Cada día son millones los usuarios de teléfonos móviles que utilizan estos dispositivos para su comunicación diaria. Y dentro de estos son las aplicaciones de teclado indispensables para su funcionamiento. Sin embargo, investigaciones recientes han mostrado vulnerabilidades significativas en algunas apps de teclado chinas, las cuales podrían poner en riesgo la privacidad y seguridad de hasta 780 millones de usuarios.

El estudio realizado por el Citizen Lab de la Universidad de Toronto ha descubierto que estas aplicaciones, utilizadas principalmente por hablantes de chino mandarín, tienen fallos de seguridad que permiten a intrusos interceptar y leer lo que los usuarios escriben. Las estimaciones muestran que pueden verse afectados hasta 780 millones de usuarios en todo el mundo.

La falta de transparencia por parte de China agrava la situación. El informe destaca cómo los diversos ecosistemas tecnológicos complican aún más las investigaciones. Dado que Google Play está restringido en China, la mayoría de las aplicaciones chinas no están disponibles en esta plataforma, que es la fuente principal de acceso para los investigadores en busca de posibles problemas.

La clave del problema: la tecnología IME

Para entender el problema, es fundamental comprender cómo funcionan las aplicaciones de teclado para los caracteres chinos. Debido a la enorme cantidad de caracteres en el idioma chino, estas aplicaciones no pueden simplemente asignar un carácter a cada tecla. Para su correcto funcionamiento utilizan un software llamado «Editor de Método de Entrada» (IME), que permite a los usuarios introducir caracteres mediante el esquema Pinyin, el cual utiliza el alfabeto latino para transcribir los sonidos del mandarín.

A menudo, estas aplicaciones necesitan enviar cada pulsación de tecla a servidores en la nube para procesarlas y convertirlas en caracteres chinos, a diferencia de las aplicaciones occidentales desarrolladas por Apple y Google, que no recurren a esta técnica.

Vulnerabilidades expuestas

El Laboratorio Citizen descubrió que la aplicación de Pinyin de Baidu utiliza una encriptación débil, dejando expuestas las pulsaciones de teclas a posibles interceptaciones. Del mismo modo, aplicaciones de empresas como Samsung, Xiaomi, OPPO, Honor y iFlytek están comprometidas por criptografía vulnerable a exploits conocidos, permitiendo tanto la interceptación activa como pasiva.

La situación es preocupante porque estas aplicaciones de teclado tienen una cuota de mercado superior al 95% en China y los fabricantes de dispositivos que las preinstalan poseen colectivamente la mitad del mercado.

Respuestas de las empresas y soluciones a medias

Citizen Lab informó de sus hallazgos a las empresas involucradas con resultados diversos. Mientras que empresas como Tencent prometieron resolver los problemas, otras como Baidu, Vivo y Xiaomi no respondieron adecuadamente a las divulgaciones de las investigaciones. Baidu corrigió los problemas más graves encontrados por los investigadores, pero dejó otros sin resolver.

Actualizar estas aplicaciones para abordar las vulnerabilidades es complicado. Los dispositivos Honor, por ejemplo, no ofrecen una facilidad para actualizar las aplicaciones de teclado. Samsung requiere la creación de una cuenta para actualizar sus aplicaciones, y algunas actualizaciones están bloqueadas geográficamente.

Un llamamiento a la acción y determinación de la estrategia a seguir

El Citizen Lab sugiere que es necesaria una acción coordinada en todo el ecosistema de smartphones, incluyendo desarrolladores, fabricantes y tiendas de aplicaciones, para eliminar este tipo de vulnerabilidades.

Por ahora, el consejo más práctico es actualizar las aplicaciones de Pinyin tan pronto como sea posible para mitigar los riesgos. Sin embargo, la solución definitiva requerirá un compromiso más profundo y sostenido para mejorar la seguridad del software, posiblemente enfrentando el miedo a utilizar cifrados probados por temor a que hayan sido comprometidos por potencias occidentales.

 

Periodista especializada en ciberseguridad y tecnología. Mi enfoque se centra en analizar mundo de las aplicaciones y la seguridad especialmente en redes sociales. Con un interés constante en informar sobre avances, riesgos y sin olvidar la importancia de la prevención, busco compartir información precisa y comprensible para el usuario.

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre