las reglas de privacidad y vigilancia, según un informe de ciberseguridad del Citizen Lab obtenido en exclusiva por DW.
Los especialistas en informática forense descubrieron que la aplicación incluye una lista de palabras clave para filtrar.
Las revelaciones se dan en momentos en los que aumenta la preocupación internacional por la seguridad digital en estas Olimpiadas. Alemania, Australia, Reino Unido y Estados Unidos han instado a sus atletas y comités olímpicos nacionales a dejar sus teléfonos y ordenadores portátiles personales en casa y a viajar con dispositivos especiales por temor al espionaje digital.
El Comité Olímpico Holandés prohibió rotundamente a sus atletas llevar teléfonos personales y ordenadores portátiles por temor a la vigilancia.
Aplicación "My2022" para localizar contactos y mucho más
Los Juegos de Invierno, que comienzan el 4 de febrero, son los segundos Juegos Olímpicos durante la pandemia de COVID-19. Al igual que en los Juegos de Verano de Tokio, es necesario hacer un seguimiento de la salud de los atletas.
Según el Playbook oficial del Comité Olímpico Internacional (COI) atletas, entrenadores, reporteros, funcionarios deportivos, así como miles de empleados locales deben introducir sus datos en la aplicación para dispositivos móviles "My 2022" o en el sitio web. La app, desarrollada en China, está diseñada para controlar la salud de todos los asistentes y del personal, así como para rastrear posibles infecciones por COVID.
Los datos del pasaporte y la información del vuelo deben introducirse en la aplicación. También se requiere información médica sensible relacionada con posibles síntomas de COVID, como si la persona tuvo fiebre, fatiga, dolores de cabeza, tos seca, diarrea o dolor de garganta. Las personas procedentes del extranjero deben empezar a introducir los datos sanitarios 14 días antes de entrar en el país.
Muchos países utilizan una aplicación de localización de contactos para ayudar a combatir la pandemia. Pero "My2022" combina la localización de contactos con otros servicios: regula el acceso a los eventos, actúa como guía de visitantes con información sobre lugares deportivos y servicios turísticos, así como funciones de chat (texto y audio), noticias y transferencia de archivos.
La descripción en la App Store de Apple dice que My2022 "ofrece un servicio personalizado para que diferentes grupos de usuarios disfruten de una experiencia de los juegos completa con una sola aplicación".
Transmisión insegura de datos
Citizen Lab, que investiga la seguridad digital en la Munk School of Global Affairs de la Universidad de Toronto y que participó en la denuncia del programa espía, examinó la aplicación y descubrió que es vulnerable al robo electrónico.
Los certificados SSL de la aplicación, que se supone que garantizan que el tráfico de datos solo se intercambia entre dispositivos y servidores de confianza, no están validados, lo que significa que la aplicación tiene una grave vulnerabilidad de cifrado. Como resultado, la aplicación podría ser "engañada" para conectarse con un host maligno, lo que permitiría interceptar información o incluso enviar datos infectados a la aplicación.
El investigador de Citizen Lab, Jeffrey Knockel, afirma que la vulnerabilidad no solo implica a los datos sanitarios, sino también a otros servicios importantes de la aplicación. Esto incluye el servicio que procesa todos los archivos adjuntos, así como la transferencia de audios de voz.
El experto sostiene que también ha descubierto que, en algunos servicios, el tráfico de datos de la aplicación no está cifrado en absoluto. Esto significa que los metadatos del propio servicio de chat de la app pueden ser leídos fácilmente por hackers.
"Nuestros hallazgos exponen cómo las medidas de seguridad de My2022 son totalmente insuficientes para evitar que los datos sensibles sean revelados a terceros no autorizados", afirma Knockel en el informe.
¿Censura? Los términos prohibidos plantean dudas
Los investigadores de Citizen Lab también encontraron un archivo de texto en la aplicación llamado "illegalwords.txt". Contiene 2.442 palabras y frases, escritas principalmente en chino simplificado (utilizado en la República Popular China), pero también una pequeña parte en uigur, tibetano, chino tradicional (utilizado en Hong Kong y Taiwán) e inglés.
