Apple y Google defienden fuertes valores sobre la privacidad de los datos, pero permiten que programas de un estado Gran Hermano prosperen en sus tiendas de aplicaciones, denuncian los investigadores.

Diez de las 100 principales aplicaciones de redes privadas virtuales (VPN) en Apple App Store y Google Play son propiedad encubierta de empresas chinas que pueden poner en peligro la privacidad del usuario, advierten los investigadores.

Ya lo dice su nombre: las redes privadas virtuales (VPN) son una de las tecnologías más privadas y sensibles que cualquiera puede usar. Las empresas las utilizan para proteger información y comunicaciones confidenciales valiosas. Periodistas y ciudadanos en riesgo que viven bajo regímenes opresivos las utilizan para eludir las imposiciones gubernamentales opresivas a la libertad en internet y ocultar su actividad de miradas indiscretas. La integridad de un producto VPN es fundamental para la privacidad de los datos, ya sea en una situación normal, de riesgo o potencialmente crítica para la seguridad.

El 1 de abril, investigadores del Proyecto de Transparencia Tecnológica (TTP) publicaron un informe sobre 20 aplicaciones VPN populares que, según afirman, tienen la obligación legal de proporcionar acceso total al Partido Comunista Chino (PCCh) si este lo solicita. A pesar de la posible amenaza a la privacidad de los usuarios, tres meses después, la mayoría de las aplicaciones siguen disponibles en las tiendas de aplicaciones de Apple y Google .

VPN populares y riesgosas

Imagina que buscas una VPN para proteger tu actividad en el móvil. Encuentras una app con una calificación de 4,7 sobre 5 estrellas en la App Store, basada en 192.000 reseñas. "Increíble" es el título de la primera reseña que aparece en su página: "La mejor VPN que he tenido desde 2016". La app ocupa el puesto 51 en la categoría de Productividad, la 18.ª app de VPN más popular en la App Store de EE. UU. La interfaz de usuario es clara y ofrece soporte por chat 24/7.

¿Cómo se supone que alguien puede saber que Turbo VPN Private Browser es propiedad de Qihoo 360 , una empresa china sancionada por el Departamento de Comercio de EE. UU. por sus vínculos con el Ejército Popular de Liberación (EPL)?

Es decir: Estas no son VPN de baja calidad ni poco populares que se encuentran en el catálogo de la tienda de aplicaciones; son el tipo de aplicaciones que encontrarías rápidamente si estuvieras buscando una. Turbo es una aplicación multimillonaria y se encuentra entre las 10 VPN más populares de Google Play. Sin embargo, en la tienda de Apple, el Proyecto de Transparencia Tecnológica encontró tres VPN chinas sospechosas que se posicionan incluso mejor que Turbo: VPN Proxy Master, Ostrich VPN y X-VPN, la cuarta VPN más popular disponible.

Las aplicaciones más populares ocultan su verdadera naturaleza tras complejas redes de propiedad corporativa, encabezadas por empresas fantasma con nombres anglicanizados. Algunos de los desarrolladores mencionados como propietarios de estas aplicaciones, por ejemplo: "Free Connected Limited", "GeWare Technology Limited" y "ALL Connected Co., Limited" (otra vinculada a Qihoo 360).

Ocultar cualquier origen chino resulta útil, ya que la Ley de Inteligencia Nacional de 2017 obliga a las empresas e individuos chinos a cooperar con la inteligencia estatal y a ejercer un amplio poder sobre la privacidad de cualquier persona. Esto significa que, en cualquier momento y por cualquier motivo, el gobierno chino puede exigir a un desarrollador de aplicaciones que entregue la totalidad o parte de los datos de cualquiera de sus usuarios, incluidos aquellos de fuera de China, como empresas e individuos estadounidenses.

Sería difícil imaginar un riesgo de privacidad más invasivo que si esta ley se impusiera a una aplicación VPN. "A diferencia de una aplicación de redes sociales, donde la actividad está limitada por la plataforma, las aplicaciones VPN redirigen toda la actividad en línea del usuario, lo que incluye su actividad en sitios protegidos con contraseña, el desarrollo de productos de trabajo, las búsquedas y, en esencia, todo lo que un usuario visita al usar la VPN", enfatiza Katie Paul, directora de TTP.

¿Un doble estándar para las aplicaciones chinas?

Cuando las aplicaciones se ven y funcionan con normalidad y tienen cientos de miles de buenas críticas, los usuarios habituales de teléfonos inteligentes no están en posición de saber si de alguna manera podrían relacionarse con una empresa china sospechosa.

La responsabilidad, por lo tanto, podría recaer en las empresas que operan las plataformas donde se distribuyen estos programas. Sin embargo, tres meses después del informe inicial de TTP sobre el problema, 13 VPN descubiertas en la App Store y 11 en Google Play siguen activas a día de hoy.

Podría parecer un desajuste en la gestión que Estados Unidos hace de las amenazas a la privacidad que plantean las aplicaciones chinas. «Se han propuesto proyectos de ley enteros para mantener TikTok y DeepSeek AI fuera de los dispositivos gubernamentales debido a los riesgos para la seguridad nacional y la privacidad que suponen los vínculos de estas plataformas de un solo uso con China», señala Paul, pero «la amenaza de las VPN es mucho mayor debido a la variedad de actividades que se realizan cuando se utilizan».

Lamentablemente, cuando se trata de las grandes tecnológicas, afirma, «el fracaso de las empresas en moderar o diligencia debida de forma eficaz es un síntoma de que no existen medidas para que estas empresas rindan cuentas por no mantener la seguridad de sus plataformas. No existen organismos reguladores ni repercusiones legales ni civiles por no garantizar la seguridad de los usuarios, como afirman».

Cabe destacar que Apple ha eliminado cientos de aplicaciones a instancias del gobierno chino, entidad de la que depende para mantener su cadena de producción. Esto demuestra que Apple es más que capaz de mitigar estos daños, pero parece que solo lo hace cuando hay repercusiones.

Fuente: https://www.darkreading.com/cloud-security/apple-google-vpn-apps-china-spy-users