(CNN) – Es una de las aplicaciones de compras más populares de China. Vende ropa, comestibles y prácticamente de todo a más de 750 millones de usuarios al mes.
Pero, según investigadores en ciberseguridad, también puede burlar la seguridad del móvil de los usuarios para vigilar las actividades de otras aplicaciones, comprobar notificaciones, leer mensajes privados y cambiar la configuración.
Y, una vez instalada, es difícil de eliminar.
Aunque muchas aplicaciones recopilan grandes cantidades de datos de los usuarios, a veces sin su consentimiento explícito, expertos afirman que el gigante del comercio electrónico Pinduoduo llevó las violaciones de la privacidad y la seguridad de los datos a un nivel superior.
En una investigación detallada, CNN habló con media docena de equipos de ciberseguridad de Asia, Europa y Estados Unidos, así como con varios antiguos y actuales empleados de Pinduoduo, tras recibir un aviso.
Varios expertos identificaron la presencia de malware en la aplicación de Pinduoduo que aprovechaba vulnerabilidades de los sistemas operativos Android. Según fuentes internas de la empresa, los softwares fueron utilizados para espiar a usuarios y competidores, supuestamente para aumentar las ventas.
“No habíamos visto una aplicación de este tipo que tratara de escalar sus privilegios para acceder a cosas a las que no debería tener acceso”, afirma Mikko Hyppönen, director de investigación de WithSecure, una empresa finlandesa de ciberseguridad.
“Esto es muy inusual, y es bastante condenatorio para Pinduoduo”.
Malware, abreviatura de software malicioso, se refiere a cualquier programa desarrollado para robar datos o interferir en sistemas informáticos y dispositivos móviles.
Las pruebas de malware sofisticado en la aplicación Pinduoduo llegan en medio de un intenso escrutinio de aplicaciones desarrolladas en China, como TikTok, por la preocupación que suscita la seguridad de los datos.
Algunos legisladores estadounidenses presionan para que se prohíba a nivel nacional la popular aplicación de videos cortos, cuyo CEO, Shou Chew, fue interrogado por el Congreso durante cinco horas la semana pasada sobre sus relaciones con el gobierno chino.
También es probable que las revelaciones atraigan más atención sobre Temu, la aplicación hermana internacional de Pinduoduo, que encabeza las listas de descargas en Estados Unidos y se expande rápidamente en otros mercados occidentales. Ambas son propiedad de PDD, empresa multinacional con raíces en China que cotiza en el Nasdaq.
Aunque Temu no ha sido implicada, las presuntas acciones de Pinduoduo pueden ensombrecer la expansión mundial de su aplicación hermana.
No hay pruebas de que Pinduoduo haya entregado datos al gobierno chino. Pero como Beijing goza de una gran influencia sobre las empresas bajo su jurisdicción, a los legisladores estadounidenses les preocupa que cualquier empresa que opere en China pueda verse obligada a cooperar en una amplia gama de actividades de seguridad.
Los hallazgos se producen después de que Google suspendiera Pinduoduo de su Play Store en marzo, citando malware identificado en versiones de la aplicación.
Un informe posterior de Bloomberg afirmaba que una empresa rusa de ciberseguridad también identificó malware potencial en la aplicación.
Pinduoduo rechazó previamente “la especulación y acusación de que la app Pinduoduo es maliciosa”.
CNN se puso en contacto con PDD en múltiples ocasiones por correo electrónico y teléfono para pedirle comentarios, pero no ha recibido respuesta.
Ascenso al éxito
Pinduoduo, que cuenta con una base de usuarios que representa tres cuartas partes de la población en línea de China y un valor de mercado tres veces mayor que el de eBay, no siempre fue un gigante de las compras en línea.
Fundada en 2015 en Shanghái por Colin Huang, un antiguo empleado de Google, la startup luchaba por establecerse en un mercado dominado durante mucho tiempo por los incondicionales del comercio electrónico Alibaba y JD.com.
Lo consiguió ofreciendo grandes descuentos en los pedidos de compra en grupo de amigos y familiares, y centrándose en las zonas rurales de bajos ingresos.
Pinduoduo registró un crecimiento de tres dígitos en usuarios mensuales hasta finales de 2018, año en que cotizó en Nueva York. A mediados de 2020, sin embargo, el aumento de usuarios mensuales se había ralentizado a alrededor del 50% y siguió disminuyendo, según sus informes de resultados.
Según un empleado actual de Pinduoduo, fue en 2020 cuando la empresa creó un equipo de unos 100 ingenieros y jefes de producto para buscar vulnerabilidades en los teléfonos Android, desarrollar formas de explotarlas y convertirlas en ganancias.
