Clubhouse y sus principales riesgos de seguridad

Clubhouse es la nueva plataforma de audios en streaming en la que puedes charlar con celebridades de la talla de Elon Musk, Ashton Kutcher y Oprah Winfrey. Clubhouse vio la luz a principios de 2020 y desde entonces, está valorada en más de mil millones de dólares y ya supera los cinco millones de usuarios. Todo ello, a pesar de que sólo está disponible en iOS y a que sólo se puede acceder con la invitación de otro miembro.

Sin embargo, como pasa con cada nueva aplicación viral con algún nexo con China, Clubhouse nace con cierta controversia alrededor de su nombre. Aunque los emprendedores que la han lanzado son los estadounidenses Paul Davison y Rohan Seth, dos conocidos emprendedores que ya han montado algún proyecto de éxito, el Observatorio de Internet de Stanford (por sus siglas en inglés, SIO), ha advertido de que la empresa que da el soporte a la infraestructura de la app es Agora, una startup de origen chino y sede en Shanghai.

Un encriptado de la información mejorable

El principal problema con la seguridad de esta aplicación es que Agora no está haciendo los deberes como debería en lo que respecta a la seguridad. La startup china genera “paquetes de metadatos” para cada uno de los usuarios que no están encriptados. Es decir, cada vez que un usuario entra en una sala la plataforma registra que el ID de cada usuario se ha conectado al ID de la sala en la que ha estado. Por tanto, como esa información no está cifrada, si un hacker se hiciera con este listado, podría acceder a mucha información sensible como los temas en los que participa cada usuario, la frecuencia, desde dónde lo hace y un largo etcétera.

Otro de los puntos que hacen dudar sobre el tratamiento de los datos de Clubhouse es qué ocurre con los audios que se comparten. Aunque parece que todos los archivos sonoros se eliminan una vez que todos los usuarios han abandonado una sala, la política de privacidad de Alpha Exploration, la empresa matriz de Clubhouse,  dice que las conversaciones sólo se eliminan de forma automática si nadie reporta una “violación de confianza y seguridad” durante todo el chat.

Dicho de otra manera, en caso de que alguien reporte un incidente, Clubhouse almacena el audio hasta que “se completa la investigación”. No obstante, es destacable que las grabaciones de audio temporales se almacenan de forma encriptada, y que la compañía se reserva el derecho de compartirlas con las autoridades si es necesario.

La parte positiva de todo esto es que, tras la advertencia del Observatorio de Internet de Stanford, un portavoz de Clubhouse señaló hace unos días que “con la ayuda de investigadores del Observatorio, hemos identificado algunas áreas en las que podemos fortalecer aún más nuestra protección de datos”. En ese mismo comunicado, el directivo de Clubhouse indicaba que la app desarrollará un nuevo cifrado y bloqueos adicionales para evitar que los usuarios envíen sus audios a servidores alojados en china.

Acceso a los contactos de la agenda de tu móvil

Otro tema controvertido es el uso que da la app a las agendas de las personas que entran a formar parte de este selecto club. El hecho de que sólo se pueda acceder con invitación le da un halo de exclusividad en el que es fácil pasar por alto que Clubhouse pide acceso a toda la libreta de direcciones de los usuarios para que puedan enviar sus invitaciones a otros usuarios de iPhone y que aun no la han descargado.

Al dejar que la app acceda a todos nuestros contactos, estamos permitiendo que se almacenen y carguen en el servidor de Clubhouse. “Aunque se trata de algo que todos deberíamos evitar, un grandísimo porcentaje de usuarios de redes sociales ya han aceptado este tipo de tratamiento de sus datos. En concreto, esto ocurre cuando damos  la orden de buscar a más ‘personas que podrías conocer’, ya que se está dando el permiso a redes sociales como Facebook a ver toda nuestra libreta de contactos para encontrarlas”, advierte el Global Consumer Operations Manager de Panda Security, Hervé Lambert.

Cuidado con los códigos de activación en Internet

Por otro lado, como pasa con cualquier aplicación que genera una lista de espera, ya han comenzado a venderse por Internet códigos de invitación a la plataforma. Por medio de mensajes en las redes sociales, videotutoriales en YouTube y algunos foros, ya se han puesto a la venta decenas de propuestas para comprar a “un precio módico” el acceso a este jardín de la alegría sónico para el móvil. “Aunque es probable que algunas de esas claves de acceso sí sean lícitas, lo más probable es que en su mayoría sean timos online, advierte Hervé Lambert, Global Consumer Operations Manager de Panda Security.

“Además, quienes ponen estos anuncios en línea seguramente quieran hacerse con nuestros datos bancarios o, como mínimo robarnos 20 ó 30 euros. Quizás pueda parecer poco, pero si pensamos que cada uno de estos hackers podría estar timando a centenas o miles de personas, se trata de delitos muy graves”, añade Hervé Lambert.

Una forma clara de detectar este tipo de fraudes es que, aunque la aplicación sólo está disponible en la plataforma para iPhone, es fácil encontrar en Internet a personas que están vendiendo claves para acceder a Clubhouse en la Play Store de Android.

“Es comprensible que los trend hunters estén siempre atentos a las novedades que ofrece Internet y a las nuevas redes sociales. Por eso,  nos parece lógico estar al día en qué novedades nos traen nuestros teléfonos móviles. Sin embargo, cuando algo es poco conocido, muchas veces necesita ser evaluado y testado por el mercado. Por ello, nuestra recomendación es que antes de descargar una novedosa aplicación, confirmemos el tratamiento correcto de nuestros datos. Asimismo, si contamos con medidas de seguridad en nuestros dispositivos, hagamos un análisis del uso de las nuevas apps para minimizar los riesgos”, finaliza Hervé Lambert.