En 22 países que hablan árabe, donde viven más de 450 millones de personas, Meta y X siguen monopolizando las plataformas de comunicación.

Este artículo de SMEX se publicó el 20 de enero de 2025. Global Voices reproduce una versión editada como parte de un acuerdo para compartir contenido.

Desde el 7 de octubre de 2023, varios aplicativos de medios sociales han retirado contenido relacionado con Palestina. Esta bloqueo en la sombra, que sigue hasta ahora, dio origen a varias “protestas digitales” que piden un aplicativo de medios sociales dirigidos por árabes que permita la libre circulación de material relacionado con Palestina.

Este pedido, aunque legítimo, ignora varios intentos de países de la región para promover aplicativos de medios sociales “nativos”, la mayoría de los cuales estaba promovida por Emiratos Árabes Unidos y Arabia Saudita, que demostró haber seguido normas menos estrictas que Twitter y Meta en lo referente a a políticas de privacidad.

SMEX analizó varias aplicativos de una empresa de un país en la región del Golfo o promocionados por medios del Golfo. El equipo de SMEX ha hecho un análisis forense de cada uno de estos aplicativos para entender mejor su seguridad. El análisis forense examina cómo cada uno de estos aplicativos recopila, guarda y difunde nuestros datos y las potenciales infracciones a la privacidad que estas prácticas implican.

Kwai

Kwai, aplicativo fabricado por la empresa china Kuaishou, es una plataforma de videos cortos que permite a los usuarios publicar videos en el aplicativo, por lo que es competencia de TikTok con más de cien millones de descargas en Play Store de Google.

Kwai fue promocionado en los medios sauditas y emiratíes, y se presentó como un aplicativo que “se concentra en la cultura árabe”, como los describe el sitio web saudita Arab News. El aplicativo también tuvo la promoción del emiratí Zawaya a fines de 2024, como una “prometedora plataforma de medios sociales árabes”, y dice que “refleja firme contenido culturalmente árabe y da un entorno que entiende y toma en cuenta las tradiciones y normas árabes”.

En marzo de 2024, Joyo Technology Pte. Ltd, actual propietario y operador de Kwai, anunció que Kwai presentaría su estrategia de expansión en Arabia Saudita. La estrategia incluye “adaptar el aplicativo y personalizarlo para la comunidad local en el país», según Riyadh Times.

Según el análisis forense del equipo de SMEX, las preocupaciones de privacidad de Kwai incluyen dar datos de usuarios a terceros. Sus políticas de privacidad establecen que “Podemos usar tus Datos para ejercer nuestros derechos cuando sea necesario». Sin embargo, no especificar el proceso o hasta qué grado o cuál es su derecho específico en ese punto.

Aunque el aplicativo recopila gran cantidad de datos, su política no es clara sobre el tipo y el propósito de la recopilación de datos, se sabe que recopila información delicada, como datos personales y detalles de cuentas bancarias para compras dentro del aplicativo. Además, los datos no se cifran antes de guardarse en la base de datos, lo que aumenta la preocupación por una violación de la privacidad. Las buenas prácticas en materia de privacidad exigen que los datos se cifren «en reposo» para limitar posibles violaciones de seguridad.

«La política de Kwai es problemática por sus amplias prácticas de recopilación de datos, que no están bien justificadas ni claramente explicadas», explica Konur Metehan Durmaz, analista de políticas de SMEX. «El aplicativo recopila un amplio abanico de datos, como el estado de la batería e información sobre la red inalámbrica, sin justificar claramente por qué se necesitan estos datos y cuál es la base legal para recopilarlos», añade.

ToTok

ToTok es un aplicativo de mensajería emiratí fabricado por G42, empresa emiratí de investigación de IA, que trabaja en varios dominios, como deporte, servicios públicos y salud. El aplicativo se presentó en 2019, pero resultó ser una herramienta de espionaje. según un informe de The New York Times que llevó a que se retirara el aplicativo de Play Store y de Google Store; no estaba disponible en Apple Store.

Según el análisis forense de SMEX, ToTok recopila datos de dispositivos que pueden uszarse para rastrear e identificar dispositivos individuales. Si esta información está vinculada a cuentas de usuario u otra información personal identificable, puede usarse para rastrear y crear perfiles de personas en diferentes aplicativos y servicios, lo que suscita preocupación por la privacidad y la vigilancia de los usuarios.

La aplicación también requiere el permiso «DESACTIVAR LLAVE DE SEGURIDAD» en Android, lo que permite al aplicativo desactivar temporalmente la llave de seguridad del dispositivo, el mecanismo de bloqueo de pantalla que se usa para evitar el acceso no autorizado al dispositivo.

Modificar algunos ajustes del sistema puede tener consecuencias significativas para la funcionalidad del dispositivo, la seguridad y la experiencia del usuario. Por eso, el acceso a los ajustes del sistema suele estar restringido y estrictamente controlado en los dispositivos Android. Cualquier aplicativo que requiera leer o escribir ajustes del sistema probablemente tendrá que solicitar permisos específicos y cumplir estrictas pautas de seguridad para garantizar que se mantengan la privacidad del usuario y la integridad del dispositivo.

Cuando un aplicativo dispone de este permiso, puede desactivar mediante programación el protector de teclado, lo que permite el acceso al dispositivo sin desbloquear la pantalla con un PIN, patrón, contraseña o autenticación biométrica (por ejemplo, desbloqueo facial o mediante huella dactilar).

Baaz

Baaz, fabricada por Baz.Inc, se presentó como la versión en árabe de Clubhouse, aplicativo social de audio para comunidades con diferentes intereses en la que los usuarios pueden unirse a salas y comunidades y mantener conversaciones en directo. La empresa fundadora tiene su sede en San Francisco y está instalada en Emiratos Árabes Unidos.

