La compañía de Internet más grande de Rusia ha integrado un código en las aplicaciones que se encuentran en los dispositivos móviles que permite enviar información sobre millones de usuarios a servidores ubicados en su país de origen.
La revelación se relaciona con el software creado por Yandex que permite a los desarrolladores crear aplicaciones para dispositivos que ejecutan iOS de Apple y Android de Google, sistemas que ejecutan la gran mayoría de los teléfonos inteligentes del mundo.
Yandex recopila los datos de los usuarios extraídos de los móviles antes de enviar la información a los servidores en Rusia. Los investigadores han expresado su preocupación de que el Kremlin pueda acceder a los mismos “metadatos” y usarlos para rastrear a las personas a través de sus teléfonos móviles.
El investigador Zach Edwards descubrió por primera vez el código de Yandex como parte de una campaña de auditoría de aplicaciones para Me2B Alliance, una organización sin fines de lucro. Cuatro expertos independientes realizaron pruebas para el Financial Times para verificar su trabajo.
Yandex ha reconocido que su software recopila información de “dispositivo, red y dirección IP” que se almacena “tanto en Finlandia como en Rusia”, pero llamó a esta información “no personalizada y muy limitada”. Agregó: “Aunque teóricamente es posible, en la práctica es extremadamente difícil identificar a los usuarios basándose únicamente en la información recopilada. Yandex definitivamente no puede hacer esto”.
Las revelaciones llegan en un momento crítico para Yandex, a menudo conocida como “Google de Rusia”, que durante mucho tiempo ha intentado trazar un camino independiente sin caer en el deseo del presidente ruso Vladimir Putin de tener un mayor control de Internet.
La compañía dijo que siguió un proceso interno “muy estricto” al tratar con los gobiernos: “Cualquier solicitud que no cumpla con todos los requisitos procesales y legales relevantes es rechazada”.
Pero Cher Scarlett, ex ingeniera principal de software en seguridad global en Apple, dijo que una vez que la información del usuario se recopila en los servidores rusos, Yandex podría verse obligada a enviarla al gobierno según las leyes locales. Otros expertos dijeron que los metadatos del tipo recopilados por Yandex podrían usarse para identificar a los usuarios.
Ron Wyden, presidente del comité de finanzas del Senado de EE. UU. y uno de los artífices de la regulación de Internet en EE. UU., criticó duramente a Google y Apple por no hacer lo suficiente para proteger los teléfonos inteligentes del software Yandex, que se ha abierto camino en 52 000 aplicaciones que llegan a cientos de millones. de los consumidores
“Estas aplicaciones extraen datos privados y confidenciales de las aplicaciones de su teléfono, lo que amenaza la seguridad nacional de EE. UU. y la privacidad de los estadounidenses y otras personas en todo el mundo”, dijo.
Yandex se considera un gigante tecnológico mundial y cotiza en la Bolsa de Valores de Nueva York y es propiedad mayoritaria de fondos estadounidenses. Se incorpora en Amsterdam y el fundador Arkady Volozh vive en Israel. En 2019, la empresa llegó a un acuerdo con el gobierno ruso, codificando una estructura que asegura que Moscú pueda intervenir en algunos temas como adquisiciones extranjeras sin control de las operaciones del día a día.
La invasión de Ucrania ha hecho añicos sus ambiciones internacionales, golpeado el precio de sus acciones y algunos socios occidentales han cortado los lazos. El director ejecutivo de la compañía, Tigran Khudaverdyan, renunció la semana pasada luego de ser objeto de sanciones de la UE diseñadas para afectar los activos de empresarios considerados cercanos al Kremlin.
Yandex tiene software en forma de kit de desarrollo de software, o SDK, llamado “AppMetrica”. Los SDK son bloques de construcción utilizados por los desarrolladores para crear aplicaciones. El SDK de Google Maps, por ejemplo, permite que las aplicaciones integren funciones de mapeo en lugar de crear esa funcionalidad desde cero. Muchos SDK se ofrecen de forma “gratuita” a cambio del acceso a los datos del usuario que ayudan a la publicidad dirigida.
