¿China tiene la intención de espiar a los atletas de Beijing 2022?

¿China tiene la intención de espiar a los participantes de los Juegos Olímpicos de Invierno de Beijing en 2022? Esta es la pregunta que plantea un informe de seguridad informática sobre My2022, una aplicación que será obligatoria para todos los participantes del evento que tendrá lugar entre el 4 y el 20 de febrero de 2022.

Te interesará:

¿Qué es My2022?

Ya sean atletas, entrenadores, periodistas, fotógrafos, videógrafos o el público en general, todos los que asistan a los Juegos Olímpicos y Paralímpicos de Invierno de Beijing 2022 deben usar la aplicación My2022, disponible en iOS y Android.

El objetivo principal de My2022 es mantener un registro y un seguimiento diario en torno a COVID-19, gracias a una función llamada «Código de Salud Verde», que recopila más datos médicos.

Sin embargo, tal y como muestra su descripción en la App Store, también ofrece una serie de servicios complementarios.

La versión para smartphone de My2022 ofrece servicios sobre el evento deportivo, como información del evento, mensajería instantánea y servicio de información para áreas funcionales, como transporte, alimentación, alojamiento, entre otros. Además, brinda información sobre actividades fuera del evento, como recorridos, compras y entretenimiento.

«My 2022 muestra información en chino e inglés y brinda un servicio personalizado a diferentes grupos de usuarios para disfrutar de una experiencia de juego completa con una sola aplicación», describe la aplicación.

¿Cuáles son las vulnerabilidades de seguridad de My2022?

Sin embargo, el grupo de ciberseguridad Citizen Lab, de la Escuela Munk de Asuntos Globales y Políticas Públicas de la Universidad de Toronto, advirtió que la aplicación My2022 no proporciona cifrado, lo que expone a los usuarios a filtraciones de sus datos personales y de sus registros médicos.

Entre los hallazgos del Citizen Lab se encuentran:

• El cifrado que protege las transferencias de archivos de audio y voz de los usuarios puede verse comprometido.
• Los formularios de salud, que contienen información sobre el pasaporte, el historial médico y de viaje, también son vulnerables.
• Las respuestas del servidor pueden falsificarse, por lo que un atacante podría mostrar instrucciones falsas a los usuarios.
• No se especifica con qué entidad u organización comparte la aplicación los datos personales y registros médicos que recopila.
• MY2022 incluye funciones que permiten a los usuarios marcar contenido «políticamente sensible».
• Si bien esta es una función inactiva, incluye una lista de palabras clave censuradas que se enfocan en temas políticos y de asuntos internos, como Xinjiang y el Tíbet, así como referencias a líderes y agencias gubernamentales chinos.
• Las fallas podrían violar las políticas de software de Google y Apple, además de violar las propias leyes de privacidad de China, según CitizenLab.

¿Existe un peligro real?

Citizen Lab dice que los temores sobre las aplicaciones de origen chino están justificados en gran medida porque existe un historial de violaciones de seguridad, violaciones de privacidad y controles de información en otras aplicaciones operadas en ese país.

Sin embargo, reconoce que el propio gobierno chino “ha tomado medidas para controlar la recopilación invasiva y el mal manejo de información personal por parte de las empresas, siguiendo enfoques integrales para la protección de datos personales”.

En este sentido, considera «preocupantes» los resultados, pero no sorprenden porque responden a un déficit que arrastra la mayoría de los desarrolladores chinos, ante la falta de leyes y reglamentos que protejan los datos personales.

Con respecto a los problemas de encriptación, argumenta que si bien esto puede ser algo intencional, no es plausible, ya que los archivos y datos médicos se entregan directamente a las autoridades sanitarias chinas.

Además, se trata de fallas que se han detectado en otras aplicaciones locales. “A la luz de trabajos previos que analizan aplicaciones chinas populares, nuestros hallazgos sobre MY2022 no son sorprendentes, aunque son preocupantes”, advierte la entidad.

Mientras tanto, el Comité Olímpico Internacional (COI) desestimó las preocupaciones y dijo que la oferta había sido evaluada de forma independiente por dos organizaciones de seguridad cibernética, que concluyeron que «no tenía vulnerabilidades críticas».

“La aplicación My2022 es una herramienta importante en la caja de herramientas de medidas contra el COVID-19 (…) Es compatible con la función de control sanitario”, especifica la entidad.

En cualquier caso, muchos comités olímpicos, como los de Estados Unidos, Alemania, Australia, Canadá, Gran Bretaña y Holanda, han recomendado a sus delegaciones utilizar teléfonos desechables, redes privadas virtuales (VPN) y crear cuentas de correo electrónico durante de la estancia en China.

Recomendaciones del editor