Según la fuente, que pidió el anonimato por temor a represalias, al principio la empresa solo se dirigía a usuarios de zonas rurales y ciudades pequeñas, evitando a los de megaciudades como Beijing y Shanghái.
“El objetivo era reducir el riesgo de ser descubierto”, dijeron.
Mediante la recopilación de datos exhaustivos sobre las actividades de los usuarios, la empresa pudo crear un retrato completo de sus hábitos, intereses y preferencias, según la fuente.
Esto le permitió mejorar su modelo de aprendizaje automático para ofrecer notificaciones push y anuncios más personalizados, atrayendo a los usuarios a abrir la aplicación y hacer pedidos, indicaron.
El equipo se disolvió a principios de marzo, añadió la fuente, después de que salieran a la luz preguntas sobre sus actividades.
PDD no respondió a las reiteradas peticiones de CNN para que comentara la situación del equipo.
Lo que encontraron los expertos
Consultados por CNN, investigadores de la empresa de ciberseguridad Check Point Research -con sede en Tel Aviv-, la startup de seguridad de aplicaciones Oversecured -con sede en Delaware- y WithSecure -de Hyppönen- realizaron un análisis independiente de la versión 6.49.0 de la aplicación, publicada en las tiendas de aplicaciones chinas a finales de febrero.
Google Play no está disponible en China, y los usuarios de Android del país descargan sus aplicaciones de las tiendas locales. En marzo, cuando Google suspendió Pinduoduo, reportó que encontró malware en versiones de la aplicación fuera de Google Play.
Los investigadores encontraron código diseñado para lograr una “escalada de privilegios”: un tipo de ciberataque que aprovecha un sistema operativo vulnerable para obtener un nivel de acceso a los datos superior al que se supone que debe tener, según los expertos.
“Nuestro equipo aplicó ingeniería inversa a ese código y podemos confirmar que trata de escalar derechos, intenta acceder a cosas que las aplicaciones normales no podrían hacer en los teléfonos Android”, señaló Hyppönen.
La aplicación era capaz de seguir funcionando en segundo plano y evitar ser desinstalada, lo que le permitía aumentar su tasa de usuarios activos mensuales, según Hyppönen. También tenía la capacidad de espiar a sus competidores rastreando la actividad de otras aplicaciones de compras y obteniendo información de ellas, añadió.
Check Point Research identificó además formas en las que la aplicación era capaz de eludir el escrutinio.
Según los investigadores, la aplicación utilizaba un método que le permitía enviar actualizaciones sin pasar por el proceso de revisión de la tienda de aplicaciones destinado a detectar aplicaciones maliciosas.
También identificaron en algunos plug-ins la intención de ocultar componentes potencialmente maliciosos escondiéndolos bajo nombres de archivo legítimos, como los de Google.
“Esta técnica es muy utilizada por los desarrolladores de malware, que inyectan código malicioso en aplicaciones con funciones legítimas”, explican.
Android en el blanco
En China, aproximadamente tres cuartas partes de los usuarios de teléfonos inteligentes utilizan el sistema Android. El iPhone de Apple tiene una cuota de mercado del 25%, según Daniel Ives, de Wedbush Securities.
Sergey Toshin, fundador de Oversecured, dijo que el malware de Pinduoduo se dirigía específicamente a diferentes sistemas operativos basados en Android, que incluyen los utilizados por Samsung, Huawei, Xiaomi y Oppo.
CNN se puso en contacto con estas empresas para recabar sus comentarios.
Toshin describió Pinduoduo como “el malware más peligroso” jamás encontrado entre las aplicaciones convencionales.
“Nunca vi nada como esto antes. Es algo así como superexpansivo”, precisó.
La mayoría de los fabricantes de teléfonos personalizan en todo el mundo el núcleo del software Android, el Android Open Source Project (AOSP), para añadir funciones y aplicaciones exclusivas a sus propios dispositivos.
Toshin descubrió que Pinduoduo aprovechó unas 50 vulnerabilidades del sistema Android. La mayoría de los software de explotación estaban hechos a medida para piezas personalizadas conocidas como código del fabricante de equipos originales (OEM), que suele auditarse con menos frecuencia que el AOSP y, por tanto, es más propenso a las vulnerabilidades, dijo.
Pinduoduo también explotó varias vulnerabilidades de AOSP, incluida una que Toshin señaló a Google en febrero de 2022. Google corrigió el error este mes de marzo.
