Tomado de: http://tecnologia.elpais.com/tecnologia/2016/11/16/actualidad/1479286884_997983.html
Una firma de ciberseguridad denuncia que Blu incluye un programa que copiaba los mensajes de texto en servidores remotos
Un software dedicado a espiar es el caballo de Troya que esconden algunos móviles de facturación china y bajo coste. Kryptowire, una empresa de seguridad, ha denunciado a través de su blog la inclusión de programas hechos para tomar el contenido de los mensajes y enviarlos a servidores cada 72 horas. Este programa estaba escondido dentro del sistema operativo, de modo que el consumidor no lo percibía como un programa sobre el que pudiera tener control. Además de copias, los mensajes incluían la localización de datos y archivo de llamadas.
La autoría del programa, según la investigación, pertenece a la empresa china Adups. Tom Karygiannis de Kryptowire insiste en que no se trata de un error o una brecha, sino de un programa creado deliberadamente para espiar. A través de un mensaje aclara que la finalidad puede ser el espionaje de estado o la venta de anuncios, pero en ambos casos se realizaría sin consentimiento del comprador del móvil.
The New York Times ha sido el primer medio en hacerse eco de esta violación de privacidad y apunta que Adups asegura contar con 700 millones de móviles con su programa instalado. En la mayor parte de los casos se trataría de teléfonos de bajo coste. El principal fabricante involucrado es Blu, con más de 120.000 terminales afectados, que ha procedido a quitar el programa. “Blu ha identificado y quitado rápidamente un problema de seguridad creado por una aplicación de un tercero que recolectaba datos personales como mensajes de texto, registro de llamadas y contactos de clientes en un número concreto de móviles de Blu”, declara en un comunicado en su web. Los modelos afectados son R1 HD, Energy X Plus 2, Studio Touch, Advance 4.0 L2 y Neo XL.
Entre los posibles fabricantes sospechosos se encuentran ZTE y Huawei, ambos emergentes y cada vez con más interés en el mercado occidental. Huawei ha contestado a EL PAíS: «en Huawei nos tomamos muy en serio la privacidad y seguridad de nuestros clientes y realizamos grandes esfuerzos para salvaguardar esa privacidad y seguridad. La empresa mencionada en este artículo no se encuentra en nuestra lista de proveedores aprobados y jamás hemos entablado ninguna relación comercial o de negocios con ellos». También ZTE USA: «Confirmamos que ningún aparato de ZTE en Estados Unidos ha tenido nunca software de Adups. Ni lo tendrán. ZTE siempre tiene la seguridad y la privacidad entre sus prioridades. Vamos a asegurarnos de que sigue así en lo sucesivo».
El principal fabricante involucrado es Blu, con más de 120.000 terminales afectados, que ha procedido a quitar el programa
Marc Goodman, profesor de Singularity University y autor de Los delitos del futuro, lleva tiempo advirtiendo sobre esta posibilidad: «Creo que esto está sucediendo desde hace tiempo. No me sorprende en absoluto, pero sí me sorprende la cantidad de personas que han adoptado estos aparatos sin tener ni idea de los riesgos de seguridad que entrañan».
El experto mexicano Rafael Bucio, director general de tpx, comenta que grandes compañías han creado de una u otra forma puertas traseras o software instalado desde fábrica para obtener información privada de los usuarios con el fin de determinar gustos y necesidades o vender un producto. Pone como ejemplo el caso de Lenovo, también de origen chino. En 2015 fabricó una serie de portátiles que venían con adware (software publicitario) preinstalado que desplegaba anuncios en los navegadores sin pedir permiso al comprador.
En 2013 sucedió algo parecido con HTC, pero en este caso se consideró un fallo y no algo cuya inclusión fue deliberada.
Salvador Mendoza, hacker mexicano reconocido por sus demostraciones en conferencias mostrando vulnerabilidades en móviles, es cauto con respecto a la autoría y finalidad de este software espía. “Aunque se diga que los datos estaban dirigidos hacia un servidor de China, no se les puede adjudicar a ellos hasta que no haya una investigación. Es precipitado y podría generar más confusión”, matiza.