La Unión Europea y Estados Unidos imponen estrictas normas a las empresas tecnológicas para proteger los datos que recogen de sus clientes en cada país. También las tiendas de aplicaciones persiguen a las apps sospechosas, pero más de una vez se han descubierto herramientas que esconden códigos maliciosos en las tiendas de Apple y Google. Con este riesgo siempre latente, y la actual tensión provocada por la guerra en Ucrania, ahora se ha descubierto en miles de aplicaciones un software ruso que aseguraba ser estadounidense.

[Cuidado con estas cuatro aplicaciones: han infectado a un millón de móviles con phishing]

Pushwoosh, empresa que brinda soporte de código y procesamiento de datos a desarrolladores de software aseguraba tener la sede en Washington y su tecnología ha llegado a millones de dispositivos. Según ha podido comprobar Reuters, la dirección real de la empresa y donde estarían sus servidores en los que procesa los datos de todos esos móviles es la ciudad siberiana de Novosibirsk.

Los servicios de esta empresa facilitan a los creadores de aplicaciones móviles perfilar la actividad en línea de los usuarios y enviar notificaciones automáticas personalizadas desde estos servidores. El Ejército de Estados Unidos eliminó en el primer trimestre del año su aplicación basada en la tecnología de Pushwoosh que los soldados usaban en una de las principales bases de entrenamiento de combate del país.

Datos en Rusia

Aunque la empresa Cofiant, especializada en el rastreo del uso indebido de datos asegura que no han encontrado ninguna intención engañosa o maliciosa, pero esto "no disminuye el riesgo de que los datos de la aplicación se filtren a Rusia, advierten. "Los datos que recopila Pushwoosh son similares a los datos que podrían recopilar Facebook, Google o Amazon, pero la diferencia es que todos los datos de Pushwoosh en los EEUU se envían a servidores controlados por una empresa en Rusia", dijo Zach Edwards, un investigador de seguridad que detectó por primera vez la prevalencia del código Pushwoosh mientras trabajaba para Internet Safety Labs, una organización sin fines de lucro.

Ni Apple ni Google han respondido a las peticiones de Reuters, pero la tecnología de Pushwoosh se ha encontrado en más de 8.000 aplicaciones de ambas tiendas online, mientras que la propia empresa presume de haber llegado a más de 2.300 millones de dispositivos en sus bases de datos. 

Centro Nacional de Entrenamiento, en California REUTERS/Aude Guerrucci Omicrono

Además del Ejército de Estados Unidos y empresas centradas en la salud de los ciudadanos estadounidenses, la UEFA y Unilever son algunas de las empresas con aplicaciones en las que se ha encontrado el software de Pushwood, aunque las apps se habrían desarrollado por terceras empresas.

En su página web, Pushwoosh dice que no recopila información confidencial y Reuters no ha encontrado evidencias de que Pushwoosh haya manejado mal los datos de los usuarios. Sin embargo, hay que tener en cuenta que las autoridades rusas han obligado a las empresas locales a entregar los datos de los usuarios a las agencias de seguridad nacionales. 

Dirección y cuentas falsas

Tanto en redes sociales como en la documentación presentada ante las autoridades de Estados Unidos esta empresa se presenta como compañía asentada en Washington DC. Sin embargo, Reuters ha descubierto que la dirección de Kensington que figura es en realidad es el hogar de un amigo ruso del fundador de Pushwoosh, Max Konev. Este ha asegurado a la agencia de noticias bajo anonimato que no tenía nada que ver con Pushwoosh y que solo había accedido a permitir que Konev usara su dirección para recibir la correspondencia.

Perfil de Pushwoosh en Twitter Omicrono Omicrono

A lo largo de los años habría usado otras direcciones falsas en otros estados en el país americano. Incluso Reuters indica que ha utilizado cuentas falsas en LinkedIn para solicitar alguna venta; tras el aviso de la agencia, LinkedIn ha borrado las cuentas. Konev habría reconocido que las no eran genuinas, aunque culpa a una agencia de marketing contratada en 2018 para crearlas en un intento de usar las redes sociales para vender Pushwoosh, y que la intención no para enmascarar los orígenes rusos de la empresa.

Pushwoosh sí está registrado con el gobierno ruso para pagar impuestos en Rusia. la empresa se podría enfrentar a importantes sanciones por parte de Oficina de Protección al Consumidor de la FTC en Estados Unidos.

También te puede interesar...

• Elimina el malware de tu móvil gracias únicamente a estos dos sencillos pasos
• No descargues esta aplicación: es un virus y roba tus datos de Facebook
• Esta app promete Netflix gratis pero roba los datos de WhatsApp
• ¿Eres cliente del BBVA? Cuidado con este virus que puede robar las claves de acceso a tu cuenta