Entre las numerosas palabras clave hay algunas obscenidades, pero también expresiones que hacen referencia a tabúes políticos en la China comunista que son censurados por el Estado, como: las críticas al Partido Comunista Chino y a sus dirigentes, palabras clave relacionadas con Falun Gong, las protestas de Tiananmen, el Dalai Lama, y la minoría musulmana uigur de la región china de Xinjiang. Un ejemplo de la lista revisada por Citizen Lab es el término "Sagrado Corán" en lengua uigur.
Citizen Lab, que tiene una gran experiencia en el análisis de seguridad de aplicaciones, afirma que no hay indicios en la versión actual de la aplicación de que esta lista de palabras clave se esté utilizando activamente para la censura. No está claro por qué la lista de palabras clave está presente en la aplicación. Pero el investigador Knockel afirma: "aunque 'illegalwords.txt' no se está utilizando actualmente, My2022 ya contiene funciones de código que son capaces de leer este archivo y usarlo para censura. Activar la lista con fines de censura requeriría poco esfuerzo".
La aplicación también contiene una función de denuncia que permite a los usuarios acusar a otros usuarios si consideran que un mensaje de chat es peligroso o sospechoso. Entre los posibles motivos para denunciar está la opción "contenido políticamente sensible", una frase que se suele utilizar en China para describir temas censurados.
No hay respuesta del Comité Organizador de Pekín
Citizen Lab afirma que, a principios de diciembre de 2021, presentó de forma confidencial los hallazgos al Comité Organizador de Pekín para los Juegos Olímpicos de 2022. Al hacerlo, como es habitual cuando se informa de vulnerabilidades de seguridad, Citizen Lab pidió a los organizadores de los Juegos Olímpicos de Pekín que solucionaran los problemas en un plazo de 45 días antes de que el instituto de ciberseguridad revelara públicamente sus hallazgos.
"El Comité Organizador no ha respondido a nuestro informe", dijo Knockel a DW.
Mientras tanto, se publicaron actualizaciones de la aplicación en las tiendas de aplicaciones de Apple y Google. Pero una auditoría realizada por los expertos en ciberseguridad de Citizen Lab el 17 de enero de 2022 descubrió que no se había realizado ningún cambio para responder a las preocupaciones planteadas sobre la vulnerabilidad de seguridad y la lista de "palabras ilegales."
Violación de leyes y políticas
En el Playbook Olímpico para atletas y oficiales de equipo, el Comité Olímpico Internacional afirma que la aplicación "My 2022" es "conforme a las normas internacionales y a la legislación china".
Pero basándose en sus resultados, Citizen Lab concluye que la transmisión insegura de información personal "puede constituir una violación directa de las leyes de privacidad de China". Esto se debe a que las leyes de protección de datos de China exigen que los registros médicos y de salud de una persona que se conservan digitalmente se transmitan y almacenen de forma encriptada.
Los hallazgos de Citizen Lab también abren preguntas para los dos gigantes tecnológicos occidentales que ofrecen la aplicación "My2022": Apple y Google.
"Tanto las políticas de Apple como las de Google prohíben que las aplicaciones transmitan datos confidenciales sin un cifrado adecuado, por lo que Apple y Google tendrán que determinar si los problemas de vulnerabilidad no resueltos de la aplicación justifican su exclusión de sus tiendas de aplicaciones", dijo Knockel de Citizen Lab a DW.
El Comité Organizador de Pekín ha defendido su aplicación afirmando que "ha pasado el examen" de las tiendas internacionales de aplicaciones móviles, como Google, Apple y Samsung.
"Hemos tomado medidas como la encriptación de la información personal en la aplicación para garantizar la seguridad de la privacidad", dijo el comité el lunes a la Agencia de Noticias Xinhua.
(gg/chp)