El software espía es la norma en China, país que produce teléfonos para todo el mundo

Kryptowire, una firma de seguridad, ha identificado recientemente varios modelos de Android que tenían preinstalados softwares permanentes, conocidos como firmware, que permiten un acceso no autorizado a datos e información personal, incluyendo mensajes de texto, geolocalización, la lista de contactos, y el registro de llamadas, y las transmite a una tercera parte, un servidor en Shanghái, China.

Sin el consentimiento de los usuarios, el código puede sobrepasar los permisos de Android. Esto permitiría a cualquiera interesado en datos de usuarios de móvil –desde funcionarios del gobierno hasta hackers maliciosos– a ejecutar comandos de forma remota con privilegios del sistema, e incluso reprogramar los dispositivos.

El firmware fue desarrollado por la compañía china Shanghai ADUPS Technology Company. ADUPS confirmó el informe con un comunicado explicando que el software era una “solución” a la demanda de los fabricantes de móviles chinos de “evitar mensajes y llamadas basura” en respuesta de las demandas de los usuarios. Decía que los mensajes recolectados serían analizados para “identificar mensajes basura” y “mejorar la experiencia con el teléfono”.

La investigación de Kryptowire revela que la información recogida estaba protegida con múltiples capas de cifrado y era posteriormente transmitida a través de protocolos web seguros a un servidor localizado en Shanghái. La transmisión de datos se daba cada 72 horas para los mensajes de texto y los registros de llamada, y cada 24 horas para otros datos de identificación personal. (Lea "¿Cómo mejorar Twitter? Que lo compren los usuarios")

ADUPS explicó que el firmware “acostumbrado” fue accidentalmente colocado en 120.000 productos móviles de una fábrica de móviles estadounidense BLU Products. Después de que BLU abordase el tema, ADUPS explicó que el software no estaba diseñado para los móviles estadounidenses y desactivó el programa en los móviles de BLU.

La noticia ha sido ampliamente comentada en los medios extranjeros, ya que AUPS está entre los mayores proveedores FOTA (Firmware por el aire, literalmente) del mundo. La compañía provee una plataforma en la nube para la administración de dispositivos móviles a más de 700 millones de usuarios activos en 200 países, el equivalente al 70% del mercado global, ya que trabaja codo a codo con las mayores fábricas de móviles baratos, ZTE y Huawei, ambas con base en China. Sólo en 2015, Huawei vendió más de 100 millones de smartphones.

Los internautas chinos no se han sorprendido con las noticias. Noticias sobre softwares espía preinstalados en marcas chinas de móviles han circulado durante muchos años entre las comunidades de habla china, tanto en el propio país como en el extranjero. En 2014, la Revista de Android de Hong Kong informó de que los móviles de Xiaomi diseñados para mercados extranjeros se conectaban automáticamente a una IP de Pekín, y que todos los documentos, SMS y registros telefónicos, y vodeos descargados estaban siendo transmitidos a un servidor pekinés.

En 2015, una compañía de seguridad con base en Alemania, G-Data, también se encontró con que al menos 26 marcas Android de móvil tenían preinstalados softwares espía en sus dispositivos. Los tres mayores fabricantes de smartphones chinos, Xiaomi, Huawei, y Lenovo estaban en la lista.

La recientemente aprobada Ley de Ciberseguridad ha proporcionado base legal para las operaciones en las que no se tiene el permiso del usuario para acceder al móvil. La ley requiere “operadores de infraestructura de información crítica” para almacenar la “información personal y otros datos importantes” de los usuarios.

Otras leyes, como la de Protección al Menor (todavía proyecto de ley), también requieren que las compañías de hardware preinstalen softwares de vigilancia en dispositivos de comunicación, y legalicen enfoques específicos para tratar la adicción a internet, todo ello en pos de proteger a los niños.

Además de la vigilancia de datos privados, como pide la ley, los usuarios de Android chinos descargan regularmente aplicaciones desde tiendas de aplicaciones de terceras partes no oficiales, ya que Google dejó China en 2010. Estos Android markets están repletos de apps que contienen malware que puede robar y manipular los datos personales.

El 16 de noviembre el New York Times informó que las autoridades estadounidense dicen que no está claro  si se trata de una recopilación secreta de datos con fines publicitarios, o un esfuerzo del gobierno chino para obtenerlos.

En respuesta a las noticias, muchos internautas chinos señalan que el uso abusivo de datos personales, y la vigilancia del gobierno se ha convertido en la norma.

*La versión original de este texto fue publicada por Global Voices. La traducción es de Andrea García. Licencia Creative Commons.