Carrier IQ, ¿responsable de espionaje?

La firma dijo desconocer que su ‘software’ guarda datos privados de los usuarios de celulares en EU; un desarrollador de Android dio a conocer el lunes pasado en un video la exposición de información.
smartphones.jpg  (Foto: ThinkStock)
David Goldman
NUEVA YORK -

La compañía detrás del hoy célebre software Carrier IQ, una aplicación que según se descubrió registra cada pulsación de tecla, cada sitio web visitado, cada mensaje de texto enviado por 150 millones de usuarios de teléfonos celulares, dijo el viernes pasado que estaba consternada al enterarse que su software hacía todo eso.

"Como a todos, nos sorprendió ver toda esa información fluyendo. Plantea muchas preguntas para la industria, no sólo para Carrier IQ", dijo en entrevista a CNNMoney Andrew Coward, director de marketing de Carrier IQ. 

La información "fluyendo" a la que Coward se refería fue expuesta el lunes anterior en un vídeo de 17 minutos publicado en YouTube por el desarrollador de Android, Travis Eckhart. El vídeo mostraba cómo Carrier IQ grababa todo lo que Eckhart introducía en su teléfono, almacenando los datos en lo que se conoce como un archivo ‘debug log'. 

El propósito de un registro debug es ayudar a los desarrolladores de software a depurar problemas en una aplicación. Guarda esa información en la memoria del teléfono, que se mantiene almacenada hasta que el dispositivo se apaga. Sin embargo, es inusual (y malo, según los expertos en seguridad) que una aplicación almacene tanta información en un registro debug.

"No se considera una buena práctica de seguridad insertar cualquier información sensible en un registro como ese", advierte Dan Rosenberg, asesor de la firma Virtual Security Research. 

Lo que no está claro todavía es si la culpa es enteramente de Carrier IQ. Coward insistió en que el software no era responsable de registrar las pulsaciones de teclas y otros datos de los usuarios. Dijo que el programa no necesita registrar ese tipo de información para servir a su propósito de transmitir datos de diagnóstico a la compañía operadora del teléfono. Coward dijo que, en lugar de eso, el registro se daba a nivel de sistema operativo, muy probablemente como resultado de un software adicional instalado por un puñado de fabricantes de teléfonos. Pero no podía asegurarlo con certeza. 

Expertos en seguridad indicaron que esa explicación preliminar ofrecida por Carrier IQ tenía sentido, y es al menos concebible que la compañía se mostrara "sorprendida" al saber que su aplicación estaba registrando tantos datos. Con todo, Carrier IQ no es totalmente inocente. 

"Si la compañía dice estar sorprendida, indica que los fabricantes de teléfonos insertaron algún código de depuración que están activando cuando no deberían hacerlo", señala Rosenberg. "Pero eso significa también que Carrier IQ tiene algún tipo de modo de depuración incorporado a su software que es capaz de registrarlo todo. No estoy seguro de quién escribió el código, pero fue una mala decisión", añade. 

El hecho de que la propia Carrier IQ no sepa qué es lo que sucede con su propia aplicación demuestra cuán turbia, complicada y enredada ha sido la debacle. El resultado son muchos dedos acusadores: portavoces de HTC y de Samsung le dijeron a CNNMoney que las operadoras de telefonía celular los obligaron a instalar el programa. 

Por su parte, las operadoras de telefonía celular que han admitido usar Carrier IQ (AT&T, Sprint y T-Mobile) están desviando a Carrier IQ todas las preguntas sobre cómo opera el software. Carrier IQ, a su vez, remite a las implementaciones que los fabricantes hacen de su software y dice que allí es dónde está el problema. Nadie se hace responsable. 

Los fabricantes, que no se separan de sus declaraciones escritas, aún intentan descubrir cuál es su papel en todo el desconcierto. Un portavoz de Samsung dijo que su compañía estaba investigando el tema y comentaría más tarde el asunto. Mientras, HTC arrojó la papa caliente a otros: "Los dispositivos de varias operadoras estadounidenses requieren Carrier IQ, por tanto, si los consumidores o los medios de comunicación tienen cualquier pregunta sobre las prácticas asociadas a, o los datos recogidos por Carrier IQ, les recomendamos que contacten a sus operadoras", declaró un vocero de HTC.

Bien, ¿pero qué pasa si la implementación que hace la propia HTC del software Carrier IQ es la causante del problema con el archivo debug log?

¿Cuántos fabricantes están afectados? Los investigadores todavía no lo saben, con una estimación de 150 millones de dispositivos que corren la aplicación Carrier IQ, se asume que "casi todos".

Por ejemplo, Research in Motion emitió una cuidada declaración en la que dice que "no preinstala la aplicación Carrier IQ en smartphones BlackBerry ni autoriza a sus socios operadores instalar la aplicación Carrier IQ antes de vender o distribuir (sus dispositivos)". No dice categóricamente que la aplicación no está en sus equipos, tal vez agregada por alguien más en el proceso de distribución.  

Incluso Apple, que controla obsesivamente todos los aspectos del hardware y software de sus dispositivos, reconoció haber instalado la herramienta en sus iPhones. La tecnológica dijo que dejó "de dar soporte a Carrier IQ para iOS 5 en casi todos nuestros productos", y la eliminará completamente en las futuras actualizaciones de software

¿Quieres más noticias como esta?
Conoce las innovaciones y las tendencias tecnológicas más relevantes.

Sin importar quién resulte el responsable final, la aplicación continúa despertando preocupaciones en cuanto a la privacidad. Un teléfono robado que no ha sido apagado (algo que ocurre con frecuencia) podría ser una mina de oro para los hackers, que tendrían acceso a virtualmente todo lo que el usuario ha hecho o dicho en su dispositivo desde la última vez que lo encendió. 

Debido a ese enorme riesgo, Carrier IQ está intentado planear lo que hará ahora. "Necesitamos ver la implementación de nuestra aplicación y qué se almacena en el registro. Estamos examinando cuidadosamente mucha información ahora", dijo Coward.

Ahora ve
El papel que juega Corea del Sur en la histeria actual por el bitcoin
No te pierdas
×