Entre las aplicaciones con AppMetrica instalada se encuentran juegos, aplicaciones de mensajería, herramientas para compartir la ubicación y cientos de redes privadas virtuales, herramientas diseñadas para permitir que las personas naveguen por la web sin ser rastreadas. Siete de las VPN están diseñadas específicamente para una audiencia ucraniana. Las instalaciones totales de aplicaciones que incluyen el SDK de AppMetrica ascienden a cientos de millones, según Appfigures, un grupo de inteligencia de aplicaciones.
“El SDK de AppMetrica afirma brindar servicios apropiados, todo mientras llama a Moscú con detalles de metadatos profundamente invasivos que se pueden usar para rastrear personas a través de sitios web y aplicaciones”, dijo Edwards, el investigador.
“Para las personas con un perfil de alta amenaza o que trabajan en trabajos de alto perfil, el uso de aplicaciones que envían estos datos a Moscú es peligroso y puede generar ataques a las redes domésticas u otras formas de vigilancia digital”.
El senador Wyden agregó: “Apple y Google sostienen que su control de tipo monopolístico sobre sus tiendas de aplicaciones es necesario para mantener seguros a los consumidores. Cada día que las aplicaciones creadas a partir del Yandex SDK ruso permanecen en esas tiendas es una prueba más de que la seguridad del consumidor que dicen ofrecer es una ilusión”.
Yandex defendió el uso de su SDK y dijo que “funciona de la misma manera que sus pares internacionales”, incluido Google Firebase, que se encuentra en más de 2 millones de aplicaciones de Android. La compañía ha dicho que recopila datos solo “después de que la aplicación recibe el consentimiento de los usuarios” a través de las aplicaciones de Android e iOS. “Informamos a los desarrolladores sobre el funcionamiento de AppMetrica y están obligados, si así lo exige la ley, a obtener el consentimiento de sus usuarios”, agregó Yandex.
De manera similar, Apple dijo que AppMetrica no podía acceder indiscriminadamente a los datos del usuario, porque el SDK requiere consentimiento.
Patrick Jackson, director de tecnología de Disconnect, un desarrollador de herramientas de privacidad digital, dice que la razón por la que los SDK pueden representar un riesgo es precisamente porque no piden permiso. En cambio, “se aprovechan de los permisos que usted, el usuario, le ha dado a la aplicación”, dijo.
Google reconoció que tenía más trabajo por hacer para proporcionar transparencia a los usuarios sobre qué SDK se utilizan para crear aplicaciones y dijo que realizaría una investigación basada en los hallazgos presentados por el FT.
Algunos desarrolladores de aplicaciones han comenzado a eliminar AppMetrica de sus aplicaciones luego de la invasión rusa de Ucrania. “Tomamos la decisión de dejar de usar los servicios de propiedad rusa cuando comenzó la guerra”, dijo un portavoz de Gismart, que fabrica docenas de juegos con AppMetrica instalada.
Opera, un navegador web popular con una VPN incorporada, también dijo que desactivó el SDK a partir del 15 de febrero, “en preparación para su eliminación total”. No dio una razón más allá de decir “cambiamos a nuestra propia plataforma de publicidad”.
Por el contrario, más de 2000 aplicaciones han agregado el SDK de AppMetrica desde la invasión de Ucrania, incluidas varias que parecen diseñadas para rastrear a los usuarios ucranianos.
“Llamar a Ucrania”, por ejemplo, es un “mensajero gratuito para ucranianos” que se lanzó en Play Store el 10 de marzo con la bandera azul y amarilla como ícono. Una vez descargada, la aplicación puede ver la identidad de un usuario y leer sus contactos. El desarrollador incluye una dirección de correo electrónico ficticia: “[email protected]”.
Cher Scarlett dijo que era preocupante que AppMetrica se instalara en 21 aplicaciones VPN solo en los últimos 30 días. “Estás tratando de ser proactivo para estar más seguro”, agregó, “pero en realidad te vuelves más vulnerable”.