Hace unos meses hablamos de cómo Temu, la aplicación china de compras, estaba robando los datos de sus usuarios. Bueno, parece que no es la única app proveniente del gigante asiático que hace lo mismo, y es que expertos de ciberseguridad han detectado que Pinduoduo, una de las aplicaciones de compras más populares de China, también podría estar robando la información de los que la usan.

La amenaza oculta detrás de la aplicación Pinduoduo

Pinduoduo, una de las apps de compras más populares de China, ha sido señalada por expertos en ciberseguridad por espiar a sus usuarios de maneras alarmantes. Esta aplicación, que ofrece desde ropa hasta comestibles a más de 750 millones de usuarios mensuales, ha sido acusada de burlar la seguridad de los teléfonos móviles para monitorear actividades en otras apps, leer mensajes privados y cambiar configuraciones.

Según una investigación de CNN, múltiples equipos de ciberseguridad de Asia, Europa y Estados Unidos han identificado la presencia de malware en la aplicación Pinduoduo, explotando vulnerabilidades en los sistemas operativos Android. Este malware permite a la aplicación espiar a los usuarios y competidores, presuntamente para aumentar las ventas.

El experto en ciberseguridad Mikko Hyppönen de la firma finlandesa WithSecure describió el caso como altamente inusual y perjudicial para Pinduoduo, indicando que “no hemos visto una aplicación de uso masivo como esta intentar escalar sus privilegios para acceder a cosas a las que no debería tener acceso”.

Qué repercusiones podría traer

Las revelaciones sobre Pinduoduo llegan en un momento de intensa vigilancia sobre aplicaciones desarrolladas en China, como TikTok, por preocupaciones de seguridad de datos y como la aplicación muestra una imagen totalmente diferente en occidente que en oriente. Algunos legisladores estadounidenses están impulsando una prohibición nacional de TikTok, y la situación con Pinduoduo podría intensificar la atención hacia su aplicación hermana internacional, Temu, que está ganando popularidad en mercados occidentales.

Aunque no hay evidencia de que Pinduoduo haya entregado datos al gobierno chino, las preocupaciones persisten debido a la influencia de Beijing sobre las empresas en su jurisdicción. Esto ha llevado a Google a suspender la aplicación de su Play Store en marzo, citando malware en versiones de la aplicación.

A pesar de las acusaciones, Pinduoduo ha rechazado cualquier especulación y acusación de que su aplicación sea maliciosa. CNN ha intentado contactar a PDD, la empresa matriz de Pinduoduo, sin recibir respuesta.

El crecimiento de Pinduoduo y las prácticas cuestionables

Fundada en 2015 por Colin Huang, un ex empleado de Google, Pinduoduo rápidamente se posicionó en el mercado chino dominado por gigantes como Alibaba y JD.com, ofreciendo descuentos significativos y enfocándose en áreas rurales de bajos ingresos. Sin embargo, en 2020, la empresa supuestamente creó un equipo de ingenieros y gerentes de producto para explotar vulnerabilidades en teléfonos Android, obteniendo así datos masivos sobre las actividades de los usuarios.

Según una fuente anónima, Pinduoduo inicialmente dirigió estos esfuerzos hacia usuarios en áreas rurales para minimizar el riesgo de exposición. La recopilación de datos permitió a la empresa mejorar su modelo de aprendizaje automático y personalizar notificaciones y anuncios, aumentando las tasas de usuarios activos mensuales.

Investigadores de Check Point Research y Oversecured, entre otros, realizaron análisis independientes de la versión 6.49.0 de la aplicación y confirmaron la existencia de código diseñado para escalar privilegios, permitiendo a la aplicación acceder a datos y funciones normalmente inaccesibles.

Fallos regulatorios y reacciones

El malware en Pinduoduo pone en evidencia fallos significativos en la supervisión regulatoria. A pesar de las leyes de protección de datos en China, la aplicación logró evitar la detección por parte del Ministerio de Industria y Tecnología de la Información, encargado de regular y auditar las aplicaciones. Esto ha generado críticas en redes sociales y entre expertos en ciberseguridad sobre la eficacia de los reguladores.

Un experto con 1.8 millones de seguidores en Weibo criticó la incapacidad de los reguladores para entender y detectar el código malicioso, un post que fue censurado al día siguiente. La falta de acción por parte de las autoridades chinas plantea preguntas sobre la capacidad y disposición de los reguladores para proteger a los usuarios.

Cómo hemos mencionado, esta no es la primera vez que una aplicación, a espaldas de nosotros, hace uso de nuestra información y parece que esta práctica se está haciendo cada vez más frecuente ¿Qué sucede con nuestra privacidad? Parece que cada día es más obvio que les importa menos.