Problemas de privacidad en Clubhouse – tus datos pueden terminar en China
Clubhouse es ahora la aplicación del momento. En medio de la pandemia, con restricciones y aislamiento social, su éxito fue inmediato porque introdujo una nueva forma de contacto virtual.
En países como Brasil, incluso empresas se han sumado a la tendencia, ofreciendo charlas con personalidades a cambio de visibilidad. Políticos, artistas y celebridades se ha unido a la red social. Esto provocó que muchos usuarios compitieran ferozmente por invitaciones a la red que es exclusiva del sistema operativo iOS.
Pero al igual que con Zoom, cuya popularidad también se disparó durante la pandemia, pronto surgieron serios problemas de seguridad y privacidad. Parece que el éxito no ha estado a la altura de las preocupaciones sobre la seguridad de los datos de los usuarios.
Clubhouse depende de una empresa china, Agora, para las operaciones de back-end. Esto significa que Agora es responsable de procesar el tráfico de datos y la producción de audio de la aplicación.
Al final, parece que Clubhouse solo es responsable de la experiencia de usuario.
Tus datos van a China
Christian Perrone, coordinador del ámbito de Derechos y Tecnología del Instituto de Tecnología y Sociedad de Rio de Janeiro (ITS Rio) dio su postura. Según él “la analogía más cercana que podemos hacer es lo que le pasó a Zoom al inicio de la pandemia. Al tener demasiado tráfico, la empresa pasó datos a través de servidores en China”.
Es poco probable que el papel de Agora provoque la misma controversia que Tik Tok. No obstante, sigue siendo preocupante saber que todo el audio pasa por servidores chinos.
Nathan Freitas, programador, experto en seguridad y director del Proyecto Guardian, dice que “hay algunos problemas fundamentales con Clubhouse”.
Primero, explica que “el protocolo básico no parece utilizar cifrado ni siquiera en la capa de transporte en todos los lugares”. Esto significa que “tus audios o tus [datos] de participación se mueven por Internet y no siempre están protegidos”.
En segundo lugar, posiblemente uno de los problemas más urgentes que rodean a la aplicación es su relación con China. Según Freitas, “la empresa en la que Clubhouse confía para muchas de sus funciones de audio e infraestructura tiene su sede en China. Por lo tanto, incluso si eres un usuario global de Clubhouse, las comunicaciones entran y salen de China. Las comunicaciones pasan a través de un sistema de vigilancia y censura regulado por el gobierno”
Clubhouse no es tan privada como podrías pensar
Finalmente, “la interfaz del protocolo en sí parece ser bastante fácil de aplicar ingeniería inversa. Y, ya ha habido una serie de utilidades y aplicaciones de terceros y personas que exportan secuencias del llamado audio privado a sitios web externos”.
Esto significa que todas y cada una de las conversaciones que tengas en Clubhouse “deben considerarse completamente públicas como si estuvieran en un podcast “
Nathan Freitas
Recientemente, un ataque de hackers demostró que era posible transmitir audio en vivo desde salas de chat dentro de la aplicación con cierta facilidad.
“Con el auge de salas para conversaciones más privadas, hay que destacar algunos detalles. Incluso con contenido confidencial, es importante que los usuarios comprendan que las conversaciones no están cifradas de un extremo a otro como en algunas aplicaciones de mensajería.”
Carlos Affonso, profesor de la Facultad de Derecho de la Universidad Estatal de Río de Janeiro (UERJ)
No como Tik Tok, pero sigue siendo preocupante
Clubhouse prometió que mejorarían su seguridad, pero los expertos dudan de que puedan hacerlo, y China puede tener acceso gratuito a todas las conversaciones. De hecho, varios audios fueron filtrados y publicados en un sitio web chino por un usuario ahora baneado. Él construyó su propio sistema en torno al kit de herramientas de JavaScript utilizado para compilar la aplicación Clubhouse. Se desconoce si esta fue la acción de un único usuario o si el gobierno chino estuvo de alguna manera detrás del exploit.
Las repercusiones geopolíticas podrían ser enormes, aunque, como explica Perrone, Clubhouse es bastante diferente de Tik Tok.
“En el caso de Tik Tok está el tema de que la propia empresa esté relacionada con una empresa china. No obstante, en el caso de Clubhouse, es una empresa secundaria”. “Cambia un poco el tema geopolítico y también el tipo de acceso a los datos que pueden tener las empresas “.
“En el caso de TikTok, la empresa matriz, ByteDance, era el controlador de datos principal. Esto podría influir en la subsidiaria en los Estados Unidos para dar acceso a los datos almacenados en los servidores de Estados Unidos. En el caso de Agora, no es un controlador de datos, proporciona servicios, es un proveedor de datos y no necesariamente tiene acceso a la misma cantidad de datos o control sobre esos datos”.
Christian Perrone
Cuando te registras, compartes los datos de tus amigos
Otro problema más es el llamado ” shadow profile (perfil sombra)”. Los perfiles sombra se crean cada vez que una empresa, a través de una actividad de su usuario o cliente, comienza a procesar datos de otras personas. Estas personas no tienen una cuenta ni relación con ella. Perrone señala que incluso “una persona como tú o como yo, que nunca se ha unido a Clubhouse” forman parte de sus datos. Nuestros datos pueden estar almacenados en los servidores de la empresa.
La empresa tiene información sobre nosotros, tiene acceso a la agenda de las personas y a la información de contacto. Ese es un problema de protección de big data porque no estás al tanto de lo que está sucediendo.
En otras palabras, una vez que alguien se suscribe a Clubhouse, está dando permiso para que la aplicación acceda a su lista de contactos. Es decir, la capacidad de mapear toda su red: quiénes son sus amigos, quiénes son tus amigos, etc.
Clubhouse, entonces, “transforma a tus amigos que han iniciado sesión en la aplicación y han abierto su lista de contactos en verdaderos “filtradores”. Ellos filtran datos personales de otras personas.
Red contactos
Y con cada nuevo usuario aumenta la red de contactos, ya que el acceso a la libreta de direcciones es un requisito para enviar una invitación. La política de privacidad de la empresa es bastante general sobre cómo se recolectan los datos y qué se puede hacer con eso.
Es bastante preocupante que Clubhouse tenga un acceso tan irrestricto a usuarios de Internet de terceros sin que ellos se den cuenta.
Una empresa con la que nunca has contactado, con la que nunca te has comunicado, nunca has dado tu consentimiento para acceder a tus datos. Esa empresa tiene datos personales sobre ti. Este es un problema. Sobre todo, cuando pensamos en legislaciones de datos personales que presupone control y transparencia sobre cómo y qué datos tienen las empresas sobre ti.
Al final, desconocemos si Clubhouse podrá pasar por el mismo proceso que Zoom y resolver una parte significativa de sus problemas de privacidad. No obstante, se mantendrán problemas como el tráfico de información que pasa por China. Elegir unirse a Clubhouse es una decisión que afecta no solo a la seguridad de los datos de quienes han recibido y aceptado una invitación. La decisión también afecta a los amigos y redes anexas de quien decide unirse.