Los chats de Clubhouse son filtrados, suscitando preocupación por la seguridad

Una semana después de que la popular aplicación de chat de audio Clubhouse dijera que estaba tomando medidas para garantizar que los datos de los usuarios no pudieran ser robados por hackers o espías malintencionados, al menos un atacante ha demostrado que el audio en directo de la plataforma puede ser desviado.

Un usuario no identificado pudo difundir transmisiones de audio de Clubhouse este fin de semana desde “múltiples salas” a su propio sitio web de terceros, dijo Reema Bahnasy, portavoz de Clubhouse. Aunque la empresa dice que ha “prohibido permanentemente” a ese usuario en particular y ha instalado nuevas “salvaguardas” para evitar que se repita, los investigadores sostienen que la plataforma no está en condiciones de hacer tales promesas.

Los usuarios de la aplicación para iOS, a la que solo se puede acceder por invitación, deben asumir que todas las conversaciones son grabadas, según declaró a última hora del domingo el Stanford Internet Observatory, que fue el primero en plantear públicamente preocupaciones de seguridad el 13 de febrero. “Clubhouse no puede ofrecer ninguna promesa de privacidad para las conversaciones mantenidas en cualquier parte del mundo”, dijo Alex Stamos, director del Stanford Internet Observatory y antiguo jefe de seguridad de Facebook Inc.

Stamos y su equipo también pudieron confirmar que Clubhouse depende de una empresa emergente de Shanghai llamada Agora Inc. para gestionar gran parte de sus operaciones de back-end. Si bien Clubhouse es responsable de su experiencia de usuario, como agregar nuevos amigos y encontrar salas, la plataforma depende de la compañía china para procesar su tráfico de datos y producción de audio, expuso.

La dependencia de Clubhouse de Agora genera grandes preocupaciones sobre la privacidad, especialmente para los ciudadanos y disidentes chinos que tienen la impresión de que sus conversaciones están fuera del alcance de la vigilancia estatal, señaló Stamos.

Agora dijo que no podía comentar sobre los protocolos de seguridad o privacidad de Clubhouse e insistió en que no “almacena ni comparte información de identificación personal” de ninguno de sus clientes, de los cuales Clubhouse es solo uno. “Estamos comprometidos a hacer que nuestros productos sean lo más seguros posible”, declaró la empresa.

Durante el fin de semana, expertos en ciberseguridad se dieron cuenta de que el audio y los metadatos estaban siendo extraídos de Clubhouse a otro sitio. “Un usuario configuró una forma de compartir su conexión a distancia con el resto del mundo”, dijo Robert Potter, director ejecutivo de Internet 2.0 en Canberra, Australia. “El verdadero problema era que la gente pensaba que estas conversaciones eran siempre privadas”.

El culpable del robo de audio del fin de semana construyó su propio sistema en torno al kit de herramientas JavaScript utilizado para compilar la aplicación Clubhouse. En efecto, manipularon la plataforma, subrayó Stamos. El Stanford Internet Observatory dijo que no determinó el origen ni la identidad de los atacantes.

Aunque Clubhouse se negó a explicar qué medidas tomó para evitar una brecha similar, las soluciones pueden incluir evitar el uso de aplicaciones de terceros para acceder al audio de la sala de chat sin entrar realmente en una sala o simplemente limitar el número de salas en las que un usuario puede entrar simultáneamente, explicó Jack Cable, un investigador del Stanford Internet Observatory.

Hace una semana, el Stanford Internet Observatory publicó un informe en el que afirmaba haber observado que los metadatos de una sala de chat de Clubhouse “se retransmitían a servidores que creemos que están alojados” en China. Las obligaciones de Agora con respecto a las leyes de ciberseguridad de China significan que estaría legalmente obligada a ayudar a localizar audio en caso de que el gobierno sostenga que pone en peligro la seguridad nacional.

Clubhouse recaudó recientemente 100 millones de dólares con una valoración de $1 mil millones. Agora se ha disparado más de un 150% desde mediados de enero. Ahora tiene un valor cercano a los $10 mil millones.

A principios de febrero, los usuarios de Clubhouse en China dijeron que no podían acceder a la aplicación después una explosión de discusiones por parte de los usuarios del continente sobre temas tabúes, desde Taiwán hasta Xinjiang. Por el momento, parece que los usuarios pueden seguir accediendo a la aplicación mediante el uso de redes privadas virtuales, una de las pocas formas en que los habitantes de China continental pueden explorar Internet más allá del Gran Cortafuegos.

Si quiere leer este artículo en inglés, haga clic aquí