27 feb. 2021

El "hype" de Clubhouse y su (in)seguridad

El nuevo "hype" de Internet es Clubhouse, una red social de audios en la que puedes charlar con "celebridades" de la talla de Elon Musk, Ashton Kutcher u Oprah Winfrey.

Clubhouse vio la luz el pasado mes de abril y desde entonces, está valorada en más de mil millones de dólares y ya supera los cinco millones de usuarios. Todo ello, a pesar de que sólo está disponible en iOS y a que sólo se puede acceder con la invitación de otro miembro de este "selecto" club.

Pese a sus limitaciones de ingreso, se está convirtiendo en el epicentro de muchas conversaciones, y que debido a la presencia de personalidades. Por ejemplo, los últimos avances de Neuralink de Elon Musk, fueron hecho públicos en un encuentro en Clubhouse.

La diferencia más evidente con otras redes es que no se basa en texto, sino en voz, y que de algún modo las conversaciones se organizan a modo de podcast temático, más que como una conversación informal entre varias personas, tal y como ofrecen otros servicios como Zello. Clubhouse pretende ser un servicio en el que la conversación es bastante más organizada.

Debido a la naturaleza de su funcionamiento, es fácil caer en el error de pensar que no debemos preocuparnos. Es cierto que, a diferencia de otras redes, en Clubhouse no se realizan publicaciones de estado, no se suben fotos de las vacaciones ni textos sobre lo que pensamos o lo que estamos haciendo, no se emplea el geoposionamiento… puede parecer, en términos de seguridad, un servicio bastante inocuo, ¿verdad? Pues no. Es cierto que se exponen menos datos, pero eso no significa que no haya riesgos.

Panda Security ha publicado un artículo en el que da un repaso a aquellos aspectos en los que la seguridad de Clubhouse es mejorable, así como qué aspectos de nuestra privacidad se pueden ver comprometidos por usar esta red social. Como siempre, en estos casos, esto no significa que no debamos usarla, claro, pero sí que debemos ser conscientes de los riesgos a los que nos podemos enfrentar al hacerlo, y permanecer atentos a las mejoras que los responsables de Clubhouse hagan en ese sentido.

La conexión de Clubhouse con China

Aunque el concepto de Clubhouse nació en Estados Unidos, de la mano de los emprendedores Paul Davison y Rohan Seth, la infraestructura sobre la que se asienta el servicio la gestiona Agora Inc, una startup china con sede en Shanghai. Esto no es malo per se, pero dadas las políticas del gigante asiático en lo referido a Internet, ya debe ponernos un tanto a la defensiva, y hacer que actuemos con tanta cautela como sea posible al emplear el servicio.

La compañía Agora Inc., que proporciona servicios de infraestructura a Clubhouse y se tiene sede en Shanghai. Según el SIO, cualquier persona o grupo que observase el tráfico podría encontrar relación entre los ID y las salas compartidas. Aunque no se transmitieran nombres de usuario, aseguran que no sería difícil identificar a personas. 

Acceso a datos del usuario

El informe de Panda señala que los paquetes de metadatos empleados por la app cada vez que un usuario accede a una sala no están cifrados, lo que deja expuestas las ID de los usuarios que se conectan a cada sala, permitiendo que un hipotético atacante tenga la posibilidad de identificar qué temas interesan a cada usuario, trazando así un perfil de los mismos que puede llegar a ser bastante detallado, en los usuarios que emplean Clubhouse de manera habitual.

Otro problema de Clubhouse, que es común en las redes sociales (y también en otros tipos de servicios) es que, con el fin de ofrecer una experiencia más personalizada, pide tener acceso a tus contactos. Es cierto que esta información es útil para encontrar a las personas que conoces y que ya están en el servicio. Pero, aún así, no debemos de restarle importancia a estar compartiendo tanto los datos de otras personas, como una lista que permiten relacionarnos con todas ellas.

Una de las particularidades de Clubhouse es que las conversaciones de las salas no se conservan. O las escuchas en tiempo real o te las pierdes para siempre, ya que no son almacenadas. Sin embargo hay una excepción a esa regla: si algún usuario reporta una conversación, ésta es guardada en los servidores del servicio hasta que se completa la investigación de la misma. Esto es lógico, y la buena noticia es que se almacenan cifradas, por lo que no suponen un problema de seguridad, pero sí es algo que hay que tener en cuenta. 

De acuerdo con la política de privacidad de Clubhouse, el audio con las conversaciones de cada sala se graba temporalmente para que, en caso de que un usuario durante una transmisión en vivo reporte una violación a su confianza y seguridad, la empresa pueda utilizarlo para fines de investigación. Si nada ocurre, los audios se eliminan apenas se termina la actividad.

Análisis realizados

Una investigación del Stanford Internet Observatory (SIO) afirma que sería posible acceder al dato bruto de las conversaciones, junto a metadatos que incluye el ID de la aplicación y el ID de la reunión o sala. Esos datos se transmitían sin cifrado y en texto plano. 

El pasado fin de semana, un usuario sin autorización logró extraer a un sitio externo a la plataforma audios de varias salas dentro de la app. Al parecer, según explicó el experto en ciberseguridad australiano, Robert Potter, un usuario cuya identidad se desconoce encontró la forma de compartir de manera remota su acceso con el resto del mundo, pero “el problema era que la gente pensaba era que estas conversaciones eran privadas”, dijo el especialista.

Según confirmó la compañía a Bloomberg, la red social le prohibió el acceso al usuario y aseguran que añadieron nuevas medidas de seguridad para evitar que se repita. Sin embargo, según declaraciones de Alex Stamos, director del Observatorio de Internet de Stanford, la app "no puede prometer la privacidad de ninguna de las conversaciones que se mantienen a lo largo del mundo", por lo que los usuarios de esta plataforma deberían asumir que todas sus conversaciones están siendo grabadas.

La buena noticia es que los responsables de Clubhouse parecen ser bastante conscientes de la importancia de la seguridad y, a instancia de algunas recomendaciones del Observatorio de Internet de Stanford, han afirmado "con la ayuda de investigadores del Observatorio, hemos identificado algunas áreas en las que podemos fortalecer aún más nuestra protección de datos". Entre las medidas anunciadas, se han comprometido a mejorar los cifrados, así como a evitar que los audios de las salas se envíen y gestionen en servidores alojados en China.

Fuentes: WeLiveSecurity | Panda Security | Muy Seguridad

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!