Para el evento de fútbol más esperado del año, se le pedirá a los aficionados y turistas descargar dos aplicaciones. Ehteraz y Hayya, las cuales son fundamentales para poder disfrutar de Qatar 2022. Sin embargo, el jefe de seguridad Øyvind Vasaasen de NRK, medio de comunicación noruego, revisó los aspectos técnicos de las aplicaciones y emitió varias conclusiones. Entre ellas, que se deben verificar los permisos de seguridad y privacidad para no terminar dando información delicada a las autoridades del emirato país.
¿Qué detectaron los expertos?
Como parte de los preparativos de la casa de medios para el WC de Qatar, NRK contrató a Bouvet y Mnemonic, dos empresas independientes de seguridad informática que revisaron a profundidad las aplicaciones y concluyeron alarmantes advertencias. Cuando se descargan ambas apps y se aceptan los términos y condiciones establecidos en contrato, “básicamente entregas toda la información en tu teléfono”, y de acuerdo con Vasaasen se tiene acceso para leer, cambiar y modificar cosas de tu dispositivo móvil.
Así, estas apps tendrían el camino libre para recuperar información de otras herramientas instaladas en tu teléfono celular, que, aunque no están seguros de que la aplicación tenga la capacidad, sus registros apuntan que sí.
“Estás autorizando o permitiendo que las autoridades entren en tu casa. Prácticamente, están consiguiendo una llave y pueden entrar o salir las veces que sea. No sabes lo que están haciendo allí, y aunque dicen que no se aprovecharán del uso de esta información, la oportunidad ahí está. Se las estaríamos dando al descargar y ejecutar estas apps.”, señala Vasaasen.
Estas son las aplicaciones
A todos los que viajen a Qatar durante la Copa Mundial de Fútbol se les pedirá que descarguen Ehteraz y Hayya.
Ehteraz es una aplicación de seguimiento de Covid-19, mientras que Hayya es una aplicación oficial de la Copa del Mundo que se utiliza para realizar un control de las entradas de los partidos. Además, permite acceder al metro gratuito en el emirato país. En particular, la aplicación de Ehteraz solicita acceso a varios derechos en su dispositivo móvil, como: acceso para leer, eliminar o cambiar todo el contenido del teléfono. También pide acceso para conectarse a WiFi y Bluetooth, anular otras aplicaciones y evitar que el teléfono se apague o llegue al modo de suspensión.
Aunque esta app debe ser descargada únicamente por los mayores de 18 años que viajen a disfrutar la Copa Mundial 2022. En el proceso, también obtiene otros accesos como una descripción general de la ubicación exacta, la capacidad de hacer llamadas directas a través del teléfono celular y la capacidad de desactivar el bloqueo de pantalla.
Por su parte, la aplicación Hayya también tiene una serie de aspectos críticos. Aunque no pida tantos permisos y accesos de privacidad. Solicita compartir la información personal casi sin restricciones. Además, determina la ubicación exacta del teléfono, evita que el dispositivo entre en modo de suspensión y ve las conexiones de red del celular.
Comentarios de las empresas con respecto a las apps
Martin Grav å k en la empresa Bouvet aseguró que esto ha sido un escándalo de privacidad. Cree que, si alguien tiene malas intenciones hacia el Instituto de Salud Pública de Qatar, entonces puede hacer muchas cosas perjudiciales con la información que recopila la aplicación. También cree que la app puede rastrear ubicación y los otros móviles cerca de quien la tiene instalada. De esta manera, pueden cruzar la información y averiguar reuniones.
Por su parte, la empresa Mnemonic comparó la aplicación Ehteraz con la primera versión de Smittestopp. Esta fue conocida por alertar a los ciudadanos que tuvieron contacto con un paciente contagiado, por lo que recopilaba información delicada de las personas. “Las consecuencias para individuos y grupos si los datos de Ehteraz se extravían pueden ser significativas", puntualizó uno de los voceros de la empresa, Tor Erling Bj ø rstad.
Estas aplicaciones procesan datos, en particular los relacionados con el GPS y la posición, que tienen un alto potencial de abuso. Sin embargo, su análisis técnico no encontró señales de que realmente puedan cambiar las cosas que están almacenadas localmente en el dispositivo móvil. Advierten que la razón puede ser que aún no se ha implementado. Esto significa que ellos no descartan la posibilidad de que lleguen a monitorear ubicaciones.
¿Qué aseguran otros expertos?
Por otra parte, Naomi Lintvedt, investigadora de la Facultad de Derecho de la Universidad de Oslo, revisó las aplicaciones a pedido de NRK. Ella estuvo de acuerdo con el jefe de seguridad del medio noruego en que hay muchos problemas de seguridad y privacidad. Describe las aplicaciones como "muy intrusivas" . No se le puede dar todo el consentimiento a uso de la app. Si aceptamos esto en todas las aplicaciones, más adelante habrá opciones limitadas para cambiar los permisos.
“Van demasiado lejos en términos de qué datos se registran y utilizan. Obtienen un acceso demasiado amplio para cambiar y hacerse cargo de la funcionalidad de su teléfono móvil. Permite la vigilancia del gobierno y dado que se trata de Qatar, es algo que también debe tenerse en cuenta.”, Lintvedt cree podría aumentar el riesgo de que los datos se utilicen para otros fines que no sean el seguimiento puro de infecciones.
Autoridades en el Fútbol
Aunque el medio de comunicación noruego, NRK, presentó los hallazgos sobre los agujeros de seguridad de las aplicaciones a la Federación Internacional de Fútbol Asociación, conocida por su sigla francesa FIFA, estos dijeron que no quieren opinar del asunto. Por lo que se cree que las autoridades deportivas no implementarán o asegurarán que los datos estén a salvo.
¿Cómo protegerse?
La conclusión del gerente de seguridad, Vasaasen, es que simplemente se cambie el contenido del dispositivo móvil que se vaya a usar en el evento deportivo. También recomienda tener control total sobre la información que se guarde en el celular. De no ser necesario, no activar la ubicación exacta y formatearlo una vez terminado el Mundial.
Sigue leyendo: Estafa en WhatsApp: no abras un link que te promete el álbum del mundial con estampitas