[1]Captura de pantalla de la aplicación MY2022 vía Citizen Lab.
Citizen Lab, organismo de vigilancia de la libertad en internet con sede en Toronto, descubrió un fallo «devastador» [1] que pone en peligro la comunicación encriptada en la aplicación móvil My2022, aplicación de control sanitario obligatoria para todos los asistentes a los Juegos Olímpicos de Invierno de Pekín. La brecha de seguridad haría que los datos personales –incluidos archivos de audio, estado de salud, información del pasaporte e historial médico y de viajes– fueran vulnerables a la explotación por parte de terceros.
La empresa de ciberseguridad Internet 2.0 también emitió una alerta [2] sobre las prácticas de vigilancia generalizadas en China y sugirió a los asistentes extranjeros que dejaran sus teléfonos en casa y usaran teléfonos desechables dentro de China.
Sin embargo, el Comité Olímpico Internacional (COI) desestimó [3] la auditoría de seguridad de Citizen Lab y subrayó que la aplicación sanitaria de Pekín no tiene «ninguna vulnerabilidad crítica» según las evaluaciones realizadas por dos organizaciones independientes de pruebas de ciberseguridad.
Atletas, periodistas y todos los demás asistentes a los Juegos Olímpicos de Invierno de Pekín están obligados a usar la aplicación My2022 14 días antes de volar a China. Los usuarios deben enviar información sobre su salud y su viaje, incluidos resultados de la prueba COVID-19 y certificados de vacunación, a través de la aplicación. La aplicación de seguimiento de salud también cuenta con noticias, mensajes de audio y video y funciones de intercambio de archivos.
El informe de Citizen Lab se publicó el 18 de enero, y señala que la aplicación My2022 no podía validar los certificados SSL con al menos cinco servidores y que la laguna permitía a los atacantes interceptar la comunicación cifrada y robar datos privados engañando a la aplicación para que se conectara con un alojamiento malicioso. En otras palabras, el fallo ha desactivado literalmente la función de cifrado.
Además, la investigación también descubrió que algunos datos delicados se transmiten a través de la aplicación a un alojamiento sin ninguna protección de seguridad, y como resultado, los datos «puede leerlos cualquier fisgón pasivo, como alguien en el rango de un punto de acceso inalámbrico no seguro».
Citizen Lab también encontró una lista de censura con 2000 palabras claves, con términos sensibles como Sinkiang, Tíbet, Dalai Lama, etc., en la aplicación bajo el nombre de archivo «illegalwords.txt». Pero la función de censura no se ha activado.
Citizen Lab dio a conocer sus conclusiones al COI el 3 de diciembre de 2021, y dio un plazo de 15 días para una respuesta sustancial y un plazo de 45 días para solucionar el fallo. Publicó su informe el 18 de enero, una vez transcurrido el plazo de 15 días.
El mismo día, Internet 2.0 publicó un documento en el que mostraba cómo la legislación china sobre seguridad nacional había afectado al comportamiento de las empresas al ayudar a la vigilancia estatal mediante el diseño de sus aplicaciones móviles. La empresa de ciberseguridad advirtió que «todos los atletas y visitantes de China para los Juegos Olímpicos estarán expuestos a estas leyes y a la cultura de la vigilancia».
Además, recomienda a atletas y visitantes olímpicos que usen un nuevo teléfono con una cuenta de correo electrónico temporal mientras estén en China y les advierte que no usen el teléfono «quemado» una vez que salgan de China para evitar que los datos privados de su cuenta en la nube los tomen las aplicaciones móviles y los operadores chinos.
Aunque el COI desestimó la preocupación por la seguridad, el Comité Olímpico de Estados Unidos dijo a sus atletas [4] que llevaran un teléfono desechable a Pekín, ya que tienen que «asumir que cada dispositivo y cada comunicación, transacción y actividad en línea serán vigilados» en China.
El grupo de atletas alemanes, Athleten Deutschland, arremetió [5] contra el COI y dijo que «es inexplicable e irresponsable por parte del COI exigir a los participantes que usen una aplicación con vulnerabilidades de seguridad tan evidentes».
En respuesta a la preocupación internacional por la seguridad, CGTN, medio chino financiado por el Estado, citó [6] al analista tecnológico Andy Mok, quien desestimó el informe de Citizen Lab como «un ataque bien coordinado para crear un impacto negativo en las relaciones públicas de los próximos Juegos Olímpicos». A esta afirmación, Oliver Linow, especialista en libertad de Internet de DW, respondió:
I'm interested in facts and evidence. @citizenlab [7] provides a detailed report, all is transparent. The BOC was informed about security vulnerabilities on 3 December. The IOC claims the #my2022 [8] app has been reviewed by two independent security organisations. Details? #Beijing2022 [9] pic.twitter.com/qhnVXLn4Zp [10]
— Oliver Linow (@OliverLinow) January 19, 2022 [11]
El analista técnico Andy Mok sobre las falsas afirmaciones sobre los fallos de seguridad de My2022: «No estoy tan seguro de que sea un problema tecnológico… Es más bien un ejemplo de linchamiento mediático, de buscar un objetivo conveniente. Está claro que es un ataque bien coordinado para crear un impacto negativo en las relaciones públicas de los próximos Juegos Olímpicos».
———–
Me interesan los hechos y las pruebas. Citizen Lab
ofrece un informe detallado, todo es transparente. El BOC fue informado sobre las vulnerabilidades de seguridad el 3 de diciembre. El COI afirma que la aplicación MT2022 ha sido revisada por dos organizaciones de seguridad independientes. ¿Detalles?