Una de las aplicaciones más populares de China puede espiar a sus usuarios: “Nunca había visto nada igual”

Pinduoduo, una de las aplicaciones de comercio en línea más populares de China, tiene la capacidad de espiar a sus usuarios, al vigilar las actividades de otras aplicaciones, leer mensajes privados y cambiar la configuración, según revelaron fuentes de la empresa y confirmaron expertos en ciberseguridad.

La aplicación, que cuenta con 750 millones de usuarios, fue suspendida el mes pasado por Google en la tienda de aplicaciones Google Play por “motivos de seguridad” después de que se descubriera malware en versiones procedentes de otras fuentes.

Tras la suspensión de Google, expertos en ciberseguridad de Asia, Europa y Estados Unidos identificaron la presencia de malware en la aplicación que aprovechaba vulnerabilidades de los sistemas operativos Android.

Los expertos, consultados por CNN para una investigación publicada este lunes, dijeron que Pinduoduo “ha llevado las violaciones de la privacidad y la seguridad de los datos a un nivel superior”.

Según fuentes internas de la empresa que hablaron con CNN, los malware se utilizaban para espiar a usuarios y competidores, supuestamente para aumentar las ventas.

Investigadores de la empresa cibernética Check Point Research, con sede en Tel Aviv (Israel); la startup de seguridad de aplicaciones Oversecured, con sede en Delaware (EEUU); y la finlandesa WithSecure realizaron para CNN un análisis independientes de la versión 6.49.0 de la aplicación, publicada en las tiendas de aplicaciones chinas a finales de febrero.

Los investigadores encontraron código diseñado para lograr una “escalada de privilegios”, un tipo de ciberataque que aprovecha un sistema operativo vulnerable para obtener un nivel de acceso a los datos superior al que se supone que debe tener.

“No habíamos visto una aplicación de este tipo que tratara de escalar sus privilegios para acceder a cosas a las que no debería tener acceso”, dijo a CNN Mikko Hyppönen, director de investigación de WithSecure. “Esto es muy inusual, y es bastante condenatorio para Pinduoduo”.

Según Hyppönen, la aplicación podía seguir ejecutándose en segundo plano e impedir su desinstalación, lo que le permitía aumentar su tasa de usuarios activos mensuales. También tenía la capacidad de espiar a sus competidores rastreando la actividad de otras aplicaciones de compras y obteniendo información de ellas, añadió.

Sergey Toshin, fundador de Oversecured, dijo que el malware de Pinduoduo se dirigía específicamente a diferentes sistemas operativos basados en Android, incluidos los utilizados por Samsung, Huawei, Xiaomi y Oppo.

Toshin describió Pinduoduo como “el malware más peligroso” jamás encontrado entre las aplicaciones convencionales. “Nunca había visto nada igual. Es como, súper expansivo”, dijo.

Toshin descubrió que Pinduoduo había aprovechado unas 50 vulnerabilidades del sistema Android, que le permitían acceder a las ubicaciones, contactos, calendarios, notificaciones y álbumes de fotos de los usuarios sin su consentimiento. También podían cambiar la configuración del sistema y acceder a las cuentas de redes sociales y chats de los usuarios.

Pinduoduo cuenta con una base de usuarios que representa tres cuartas partes de la población en línea de China y tiene un valor de mercado tres veces mayor que el de eBay. Su éxito comenzó en las zonas rurales y de bajos recursos de China, ya que tiene la particularidad de ofrecer descuentos si los usuarios se unen para comprar varios artículos.

Fundada en 2015 en Shanghái por Colin Huang, un antiguo empleado de Google, la startup luchaba por establecerse en un mercado dominado durante mucho tiempo por los gigantes del comercio electrónico Alibaba y JD.com.

En 2018 comenzó a cotizar en el Nasdaq, pero en 2020 su crecimiento se desaceleró.

La empresa decidió entonces crear un equipo de unos 100 ingenieros y jefes de producto para buscar vulnerabilidades en los teléfonos Android e intentar aprovecharlas, según dijo a CNN un empleado de la empresa que habló bajo condición de anonimato.

De esta manera, la empresa comenzó a recolectar datos exhaustivos sobre las actividades de los usuarios, creando un retrato completo de sus hábitos, intereses y preferencias, según la fuente. Esto le permitió mejorar su modelo de aprendizaje automático para ofrecer notificaciones y anuncios más personalizados, atrayendo a los usuarios a abrir la aplicación y hacer pedidos.

El equipo se disolvió a principios de marzo, según la fuente, después de que salieran a la luz cuestiones sobre sus actividades.

Las revelaciones se producen en medio de las crecientes tensiones entre Estados Unidos y China en torno a aplicaciones de propiedad china como TikTok, que según algunos legisladores estadounidenses podrían constituir una amenaza para la seguridad nacional. Alegan que estas aplicaciones podrían utilizarse para espiar a usuarios estadounidenses.

Por el momento no hay pruebas de que Pinduoduo haya entregado datos al gobierno chino. No obstante, es probable que las revelaciones aumenten el escrutinio sobre su aplicación hermana Temu, que encabeza las listas de descargas en Estados Unidos y se está expandiendo rápidamente en otros mercados occidentales.

Según los expertos en política tecnológica, el aparente malware de Pinduoduo deja en evidencia la falta de supervisión de los reguladores estatales chinos, ya que supondría una violación de la Ley de Protección de Datos Personales aprobada por Beijing en 2021.

En las redes sociales chinas, algunos expertos en ciberseguridad se preguntaron por qué los reguladores no han tomado ninguna medida en unos posteos posteriormente censurados por el régimen chino.

“Probablemente ninguno de nuestros reguladores entiende de codificación y programación, ni de tecnología”, escribió la semana pasada un experto en ciberseguridad con 1,8 millones de seguidores en Weibo. “Ni siquiera puedes entender el código malicioso cuando te lo ponen delante de las narices”.

Seguir leyendo: