Desde que Xiaomi empezó a ser muy popular, a la marca china se le ha acusado de usar sus productos para espiar a los usuarios. El primer antecedente de esto lo encontramos en 2016 cuando el entusiasta en ciberseguridad, Thijs Broenink, decidió investigar una curiosa app de su Xiaomi Mi 4 llamada AnalyticsCore.apk. Luego de no encontrar nada en Internet, Broenink le aplicó ingeniería inversa al código de la app para descubrir cuál era su propósito.
Lo que encontró de esa forma es que la aplicación se encargaba de enviar datos relevantes del móvil (IMEI, dirección MAC, modelo, nombre, etc.) constantemente a un servidor. Además, funcionaba como una puerta trasera, pues permite a Xiaomi instalar apps en sus móviles sin que el usuario se dé cuenta. Puede que Xiaomi no usara nunca esta puerta trasera con malos propósitos, pero el solo hecho de que exista es preocupante, ya que terceros pueden aprovecharla para vulnerar la seguridad de los móviles Xiaomi.
Cuatro años han pasado de aquella situación polémica y ahora la historia se repite: otro especialista en ciberseguridad ha acusado a Xiaomi de dejar una puerta trasera en sus móviles, de acuerdo a un reporte publicado por Forbes. Sin embargo, esta vez Xiaomi se defiende y nos aclara la situación.
Xiaomi sí recolecta datos, pero no espía a nadie
La nueva acusación a Xiaomi viene de parte del experto en ciberseguridad, Gabi Cirlig, quien descubrió un extraño comportamiento en su Redmi Note 8. Específicamente, encontró que el navegador predeterminado de MIUI estaba registrando toda su actividad en Internet. Esto incluye los sitios web por donde navega y las búsquedas que realiza (con Google e incluso con el motor de búsqueda enfocado en la privacidad DuckDuckGo). Lo peor de todo es que el dispositivo también estaba registrando la actividad cuando abría una pestaña de modo incógnito.
¿Qué hace el móvil con toda esa información recolectada? Pues la envía a unos servidores en Rusia y Singapur, cuyos dominios web se registraron en Beijing, China. Según la investigación de Cirlig, esto servidores son propiedad de Alibaba, pero están siendo usados por Xiaomi. Asimismo, el experto asegura que su Redmi Note 8 también estaba registrando la barra de estado, las opciones de la configuración e incluso las carpetas que abría.
Xiaomi también puede estar recolectando información de móviles de otras marcas
Andrew Tierney, un experto en ciberseguridad de confianza de Forbes, se unió a la investigación de Gabi Cirlig y juntos hallaron que dos navegadores de Xiaomi en Google Play Store tienen el mismo comportamiento que el navegador predeterminado de MIUI. Mi Browser Pro y Mint Browser, que en Play Store tienen juntos más de 15 millones de descargas, son acusados de recolectar información de los usuarios.
Estos navegadores se pueden instalar en cualquier móvil Android, no importa la marca, por lo que la situación es preocupante. Por otra parte, Cirlig confirmó que el firmware de los Xiaomi Mi 10, Redmi K20 y Xiaomi Mi Mix 3 también incluyen la puerta trasera de su Redmi Note 8.
Xiaomi se defiende
En busca de aclarar la situación, Forbes le hizo llegar un vídeo a Xiaomi donde exponen la puerta trasera de sus móviles. Lejos de desmentirla, la marca china admitió que su navegador recolecta datos, pero estos se encriptan antes de enviarlos a sus servidores. Es decir, son tratados de forma anónima, por lo que técnicamente Xiaomi no espía nadie. Asimismo, la compañía confirmó que esta es una práctica muy común que realizan todas las empresas de Internet para mejorar sus servicios y aplicaciones.
A pesar de lo que dice Xiaomi, Cirlig asegura que él pudo descifrar los datos encriptados en cuestión de segundos. Además, afirma que con la metadata asociada a los datos recolectados, Xiaomi puede fácilmente correlacionarlos con dispositivos específicos. En otras palabras, aunque los datos recolectados estén encriptados, si Xiaomi quiere, puede identificar a qué usuario pertenecen.
Para limpiar su imagen, Xiaomi publicó un artículo donde explican de forma más detallada cómo funciona la recolección de datos en sus móviles. Ahí matizan que esto solo se hace si el usuario concede los permisos y el consentimiento solicitado en los términos y condiciones de uso. Asimismo, anunciaron que enviarán una actualización a sus navegadores para que los usuarios puedan evitar la recolección de datos. De hecho, añadirán un interruptor en el modo incógnito que permitirá apagar la recolección de datos.
Sinceramente, noticias de este tipo no nos sorprenden, pues Xiaomi no es la primera ni la única empresa en llevar a cabo estas prácticas. Gigantes como Google y Facebook ya han sido acusados en el pasado por lo mismo y sus respuestas han sido similares a la que hoy esgrime Xiaomi. En realidad, todos los usuarios, independientemente de la marca o del tipo de dispositivo que usan, deben ser conscientes de que las empresas que les brindan soporte también están recolectando información suya (en mayor o menor medida) mediante una puerta trasera, lo quieran o no.