Febrero 2013
14 de julio de 2020, 7:35:45
El Aguijón


Qué hay de cierto en todo el lío de Xiaomi, servidores en el extranjeros y datos privados compartidos

Por Alfonso de Castañeda

La guerra tecnológica estadounidense tiene un nuevo objetivo, Xiaomi. Forbes ha denunciado que Xiaomi está compartiendo datos de “millones de usuarios” sobre su uso “privado en web y móvil”.


Este nuevo embrollo es sólo uno más de las informaciones publicadas que denuncian que compañías asiáticas están compartiendo datos con terceros o que registran datos de sus usuarios en servidores chinos, cuestiones que chocan con algunas de las leyes de seguridad. Para tratar de aclarar estas cuestiones, en Zonamovilidad.es hemos hablado con Xiaomi y firmas de ciberseguridad internacionales para ver qué hay de cierto en este lío.

La acusación de Forbes

Recientemente, Forbes compartía los resultados de una investigación del experto en ciberseguridad de White Ops, Gabi Cirlig, en la que aseguraba que Xiaomi estaba registrando todos los sitios webs que se visitan en el navegador e incluso en las búsquedas de Google en modo incógnito y que estos datos se enviaban a un servidor de Alibaba en China.

En este texto, Forbes señala que los navegadores Mi Browser Pro, Mint Brower y el incluido por defecto en los equipos de la marca, graban el comportamiento web de las personas, algo que ocurre en los Redmi Note 8, Xiaomi Mi 10, Redmi K20 y Xiaomi Mi MIX 3, según denuncian.

En este sentido, Cirilig asegura que esta información está empaquetada y protegida con un cifrado base64 que se puede romper con facilidad, exponiendo los datos del usuario. En estos paquetes se envían datos como el identificador único del teléfono y la versión de Android instalada, algo que permitiría correlacionarse fácilmente con el dueño del terminal, según el experto en seguridad.

El artículo va más allá y asegura que la información está siendo compartida con Sensors Analytics, una compañía que se dedica a analizar el comportamiento de los usuarios, una cuestión que denuncia el investigador de ciberseguridad, Andrew Tierney, que asegura que la información recabada termina en dominios que hacen referencia a esta empresa y contienen una API de programación llamada SensorDataAPI.

Esta práctica no es una novedad en la industria, ya que compañías como Google hacen lo propio para “mejorar la experiencia de los usuarios”, pero en esta ocasión se asegura que Xiaomi hace esto incluso en navegación en modo incógnito.

Xiaomi sí recopila datos de usuarios, pero de forma anónima

Ante estas acusaciones la primera cuestión y la más importante es saber si realmente Xiaomi está o no recopilando datos de sus usuarios. En este sentido, la compañía nos confirma que sí están recopilando datos de sus usuarios, pero todos estos datos son “anónimos y cifrados” y además “todos los datos se uso recogidos se basan en la previa autorización y consentimiento dado de forma explícita por nuestros usuarios”.

Los datos "se utilizan de forma agregada para el análisis interno y sin vincular ninguna información de identificación personal"

En esta línea, Xiaomi explica que estos datos recopilados son estadísticos y que “se utilizan de forma agregada para el análisis interno y sin vincular ninguna información de identificación personal a ninguno de estos datos”.

Esta práctica es común en todos los mercados globales donde Xiaomi está presenta oficialmente para “ofrecer la mejor experiencia de usuario posible y para aumentar la compatibilidad entre el sistema operativo y varias aplicaciones”, siempre respetando la privacidad del usuario.

Qué datos almacena Xiaomi

Respecto a los datos que almacena la compañía, Xiaomi explica que recopila dos tipos de datos. Por un lado, datos estadísticos agregados y por otro los datos de navegación.

Xiaomi recopila datos de estadísticas de uso agregados. Estos datos, como información de las preferencias del sistema, uso de características de la interfaz de usuario, capacidad de respuesta, rendimiento, uso de memoria e informes de bloqueo. Estos datos se agregan y no se pueden utilizar por sí solos para identificar a ninguna persona.

Por ejemplo, la compañía registra la dirección URL que se visita para identificar las páginas web que cargan lentamente para “mejorar el rendimiento general de la navegación”.

En segundo lugar, la sincronización de los datos de navegación del usuario en dos casos: cuando el usuario inicia sesión en Mi Account; y también cuando se activa la función de sincronización de datos en configuración.

Por ejemplo, la marca utiliza estos datos para proporcionar a los usuarios acceso rápido a sitios web vistos anteriormente cuando los usuarios cambian entre dispositivos después de iniciar sesión en sus cuentas.

En cuanto al modo incógnito, los datos de navegación del usuario no se sincronizan, pero sí se recopilan los datos de estadísticas de uso agregadas.

Dónde se almacenan estos datos

Sabiendo ya el tipo de datos y la privacidad con la que almacenan los datos, el siguiente tema es conocer dónde se almacenan los datos de los usuarios. En este sentido, la compañía explica y asegura que aloja la información en “una infraestructura de nube pública que es común y bien conocida en la industria”.

Los datos se almacena en servidores en varios mercados extranjeros

Además, toda la información de los servicios y de los usuarios en el extranjero (fuera de China) se almacena en servidores en varios mercados extranjeros donde “se siguen estrictamente las leyes y regulaciones locales de protección de la privacidad de los usuarios y con las que cumplimos plenamente”.

Xiaomi se defiende

Sobre este tema, Xiaomi asegura que, como compañía de Internet, la seguridad y la privacidad del usuario son “principios fundamentales” de la compañía y “la base de nuestro trabajo diario” con una mejora “constante” en los productos, tecnologías, rendimiento y medidas de protección de la privacidad del usuario”. Además, la compañía señala que “en MIUI 12 hemos adaptado las medidas de protección de la privacidad más estrictas y transparentes de la industria, hasta la fecha”.

“En MIUI 12 hemos adaptado las medidas de protección de la privacidad más estrictas y transparentes de la industria, hasta la fecha”

Asimismo, señala que “siempre damos la bienvenida a las supervisiones basadas en hechos, consultadas y discusiones del público para mejorar continuamente nuestros productos y servicios”.

Xiaomi acusa además a Forbes y su redactor de no reflejar “con precisión el contenido y los hechos de estas comunicaciones”.

Conclusiones

Tras hablar con la compañía, las firmas de ciberseguridad que nos han confirmado la postura oficial y analizar detenidamente la información que publica Forbes, podemos concluir que Xiaomi sí almacenan una serie de datos, datos que son anónimos o agregados que se guardan en servidores extranjeros (fuera de China), pero sin confirmar el lugar concreto y cumpliendo con las normativas y regulaciones de protección de la privacidad del usuario.

Zonamovilidad.es.  Todos los derechos reservados.  ®2020   |  www.zonamovilidad.es