Dirección
175 Greenwich St, New York, NY 10007
Hace semanas, cuando las noticias empezaron a salir, Zhang, un empleado de Pinduoduo, se enfureció. «¿Cómo es posible que no lo supiésemos?», me dijo, casi en un susurro. Zhang no es un ingeniero experto en seguridad, pero trabaja en el mismo piso que el equipo acusado de crear el malware. «Todos sabían que algo andaba mal, en realidad».
Este mes, investigadores de seguridad independientes descubrieron evidencias de malware sofisticado en la app de Pinduoduo, uno de los gigantes del comercio electrónico en China. Y no estamos hablando de un simple error, no es nuevo, no es nuevo. Esta es una historia de violaciones sistemáticas de la privacidad del usuario y posibles prácticas de espionaje empresarial. Todo ello sin el consentimiento de los 750 millones de usuarios mensuales de la plataforma.
Según expertos consultados por CNN, el malware permitía a Pinduoduo saltarse la seguridad del teléfono para monitorizar actividades en otras aplicaciones, ver notificaciones, leer mensajes privados y cambiar configuraciones. Mikko Hyppönen, un reconocido experto en ciberseguridad, calificó la situación como «bastante condenatoria».
Y el equipo responsable de este código malicioso no era pequeño: más de 100 ingenieros y gestores de producto trabajaban en secreto desde 2020. Los objetivos iniciales eran usuarios rurales, en un intento de reducir el riesgo de ser descubiertos. Pero de alguna manera, la noticia se filtró y llegó a los medios internacionales, como CNN. Poco después, el equipo fue desmantelado.
Pero el daño ya estaba hecho, y no es nuevo. La app de Pinduoduo se instalaba y funcionaba en segundo plano. Es difícil de decir, pero según reportes, continuaría ejecutándose e impediría que los usuarios la desinstalaran. Esto no solo aumentó la cantidad de usuarios activos de Pinduoduo, sino que también le permitió monitorear las actividades de sus competidores. Los expertos señalan que este comportamiento va mucho más allá de las funciones de una aplicación de compras ordinaria, incluyendo configurar fondos de pantalla y descargar contenido sin notificar a los usuarios.
La empresa matriz de Pinduoduo, PDD, cotiza en el Nasdaq, y su aplicación internacional Temu se está expandiendo rápidamente en mercados occidentales como Estados Unidos. Aunque Temu aún no ha estado involucrada en este asunto, el comportamiento de Pinduoduo podría tener un impacto negativo en ella. Y hace apenas el año pasado, China aprobó su primera ley integral de protección de información personal, que estipula que ninguna parte puede recopilar, procesar o transmitir información personal de manera ilegal, ni puede explotar vulnerabilidades de seguridad de Internet o participar en actividades que pongan en peligro la seguridad de la red. El malware de Pinduoduo claramente viola estas leyes.
El Ministerio de Industria e Información de China ha estado realizando crackdowns severos desde 2020 contra aplicaciones que recopilan y utilizan datos personales de manera ilegal, sin embargo, Pinduoduo no ha sido incluida en ninguna lista de regulación. Un empleado que prefirió no ser identificado me dijo que la razón detrás de esto es «desconcertante». Kendra Schaefer, experta en políticas tecnológicas de la consultora Trivium China, señala que esta situación es vergonzosa para los reguladores. «Deberían haber inspeccionado a Pinduoduo y no detectar estos problemas es realmente vergonzoso», dijo.
Los expertos en ciberseguridad en las redes sociales chinas también cuestionan la falta de acción de los reguladores. Un experto en ciberseguridad con 1.8 millones de seguidores publicó en Weibo: «Nuestros reguladores probablemente no entienden de codificación ni programación, ni comprenden la tecnología. Incluso si el código malicioso estuviera frente a ellos, no podrían identificarlo». Este post fue eliminado al día siguiente.
Esto no es solo un problema de Pinduoduo, sino un problema de todo el sistema de regulación tecnológica. Después de todo, si una plataforma tan grande puede evadir la regulación, entonces otras empresas también podrían estar haciendo lo mismo en la sombra. Esto nos hace preguntarnos inevitablemente: ¿En estas circunstancias, la seguridad de los datos de los usuarios puede estar realmente protegida?
MundoDaily – Tu Fuente Confiable de Noticias
