Clubhouse sale al paso de un informe que revela importantes fallos de seguridad

Silvia

Redactora especializada en Seguridad y Tecnología.

Guardar

Es muy probable que en las últimas semanas hayas oído hablar de Clubhouse, la nueva plataforma social basada en audios que está mostrando puede suponer un nuevo hito en la historia de los social media. Creada por Paul Davison y Rohan Seth, fue lanzada en mayo del año pasado, en plena pandemia de la Covid-19, y ya ha registrado con más de cinco millones de descargas a pesar de que, por el momento, cuenta con dos grandes limitaciones: solo está disponible en iOS y solo se puede acceder por invitación de uno de sus miembros.

Este formato de acceso por invitación ha provocado que usuarios anónimos se entremezclen con varias personalidades, como Elon Musk, Oprah Winfray, Ashton Kutcher o Jared Leto, y que a la vez se dispare su popularidad. Actualmente, Clubhouse es la red social de moda pero se ha visto obligada a salir al paso de una investigación que afirma haber encontrado fallos de seguridad en su infraestructura que han permitido al gobierno chino poder acceder a los datos privados de los usuarios.

La investigación que ha situado a Clubhouse en el punto de mira

La investigación ha sido llevada a cabo por el Observatorio de Internet de Stanford (SIO, por sus siglas en inglés) y ha confirmado que Agora, una startup con sede en Shanghai, proporciona infraestructura de back-end a Clubhouse y suministra la plataforma de participación de voz y video en tiempo real. Según los investigadores de Stanford, precisamente en Agora es donde radica la raíz del problema ya que genera "paquetes" con metadatos de los usuarios –como el ID de la aplicación o el ID de la sala– pero no están encriptados, por lo que terceros pueden tener acceso a la información.

"En al menos un caso, SIO observó que los metadatos de la sala se transmitían a servidores que creemos están alojados en la República Popular China, y el audio a servidores administrados por entidades chinas y distribuidos en todo el mundo a través de Anycast. También es posible conectar las ID de la Clubhouse con los perfiles de usuario", asegura la investigación.

Según el SIO, es probable que el gobierno chino pueda acceder a cualquier dato no cifrado que se transmita a través de servidores en la República Popular China sin ni siquiera tener que acceder a las redes de Agora. También indica que es muy posible que Agora tenga acceso al tráfico de audio sin procesar de Clubhouse. "Salvo el cifrado de extremo a extremo (E2EE), Agora podría interceptar, transcribir y almacenar el audio. Es muy poco probable que Clubhouse haya implementado el cifrado E2EE", señala. Sin embargo, los investigadores de Stanford también creen que el gobierno chino no podría acceder a los datos si el audio se almacenaba en Estados Unidos.

El gobierno chino censuró Clubhouse el pasado 8 de febrero

Esta investigación ha visto la luz solo unos días después de que las autoridades chinas prohibieran el uso de Clubhouse en el país, tras varias semanas en las que los usuarios orientales pudieron debatir sin censura. En este sentido, los investigadores declaran lo siguiente:

"Durante años, el gobierno chino ha bloqueado sitios web o aplicaciones que no se ajustan lo suficiente a su principio de 'cibersoberanía', la idea de que cada país debe establecer los límites de la ciberactividad dentro de su territorio. El gobierno chino generalmente mantiene definiciones vagas para el comportamiento ilegal, lo que le permite la máxima flexibilidad para bloquear contenido no deseado.  El gobierno rara vez explica por qué bloquea aplicaciones individuales. En el caso de Clubhouse, es probable que el gobierno se opusiera a las conversaciones políticas sobre Xinjiang, Hong Kong, Tiananmen, la censura y otros".

Las respuestas de Clubhouse y de Agora a esta investigación

Clubhouse ha salido al paso del revuelo que ha generado esta investigación y ha asegurado que va a reforzar su seguridad.

"Con la ayuda de los investigadores del Observatorio de Internet de Stanford, hemos identificado algunas áreas en las que podemos fortalecer aún más nuestra protección de datos", ha afirmado Clubhouse en un comunicado, según recoge la agencia Reuters.

"Durante las próximas 72 horas, implementaremos cambios para agregar encriptación y bloques adicionales para evitar que los clientes de Clubhouse transmitan 'pings' a los servidores chinos. También planeamos contratar a una empresa de seguridad de datos externa para revisar y validar estos cambios", ha agregado.

Agora, por su parte, ha subrayado que no almacenan archivos de audio o metadatos y que lo que hacen es monitorizar la calidad de la red. Además, ha asegurado que el Gobierno chino no puede acceder a los datos porque los servidores se encuentran en Estados Unidos.