Algunos usuarios sospechaban que Baaz era una herramienta de espionaje, acusación que podría desmentirse por la disponibilidad de Baz en Play Store y App Store, donde se comprueba la seguridad de los aplicativos antes de que estén disponibles para su descarga.

No obstante, al tener su sede en Emiratos Árabes Unidos, Baaz se rige por la ley federal emiratí de protección de datos personales, la «ley de protección de datos«, que entró en vigencia el 2 de enero de 2022.

Uno de los principales problemas de la ley de protección de datos de Emiratos Árabes Unidos es que el ámbito de gobernanza de esta ley debilita su alcance de protección. Entre estas excepciones está la exclusión de los datos gubernamentales, ya que la ley no se aplica a las entidades gubernamentales que controlan o procesan datos personales.

Esto significa que una gran parte del tratamiento de datos personales no está sujeto al cumplimiento de la ley de protección de la intimidad. Al excluir a las entidades del sector público de las disposiciones de esta ley, la ley de protección de datos deja margen para la vigilancia.

Botim

Botim es el aplicativo de llamadas por internet más usada en Emiratos Árabes Unidos, fabricada por Algento, empresa tecnológica privada estadounidense que diseña, fabrica y vende productos y servicios móviles. El aplicativo está considerado una alternativa permitida por el Gobierno a las videollamadas y llamadas de voz prohibidas de WhatsApp. WhatsApp está cifrada de extremo a extremo, lo que hace imposible que terceros accedan a los datos de los usuarios. En Botim, los datos solo se cifran mientras se transmiten por internet, aunque el aplicativo ofrece a los usuarios la opción de solicitar que se eliminen sus datos.

«Los Gobiernos pueden exigir acceso a los datos de los usuarios o pedir que los aplicativos colaboren con las autoridades bajo el pretexto de la seguridad nacional o la seguridad pública», explica Durmaz. «Si un aplicativo se niega a cumplir, corre el riesgo de ser prohibido, lo que dificulta a los ciudadanos el acceso y uso libre de la plataforma».

«Los Gobiernos también pueden solicitar a las plataformas de medios sociales que tomen medidas específicas relacionadas con los datos o contenidos de los usuarios. Es importante saber que se trata de procedimientos normales para las investigaciones penales», añade. «Sin embargo, estas solicitudes gubernamentales se basan en leyes locales draconianas y cuando las leyes locales son propensas a usarse para la censura, estas solicitudes a menudo resultan tener el mismo propósito».

Botim permite anuncios para cuentas gratuitas, lo que expone a los usuarios a actores maliciosos que pueden explotar la infraestructura de publicación de anuncios para distribuir anuncios maliciosos, una práctica conocida como malvertising. Hacer clic en un anuncio malicioso podría conducir a infecciones de software malicioso, ataques de phishing u otras violaciones de seguridad en el dispositivo del usuario.

Una auditoría que realizamos con la herramienta de escaneo múltiple VirusTotal sugiere que el aplicativo está vinculado a fuentes que se consideran maliciosas por una lista de enlaces extraños que usa el aplicativo. Estos rastreadores suelen usarse con fines analíticos, publicitarios o de marketing, pero también pueden cumplir otras funciones, como informes de fallos o autenticación de usuarios.

El aplicativo menciona en su política que no será responsable de la recopilación, almacenamiento, recuperación y custodia de los datos facilitados a terceros. Los anunciantes pueden rastrear las actividades en línea y el comportamiento de los usuarios dentro del aplicativo de comunicación para crear perfiles publicitarios específicos. Este seguimiento puede dar lugar a prácticas invasivas de elaboración de perfiles y comprometer la privacidad y el anonimato de los usuarios, como lo que ocurre con Meta.

Alcance o privacidad: El eterno dilema

A partir del análisis forense del equipo de SMEX, podemos deducir los niveles de riesgo de los aplicativos mencionados. Los resultados se basan en los permisos de software, los permisos de hardware, las prácticas de seguridad, el contexto, las funciones y los datos recopilados. Los resultados se enumeran en la tabla siguiente:

Aunque todas las redes sociales y aplicaciones de mensajería recopilan datos, estos aplicativos plantean importantes amenazas para la seguridad, ya que «pueden recopilar más datos de los necesarios, tener medidas de seguridad más débiles o no dar a los usuarios un control suficiente sobre su configuración de privacidad», explica Durmaz.

Y como en la región de Asia Occidental y Norte de África hay pocas opciones de aplicativos de mensajería que respeten la privacidad del usuario, a los cibernautas no les queda más remedio que usar plataformas descentralizadas de medios sociales para proteger sus datos, ya que estas plataformas «funcionan a través de una red de servidores independientes, o ‘instancias’, cada una gestionada por separado», añade Durmaz. «Esto significa que ninguna empresa tiene control sobre todos los datos e interacciones de la plataforma».

Este análisis muestra la lamentable realidad de que en 22 países de habla árabe, donde viven más de 450 millones de personas, Meta y X siguen monopolizando las plataformas de comunicación. En todo caso, la ausencia de plataformas de medios sociales regionales indica la falta de voluntad de los países árabes ricos para mejorar la normativa local sobre privacidad de datos e inculcar una cultura de ciberseguridad. En cambio, algunos Estados de la región prefirieron invertir en programas espía en lugar de en comunicaciones y buscar recopilar datos en lugar de la innovación. Por otra parte, los usuarios se ven obligados a comprometer la privacidad de sus datos para lograr un gran alcance en las principales plataformas de medios sociales como Meta.