El software ruso encontrado en aplicaciones militares y del CDC de EE.UU, pertenece a una empresa rusa llamada Pushwhoosh, que dice tener su sede en EE.UU.
Una aplicación potencialmente sensible es una de las miles de aplicaciones de iOS y Android que contienen código de perfil de usuario de una empresa rusa que se hace pasar por una empresa estadounidense, lo que plantea problemas de privacidad y seguridad.
Según un informe, el código de Pushwoosh se ha instalado en un gran número de aplicaciones, incluidas las de los Centros para el Control y la Prevención de Enfermedades (CDC) y el ejército estadounidense.
Según Appfigures, una empresa de inteligencia de aplicaciones, el código de Pushwoosh se ha encontrado en casi 8.000 aplicaciones de la App Store de Apple y la Play Store de Google.
Es habitual que los desarrolladores integren en sus aplicaciones código escrito por terceros. Esto puede simplificar la ejecución de tareas comunes, como el envío de una notificación automática, y permitir que una aplicación utilice servidores de terceros para el almacenamiento y procesamiento de datos.
El riesgo es que un desarrollador no sepa exactamente para qué sirve el código. Así, el código de terceros no sólo puede realizar la función especificada, sino también recoger datos para sus propios fines.
Han existido muchos casos en los que los datos de localización se han recogido en secreto y se han vendido a corredores de datos, por ejemplo.
Apple dijo que se toma en serio la confianza y la seguridad de los usuarios, pero declinó responder a las preguntas de Reuters.
Pushwoosh en el Ejército de EEUU.
El software ruso ha sido utilizado por los soldados de una de las principales bases de entrenamiento del país.
El ejército dijo que había eliminado una aplicación que contenía el código de Pushwoosh en marzo. El CDC dijo que había eliminado el código de siete de sus aplicaciones públicas. Ambas instituciones alegaron problemas de seguridad.
No se ha revelado el número de veces que los efectivos utilizaron la aplicación, que es un portal de información del Centro Nacional de Formación (NTC) de California.
El NTC es una importante instalación de entrenamiento de combate en el desierto de Mojave, donde los soldados se entrenan antes del despliegue, por lo que un fallo de datos en este lugar podría proporcionar información sobre los próximos movimientos de tropas en el extranjero.
El portavoz del Ejército de Estados Unidos, Bryce Dubee, dijo que el ejército no había sufrido ninguna “pérdida de datos operativos” y añadió que la aplicación no se había conectado a la red del ejército.
Pushwoosh proporciona a los desarrolladores de software asistencia en el manejo de códigos y datos para que puedan enviar notificaciones automáticas a los usuarios.
Su sitio web afirma que no recoge información sensible, y una investigación de Reuters no encontró pruebas de que Pushwoosh haya manejado mal los datos de los usuarios.
La empresa del software ruso, emplea a unas 40 personas y el año pasado facturó 143.270.000 rublos (2,4 millones de dólares). Pushwoosh está registrado en el gobierno ruso para pagar impuestos en Rusia.
El fundador de la empresa, Max Konev, declaró a Reuters que la empresa nunca había intentado ocultar sus orígenes rusos y que no tenía vínculos con el gobierno ruso. Konev también explicó que Pushwoosh almacena sus datos en Estados Unidos y Alemania.
Sin embargo, según los expertos en seguridad informática, almacenar los datos en el extranjero no impediría a los servicios secretos rusos obligar a una empresa rusa a entregarlos.
Las relaciones comerciales de Pushwoosh con organismos gubernamentales y empresas privadas de EE.UU. podrían infringir la Comisión Federal de Comercio (FTC) y las leyes de contratación pública o dar lugar a sanciones.
No podemos pasar por alto que Rusia, cuyas relaciones con Occidente se han deteriorado desde la toma de la península de Crimea en 2014 y la invasión de Ucrania este año, es líder mundial en piratería informática y espionaje y, según funcionarios occidentales, espía a gobiernos y empresas extranjeras para obtener ventajas competitivas.
