Puede ser una herramienta de vigilancia que pueda canalizar datos al gobierno de los Emiratos Árabes Unidos
Una aplicación de mensajería llamada ToTok tuvo muchas críticas positivas, particularmente de usuarios en los EAU. Funcionarios inteligentes de los Estados Unidos dicen que puede estar espiando a ese gobierno
Una aplicación de mensajería social llamada ToTok ha aumentado en popularidad en todo el mundo en las últimas semanas. Si eres uno de los cientos de miles de usuarios que la descargaron, debes eliminar la aplicación de tu teléfono de inmediato.
Funcionarios de inteligencia de los Estados Unidos, hablando con el New York Times el domingo, advirtieron que ToTok no es la plataforma segura que pretende ser; en cambio, es probable que sea una herramienta de vigilancia que pueda canalizar datos al gobierno de los Emiratos Árabes Unidos. Google eliminó la aplicación de Google Play el jueves y Apple la eliminó de la App Store el viernes, pero ToTok seguirá funcionando, y posiblemente espiando, si ya está en tu teléfono.
"Desinstalarlo ayer", dice Patrick Wardle, un investigador de seguridad de Jamf especializado en sistemas operativos Apple que anteriormente trabajó en la Agencia de Seguridad Nacional y que el domingo lanzó un análisis técnico de ToTok.
A pesar de los esfuerzos de las compañías para atraparlas durante la preselección, las aplicaciones móviles sombrías todavía se deslizan en Google Play y la App Store de Apple. Si bien las prácticas de marketing invasivas y la recopilación de datos criminales son lo suficientemente malas, las aplicaciones que funcionan como una herramienta de espionaje de los gobiernos son una preocupación aún mayor.
ToTok afirmó ser una "aplicación de llamadas y mensajería rápida y segura", pero no promocionó específicamente el cifrado de extremo a extremo, la característica de seguridad que protege los datos de miradas indiscretas en todo momento, excepto en los dispositivos de los usuarios autorizados. La política de privacidad de la aplicación solo abordaba el almacenamiento de datos: "Mensajes: todos los datos se almacenan fuertemente encriptados para que los ingenieros locales de ToTok o los intrusos físicos no puedan acceder".
La aplicación enfatizó que ofrecía llamadas de voz y vídeo ilimitadas, además de mensajes a cualquier persona con conexión a Internet para que los usuarios pudieran mantenerse en contacto con familiares y amigos de todo el mundo. Y la aplicación fue especialmente atractiva para los usuarios de los Emiratos Árabes Unidos, ya que no tenía las restricciones de funcionalidad que el gobierno emiratí impone en el país en muchas otras aplicaciones de comunicación como Skype y Whatsapp.
ToTok permite a los usuarios acceder a un conjunto completo de funciones de forma gratuita, sin necesidad de usar una VPN o cualquier otra solución. En retrospectiva, dadas las circunstancias en los EAU, la aplicación probablemente era demasiado buena para ser verdad.
"Cuando comienzas a analizar una aplicación como esta, esperas encontrar una puerta trasera o algunas vulnerabilidades de día cero", dice Wardle. "Pero cuanto más lo pienso, este es en realidad un enfoque más elegante, que solo aprovecha la funcionalidad completamente legítima". Lo que eso le brinda es una manera muy rentable y fácil de obtener una tonelada de información sobre las personas".
Lanzada por primera vez el 27 de julio, ToTok aumentó su popularidad en los Emiratos Árabes Unidos en agosto y luego se extendió a otros países de Oriente Medio y al resto del mundo desde allí. La aplicación tuvo una gran cantidad de críticas positivas, particularmente de usuarios en los EAU que estaban entusiasmados con su falta de restricciones. También se clasificó como la aplicación más popular en muchas regiones en Google Play y App Store. La aplicación tuvo un total combinado de 9.8 millones de instalaciones (7.5 millones en Google Play y 2.3 millones en la App Store de Apple) en los cuatro meses y medio que estuvo en funcionamiento, según la firma de inteligencia de aplicaciones Sensor Tower. Noviembre había sido el mes de descargas más grande de la aplicación hasta la fecha con 3 millones de nuevas instalaciones.
El desarrollador, Breej Holding Ltd., no tiene una gran presencia en línea. En su análisis técnico de ToTok para iOS, Wardle encontró indicios de que la aplicación no se desarrolló desde cero y se basó en el código de la aplicación de comunicación china YeeCall, probablemente a través de algún tipo de acuerdo de licencia. El New York Times concluyó que Breej Holding Ltd. es probablemente una compañía fantasma de DarkMatter, una firma de inteligencia digital con sede en Abu Dhabi que contrata directamente con el gobierno emiratí y emplea a ex agentes de inteligencia de países como Estados Unidos e Israel. Las autoridades estadounidenses están investigando actualmente DarkMatter por posibles delitos de piratería.
En su análisis de ToTok para iOS, Wardle descubrió que la aplicación estaba configurada para ejecutarse continuamente en segundo plano. Habría solicitado permiso para acceder a los micrófonos, datos de ubicación, fotos, cámara, calendario, contactos e integración de Siri de los usuarios. La aplicación proporcionó explicaciones de por qué este acceso era necesario: por ejemplo, que los datos de ubicación eran necesarios para mostrar información sobre el clima local.
Lo crucial que hay que entender sobre ToTok es que hace exactamente lo que dice hacer. No es una aplicación de linterna que rastrea tu ubicación o aspira tus contactos sin razón aparente. Es una aplicación de mensajería que utiliza el mismo tipo de datos privados que cualquier aplicación de comunicación o plataforma social. La pregunta es quién tiene acceso a esos datos una vez que llegan a los servidores del desarrollador.
"El problema es a dónde van los datos y quién tiene acceso a ellos. Y esas son preguntas muy, muy difíciles de responder", dice Wardle. "Hay una gran cantidad de negación plausible, por eso es un enfoque obvio para obtener un alto grado de vigilancia. No estoy diciendo que sea bueno o ético, pero si otros países no están haciendo esto, desde su punto de vista ver, deberían".
No está claro cómo las empresas tecnológicas trabajarán para detectar aplicaciones legítimas sin funcionalidad oculta que están enviando datos a los gobiernos para la vigilancia masiva. Apple dijo el domingo que todavía está investigando ToTok. Un portavoz de Google dijo: “Tomamos en serio los informes de violaciones de seguridad y privacidad. Si encontramos un comportamiento que viola nuestras políticas, tomamos medidas".
Pero el incidente con ToTok plantea preguntas sobre aplicaciones como WeChat con vínculos conocidos y de larga data con gobiernos represivos. En las últimas semanas, el gobierno de los Estados Unidos ha estado investigando los posibles vínculos de la aplicación de redes sociales TikTok con el gobierno chino.
Por ahora, solo asegúrate de haber desinstalado ToTok y dile a otros que hagan lo mismo.