Todos nos hemos preguntado si nuestros teléfonos nos están espiando, quizás grabando nuestra información o filtrándola de alguna manera. Bueno, pues un nuevo informe ha revelado que este miedo puede haberse convertido en una pesadilla orwelliana de la vida real para algunos.
Citizen Lab ha descubierto que al menos mil millones de personas han sido susceptibles de que se registre cada pulsación de teclado en el móvil, lo que las expone a una vigilancia masiva. Después de analizar nueve de las aplicaciones de teclado más utilizadas por los hablantes de chino, ocho de ellas tenían vulnerabilidades que podían exponer completamente todos los mensajes escritos.
"Cualquiera podría detectar el tráfico y descifrarlo fácilmente, viendo todo lo que estás escribiendo", declaró Jeffrey Knockel, investigador asociado senior de Citizen Lab que trabajó en el informe. Él cree que los delincuentes y, más aún, las agencias de inteligencia probablemente hayan explotado estas vulnerabilidades para su beneficio.
"A partir de las revelaciones de Snowden, sabemos que las agencias Five Eyes han apuntado a aplicaciones chinas con criptografía deficiente para vigilancia masiva. Por lo tanto, es más que plausible que estas organizaciones de inteligencia ya estén recogiendo lo que estas personas están escribiendo. Dados los cientos de millones de usuarios que utilizan estas aplicaciones, es simplemente alarmante pensar en ello", añadió, instando a todos a actualizar inmediatamente su aplicación de teclado.
¿Qué marcas y aplicaciones se ven afectadas?
Entre agosto y noviembre de 2023, los investigadores investigaron la seguridad de las aplicaciones de teclado pinyin basadas en la nube (un método utilizado por casi el 76% de los usuarios de teclados de China continental para romanizar los caracteres chinos) de los nueve proveedores más populares.
En concreto, analizaron aplicaciones preinstaladas de Baidu, Honor, Huawei, iFlyTek, OPPO, Samsung, Tencent, Vivo y Xiaomi, en busca de vulnerabilidades durante la transmisión entre los dispositivos de los usuarios y la nube. Ocho de los nueve proveedores mostraron vulnerabilidades críticas que los investigadores podrían explotar para revelar completamente el contenido de lo que los usuarios escribían mientras estos datos estaban en tránsito.
"Curiosamente, Huawei fue la única empresa que obtuvo nuestro permiso", dijo Knockel.
La última investigación sigue a un estudio anterior de Citizen Lab sobre aplicaciones de teclado similares desarrolladas por el proveedor Sogou, que reveló las mismas vulnerabilidades. Ambos hallazgos sugieren que al menos mil millones de hablantes de chino se han visto afectados. Citizen Lab informó los hallazgos a todos los proveedores y la mayoría de ellos solucionó todos los problemas rápidamente.
A partir del 1 de abril de 2024, solo las aplicaciones de Honor siguen siendo vulnerables a posibles ataques. A continuación se muestra una lista de todas las vulnerabilidades que los investigadores han encontrado para cada proveedor:
- Baidu: aplicación de Windows (los espías de red pueden descifrar transmisiones de red); Aplicaciones de Android e iOS (debilidades de privacidad y seguridad en el cifrado utilizado)
- Honor (Honor Play7T): aplicación Baidu IME Honor (los espías de red pueden descifrar transmisiones de red desde los teclados)
- Huawei (Huawei Mate 50 Pro): sin vulnerabilidades durante la transmisión de las pulsaciones de los usuarios. En particular, Huawei utilizó TLS para cifrar las pulsaciones de teclas en las versiones de la aplicación analizadas.
- iFlyTek: Android (los espías de la red pueden recuperar el texto sin formato de transmisiones de red insuficientemente cifradas); iOS y Windows (sin vulnerabilidades durante la transmisión de las pulsaciones de teclas de los usuarios)
- OPPO (OPPO OnePlus Ace): aplicaciones de versión personalizada Baidu IME y Sogou IME (los espías de red pueden descifrar transmisiones de red desde los teclados)
- Samsung: Samsung Android y la versión incluida de Samsung, las aplicaciones Baidu IME (los espías de la red pueden recuperar el texto sin formato de transmisiones de red insuficientemente cifradas); Aplicación Sogou IME Samsung (sin vulnerabilidades)
- Tencent: Android y Windows (los espías de la red pueden recuperar el texto sin formato de las transmisiones de red cifradas)
- Vivo (Vivo Y78+): aplicación de versión personalizada Sogou IME (los espías de red pueden descifrar transmisiones de red desde los teclados); Jovi IME (sin vulnerabilidades durante la transmisión de las pulsaciones de teclas de los usuarios)
- Xiaomi (Xiaomi Mi 11): aplicaciones Baidu IME, Sogou IME e iFlyTek IME versión Xiaomi (los espías de red pueden descifrar transmisiones de red desde los teclados)
¿Cómo aprovechan los delincuentes las vulnerabilidades del teclado?
Los investigadores identificaron estas aplicaciones de teclado como potencialmente problemáticas debido a la forma en que transmiten lo que escribes a través de Internet. Todas estas aplicaciones entran en la categoría de editores de métodos de entrada (IME). Esto significa que, a diferencia de las aplicaciones de alfabeto latino de Google y Apple, donde las pulsaciones de teclas nunca abandonan tu dispositivo, estas aplicaciones tienen funciones de nube para mejorar la funcionalidad que se solicita a los usuarios que habiliten después de la instalación o en el primer uso.