Según Toshin, los softwares permitían a Pinduoduo acceder a las ubicaciones, contactos, calendarios, notificaciones y álbumes de fotos de los usuarios sin su consentimiento. También podían cambiar la configuración del sistema y acceder a las cuentas de redes sociales y chats de los usuarios, señaló.
De los seis equipos con los que habló CNN para este reportaje, tres no realizaron exámenes completos. Pero sus revisiones primarias mostraron que Pinduoduo pedía un gran número de permisos más allá de las funciones normales de una aplicación de compras.
Incluían “permisos potencialmente invasivos” como “establecer fondo de pantalla” y “descargar sin notificación”, dijo René Mayrhofer, director del Instituto de Redes y Seguridad de la Universidad Johannes Kepler de Linz (Austria).
Disolución del equipo
Las sospechas sobre la presencia de malware en la aplicación de Pinduoduo surgieron por primera vez a finales de febrero en un informe de una empresa china de ciberseguridad llamada Dark Navy. Aunque el análisis no nombraba directamente al gigante de las compras, el informe se difundió rápidamente entre otros investigadores, que sí nombraron a la empresa. Algunos de los analistas siguieron con sus propios informes confirmando los hallazgos originales.
Poco después, el 5 de marzo, Pinduoduo publicó una nueva actualización de su aplicación, la versión 6.50.0, que eliminaba los softwares maliciosos, según dos expertos con los que habló CNN.
Dos días después de la actualización, Pinduoduo disolvió el equipo de ingenieros y jefes de producto que lo desarrolló, según la fuente de Pinduoduo.
Al día siguiente, los miembros del equipo se encontraron bloqueados en la aplicación de comunicación en el lugar de trabajo de Pinduoduo, Knock, y perdieron el acceso a los archivos de la red interna de la empresa. Los ingenieros también vieron revocado su acceso a los macrodatos, las hojas de datos y el sistema de registro, según la fuente.
La mayoría del equipo fue trasladado a Temu. Fueron asignados a diferentes departamentos de la filial, y algunos trabajaron en marketing o en el desarrollo de notificaciones push, según la fuente.
En Pinduoduo permanece un grupo central de unos 20 ingenieros de ciberseguridad especializados en encontrar y explotar vulnerabilidades, añade.
Toshin, de Oversecured, que investigó la actualización, dijo que aunque los softwares de explotación se habían eliminado, el código subyacente seguía ahí y podía reactivarse para llevar a cabo ataques.
Fracaso de supervisión
Pinduoduo logró aumentar su base de usuarios en un contexto de medidas regulatorias restrictivas del Gobierno de China contra las grandes empresas tecnológicas que comenzaron a finales de 2020.
Ese año, el Ministerio de Industria y Tecnología de la Información puso en marcha una amplia campaña contra las aplicaciones que recopilan y utilizan ilegalmente datos personales.
En 2021, Beijing aprobó su primera legislación integral sobre privacidad de datos.
La Ley de Protección de Datos Personales estipula que ninguna parte debe recopilar, procesar o transmitir ilegalmente información personal. También se prohíbe explotar vulnerabilidades de seguridad relacionadas con internet o realizar acciones que pongan en peligro la ciberseguridad.
Según expertos en política tecnológica, el aparente malware de Pinduoduo supondría una violación de esas leyes y debería haber sido detectado por el regulador.
“Esto sería embarazoso para el Ministerio de Industria y Tecnología de la Información, porque es su trabajo”, afirma Kendra Schaefer, experta en política tecnológica de la consultora Trivium China. “Se supone que deben comprobar Pinduoduo, y el hecho de que no hayan encontrado (nada) es vergonzoso para el regulador”.
El Ministerio publica periódicamente listas para denunciar las aplicaciones que vulneran la privacidad de los usuarios u otros derechos. También publica otra lista de aplicaciones retiradas de las tiendas de aplicaciones por incumplir la normativa.
Pinduoduo no aparecía en ninguna de esas listas.
CNN se puso en contacto con el Ministerio de Industria y Tecnología de la Información y con la Administración del Ciberespacio de China para recabar sus comentarios.
En las redes sociales chinas, algunos expertos en ciberseguridad se preguntan por qué los reguladores no han tomado ninguna medida.
“Probablemente ninguno de nuestros reguladores entiende de codificación y programación, ni de tecnología. Ni siquiera puedes entender el código malicioso cuando te lo ponen delante de las narices”, escribió la semana pasada un experto en ciberseguridad con 1,8 millones de seguidores en una publicación viral en Weibo, una plataforma similar a Twitter.
La publicación fue censurada al día siguiente.
Kristie Lu Stout y Sean Lyngaas, de CNN, contribuyeron a este artículo.