Por su parte, Washington podría decidir imponer sanciones a Pushwoosh y cuenta con amplios poderes, según los expertos en sanciones, incluido un reglamento de aplicación de 2021 que permite a EE.UU. apuntar al sector tecnológico de Rusia por actividades cibernéticas maliciosas.
¿Qué otras organizaciones han trabajado con el software ruso?
Varias grandes empresas y organizaciones, como la UEFA y Unilever, dijeron que terceros habían desarrollado las aplicaciones para ellos o que probablemente habían contratado a una empresa estadounidense.
No tenemos ninguna relación directa con Pushwoosh”, dijo Unilever en un comunicado, añadiendo que Pushwoosh había sido eliminado “hace algún tiempo” de una de sus aplicaciones.
La UEFA dijo que el acuerdo de Pushwoosh se había cerrado “con una empresa estadounidense”. La UEFA declinó decir si estaba al tanto de los vínculos rusos de Pushwoosh, pero dijo que estaba revisando su relación con la empresa tras ser contactada por Reuters.
La ANR dijo que su contrato con la empresa había expirado el año pasado y que “no tenía conocimiento de ningún problema”.
El Partido Laborista del Reino Unido no respondió a las solicitudes de comentarios.
Información cuestionable de Pushwoosh?
Según se conoce, el software ruso utilizó cuentas de LinkedIn supuestamente pertenecientes a dos ejecutivos de Washington llamados Mary Brown y Noah O’Shea para promover las ventas. Pero ni Brown ni O’Shea son personas reales, según descubrió Reuters.
La foto de Brown es de una profesora de baile austriaca, tomada por un fotógrafo moscovita que dijo a Reuters que no sabía cómo había llegado allí.
Konew admite que los informes no son ciertos y según dijo, en 2018 Pushwoosh encargó su creación a una agencia de marketing con el fin de utilizar las redes sociales para comercializar Pushwoosh y no ocultar el origen ruso de la empresa.
LinkedIn por su parte dijo que eliminó las cuentas con información falsa después de ser alertado por Reuters.
Aparte de los perfiles falsos, Pushwoosh no ha mencionado sus vínculos con Rusia en los documentos normativos estadounidenses ni en las redes sociales.
Para las empresas que lo utilizan, el código sigue suponiendo un riesgo potencial para la seguridad. Según los documentos de la empresa, Pushwoosh tiene su sede en Novosibirsk, Siberia.
Sin embargo, en los medios de comunicación estadounidenses y en los documentos de las autoridades de supervisión, se presenta como una empresa estadounidense.
La empresa enumeró varias ubicaciones que no estaban del todo claras. Según los documentos corporativos presentados recientemente ante el Secretario de Estado de Delaware, la empresa menciona “Washington, D.C.” como ubicación de Twitter y menciona una casa en Kensington, Maryland, como dirección de su sede. La dirección de Maryland también aparece en sus perfiles de Facebook y LinkedIn.
La casa de Kensington es propiedad de un amigo ruso de Konyev, que habló con un periodista de Reuters bajo condición de anonimato. Dijo que no tenía nada que ver con Pushwoosh y que sólo había aceptado que Konev utilizara su dirección para recibir correo.
Konev dijo que Pushwoosh empezó a utilizar su dirección de Maryland durante la pandemia de coronavirus para “recibir correo comercial”.
También expresó, que Pushwoosh operaba ahora desde Tailandia, pero no aportó ninguna prueba de que la empresa estuviera registrada allí. Reuters no pudo encontrar una empresa con ese nombre en el registro mercantil tailandés.
En sus ocho presentaciones anuales en el estado norteamericano de Delaware, donde está registrada la empresa, Pushwoosh nunca mencionó su sede en Rusia, lo que podría constituir una violación de la legislación estadounidense.
En cambio, Pushwoosh indica una dirección en Union City, California, como su principal lugar de negocios para los años 2014 a 2016. Según los funcionarios de Union City, no existe tal dirección.