Esto se hace para que sea más fácil predecir palabras o caracteres chinos, lo que suele ser mucho más difícil que, por ejemplo, el español. Sin embargo, como revelaron estudios anteriores, los teclados y métodos de entrada "basados en la nube" pueden funcionar como vectores de vigilancia al comportarse como registradores de teclas.
Un registrador de teclas es un tipo de malware, un software espía que realiza un seguimiento y registra cada pulsación de tecla mientras escribes. En pocas palabras, los registradores de teclas anotan lo que escribes en tu teclado. En algunos casos, incluso pueden permitir que los ciberdelincuentes accedan a la cámara o al micrófono de tu dispositivo.
Según los hallazgos de Citizen Lab, los atacantes pueden ejecutar con éxito ataques de escucha de red totalmente pasivos en todas las aplicaciones vulnerables. También conocido como sniffing o snooping, las escuchas se basan en comunicaciones de red no seguras para acceder a los datos en tránsito entre dispositivos. Esto significa que los atacantes pueden interceptar, eliminar o modificar datos mientras están en tránsito si no están correctamente cifrados. Pueden hacer todo eso de forma pasiva, lo que significa que no envían ningún tráfico de red adicional.
Muchos de nosotros hemos aprendido a utilizar una red privada virtual para cifrar todos los datos que salen de nuestros dispositivos. Sin embargo, Knockel declaró que ni siquiera los mejores servicios VPN pueden ayudar en este caso.
"Eso es simplemente porque el tráfico todavía se envía a través de Internet", dijo. "Cualquiera que sea el cifrado que normalmente se transmite, todavía existe la posibilidad de vigilancia después de que sale del servidor VPN".
Del mismo modo, utilizar una aplicación de mensajería cifrada segura como Signal tampoco ayuda. Al contrario, puede correr aún más peligro al hacerlo.
"Los usuarios de aplicaciones como Signal podrían estar añadiendo un mayor riesgo simplemente porque podrían estar bajo esta ilusión de seguridad que en realidad no existe", dijo Knockel. "Su aplicación de chat puede tener cifrado de extremo a extremo, pero si su teclado envía tráfico además a algún servidor, no está cifrado de extremo a extremo en absoluto".
¿Quién pudo haber sido el objetivo?
Citizen Lab podría ser el primero en informar sobre las vulnerabilidades de estas aplicaciones de teclado, pero no niegan con certeza que otros ya las hayan descubierto y explotado.
Como señala el informe, "las vulnerabilidades que descubrimos serían inevitablemente descubiertas por cualquiera que pensara en buscarlas. Además, las vulnerabilidades no requieren sofisticación tecnológica para explotarlas".
La siguiente pregunta obvia es: ¿quién pudo haber explotado estas puertas traseras durante todo este tiempo?
Si bien el Partido Comunista de China podría ser el primer sospechoso obvio, los investigadores excluyen en gran medida esta posibilidad. Esto se debe a que, como señalan, las autoridades chinas ya cuentan con todos los medios legales para acceder a las comunicaciones de los ciudadanos. Tampoco es muy plausible que el gobierno chino cree una puerta trasera tan peligrosa para que la explote cualquier otro adversario.
Las agencias de inteligencia de los países de los Five Eyes parecen una opción bastante más plausible. La filtración de Snowden de 2008 ya reveló un programa similar, conocido como XKeyscore, mediante el cual los agentes explotaron vulnerabilidades criptográficas en aplicaciones chinas.
"Dado el enorme valor de inteligencia de saber lo que los usuarios están escribiendo, podemos concluir que no sólo la NSA y, más ampliamente, los Five Eyes tienen la capacidad de explotar masivamente las vulnerabilidades que encontramos, sino también la fuerte motivación para explotarlas", dice el informe.
"La única pregunta que queda es si algún otro gobierno tenía conocimiento de estas vulnerabilidades".
🚨 WE URGE ALL USERS TO UPDATE THEIR KEYBOARD APPS IMMEDIATELY 🚨🆕 New @citizenlab report finds vulnerabilities in the security of cloud-based #pinyin #keyboard apps from vendors Baidu, Honor, iFlytek, OPPO, Samsung, Tencent, Vivo, and Xiaomi that could be exploited to reveal…April 23, 2024
¿Cómo puede proteger la privacidad de tu teclado?
Según Citizen Lab, la falta de investigación y el escepticismo hacia los estándares de seguridad occidentales son las principales razones por las que vulnerabilidades tan peligrosas no fueron detectadas durante tanto tiempo.
Si bien los investigadores ahora instan a todos los que usan una de las aplicaciones no seguras a descargar la última versión actualizada (reparada), vale la pena recordar que se necesita más investigación para excluir que otras aplicaciones de teclado o idiomas también sean vulnerables.
La buena noticia es que puedes tomar algunas medidas activamente para mitigar los riesgos.
Para empezar, mantener actualizado su sistema operativo es clave para mantener una buena higiene digital. Por lo tanto, sigue actualizando tu aplicación de teclado, así como cualquier otra aplicación, tan pronto como esté disponible una nueva versión.
Knockel también sugiere que aquellos más preocupados por su privacidad deberían cambiar de una aplicación de teclado basada en la nube a una que funcione completamente en el dispositivo.
"Los basados en la nube ofrecen mejores sugerencias chinas, por lo que es posible que no necesariamente quieras cambiar. Pero, en general, eso te pondrá en una posición más segura, al menos desde una perspectiva de seguridad y privacidad, al ni siquiera transmitir esa información en primer lugar."
Si bien no excluye que otros idiomas también puedan estar en riesgo, Knockel confirmó que Citizen Lab está investigando aplicaciones de otros países para ver si también son vulnerables. "Pero eso es todavía muy preliminar", dijo.
