Clubhouse, la recientemente popular aplicación para iOS de contenidos en formato audio y a la que se accede solamente por invitación, sufrió un incidente de seguridad. El pasado fin de semana, un usuario sin autorización logró extraer a un sitio externo a la plataforma audios de varias salas dentro de la app. Al parecer, según explicó el experto en ciberseguridad australiano, Robert Potter, un usuario cuya identidad se desconoce encontró la forma de compartir de manera remota su acceso con el resto del mundo, pero “el problema era que la gente pensaba era que estas conversaciones eran privadas”, dijo el especialista.
Según confirmó la compañía a Bloomberg, la red social le prohibió el acceso al usuario y aseguran que añadieron nuevas medidas de seguridad para evitar que se repita. Sin embargo, según declaraciones de Alex Stamos, director del Observatorio de Internet de Stanford, organismo que recientemente abordó el tema de la privacidad y el acceso a los datos en Clubhouse, la app “no puede prometer la privacidad de ninguna de las conversaciones que se mantienen a lo largo del mundo”, por lo que los usuarios de esta plataforma deberían asumir que todas sus conversaciones están siendo grabadas.
Por otra parte, el sitio Silicon Angle reportó el pasado lunes que se registró otro incidente en Clubhouse. En esta oportunidad, al parecer un desarrollador ajeno a la compañía diseñó una app de código abierto que permitía a usuarios de Android acceder a la plataforma sin necesidad de una invitación para que cualquiera pueda escuchar archivos de audio. Además, el código de esta app fue publicado en GitHub.
Para los que no conocen, Clubhouse es una red social y aplicación en la que los usuarios pueden escuchar en vivo entrevistas, conversaciones y debates sobre diversos temas que se dan a través de distintas salas. Por el momento la app está disponible para iOS, pero en un comunicado publicado por Clubhouse el mes pasado, confirmaron que están trabajando en una versión para Android y en abrir el acceso a la aplicación para todos los usuarios.
Preocupación por la privacidad y la seguridad en Clubhouse
De acuerdo con la política de privacidad de Clubhouse, el audio con las conversaciones de cada sala se graba temporalmente para que, en caso de que un usuario durante una transmisión en vivo reporte una violación a su confianza y seguridad, la empresa pueda utilizarlo para fines de investigación. Si nada ocurre, los audios se eliminan apenas se termina la actividad.
La preocupación surge porque la aplicación trabaja junto a una Startup ubicada en China, llamada Agora Inc., que es responsable de procesar una gran cantidad de datos de tráfico y piezas de audio. Si bien desde Agora aseguran que ellos no recolectan información personal identificable ni de Clubhouse ni de ninguno de sus otros clientes y dicen también estar comprometidos con intentar hacer que sus productos sean lo más seguros posibles, según opinó Stamos, el hecho de que sea una empresa China está sujeta a las leyes de aquel país, lo que quiere decir que en el marco de una investigación el gobierno chino puede solicitar compartir contenidos de la app. Sobre todo si tenemos en cuenta el monitoreo y control que ejerce este país sobre el uso y acceso a Internet.
El caso de Clubhouse parece ser similar al que han sufrido otras apps y servicios cuya popularidad y cantidad de usuarios se incrementó repentinamente, dejando al descubierto debilidades de seguridad que no habían salido a la luz antes. Algo similar le ocurrió a Zoom en el inicio de la pandemia cuando en tan solo tres meses pasó de tener 10 millones de usuarios a 200 millones, y junto a la exposición salieron a la luz varios problemas de privacidad y seguridad que la empresa se vio obligada a ir resolviendo.
Como explica Potter a través de su cuenta de Twitter, muchas plataformas ya consolidadas trabajan con esfuerzo para evitar que los datos de los usuarios lleguen a terceros, porque saben que en general los datos son el activo más importante para monetizar a futuro. Lo que sucede a las nuevas plataformas es que a menudo se hacen muy populares antes de contar con controles de seguridad acordes.
Pero más allá de los incidentes recientes y que no se trató de un ataque, esto no quiere decir que en el futuro cercano no atraiga el interés de los cibercriminales.
Lecturas recomendadas: