Los Juegos Olímpicos de Invierno, que comienzan este viernes en Pekín, llegan en una normalidad tensa. La crisis de Ucrania ha desviado toda la atención diplomática hacia Rusia y el este de Europa, relegando a un segundo plano a China, foco habitual de esas tensiones en los últimos años. Pero ni siquiera los movimientos de tropas rusas hacia la frontera europea han podido evitar que una sombra de sospecha se extienda sobre la cita deportiva, con varios países y organismos independientes alertando de que existe un riesgo real de que el gigante asiático ciberataque a todos los participantes en los Juegos, desde atletas a periodistas, pasando por los comités olímpicos.
China somete a cibervigilancia extrema a sus ciudadanos y a los extranjeros, especialmente si son periodistas, activistas o personas relevantes en las redes sociales. Las autoridades del país interceptan de forma habitual las redes wifi y las comunicaciones no encriptadas en su rastreo de disidentes, por lo que la recomendación de las agencias de ciberseguridad occidentales es siempre extremar la precaución si se visita su territorio. No obstante, la alerta en estos Juegos ha llegado de un peligro mucho más concreto: la app que la organización obliga a instalar a todos los participantes.
El Comité Olímpico Internacional (COI) ha pedido a los atletas y sus entrenadores, a los periodistas y a los miembros de los comités deportivos que instalen esta app, llamada MY2022 y desarrollada por el Gobierno chino. Los usuarios deben introducir datos como su pasaporte o información del vuelo, así como de su estado de salud, como si tuvieron fiebre, fatiga, dolor de cabeza, tos, diarrea o dolor de garganta. La función principal de la app es el rastreo de contagios por coronavirus, pero también se usará para regular el acceso a los eventos e incluye noticias, un chat y una herramienta para la transferencia de archivos.
Según advierte un informe del Citizen Lab de la Universidad de Toronto, la aplicación “tiene un defecto sencillo pero devastador por el que se puede eludir el cifrado que protege las transferencias de audio y archivos de los usuarios”. “También son vulnerables los formularios de control sanitario que transmiten datos del pasaporte, información demográfica e historial médico y de viajes”, añaden los investigadores.
El Citizen Lab es un centro de investigación muy reputado en la investigación de ciberataques contra la sociedad civil. Sus investigadores son los responsables de buena parte de los hallazgos que se han hecho sobre Pegasus, el software diseñado por una empresa israelí que se ha utilizado para hackear los teléfonos de líderes mundiales, activistas, políticos y periodistas de todo el mundo. En MY2022 también han encontrado la capacidad de censurar las comunicaciones de los usuarios en base a una lista de 2.442 términos políticos.
Entre los términos que la app puede censurar está “Xi Jinping” (secretario general del Partido Comunista Chino) y otros organismos gubernamentales chinos, varias referencias a Tiananmen, al Tíbet, al Dalai Lama y a los uigures, una etnia musulmana que sufre la persecución de las autoridades chinas y cuyos miembros fueron apresados y retenidos en lugares que Pekín denomina “centros de formación profesional”, siendo obligados a trabajar en fábricas. La UE ha denunciado la situación como una “violación grave de los derechos humanos” e interpuesto sanciones contra las empresas que usan el algodón que sale de las factorías donde los uigures realizan trabajos forzados.
La capacidad de censura de la app está desactivada por el momento, según los análisis del Citizen Lab, aunque “no está claro por qué”. “Es posible que la censura se haya desactivado intencionadamente, en un intento de ocultar el alcance del régimen de censura de China a personas ajenas al país o por presión del COI [Comité Olímpico Internacional], que ya ha intentado negociar con el gobierno chino sobre los contenidos que puede y no puede censurar en los Juegos”, explican sus investigadores.
Es posible que la censura se haya desactivado intencionadamente, en un intento de ocultar el alcance del régimen de censura de China a personas ajenas al país o por presión del COI
La conclusión del Citizen Lab es que, pese a que la app cumpliría todos los requisitos, no existen pruebas de que el Gobierno chino la haya diseñado específicamente para el ciberespionaje. Sus numerosos riesgos, detalla el informe, podrían también ser una consecuencia del ecosistema de cibervigilancia masiva de los servicios digitales del país. Es una postura que no comparten otros análisis forenses realizados a la app, como el del experto en ciberseguridad Jonathan Scott.
“Después de hacer ingeniería inversa de toda la aplicación de Pekín 2022 para iOS y para Android, puedo decir definitivamente que todo el audio de los deportistas olímpicos está siendo recogido, analizado y almacenado en servidores chinos”, ha avisado este especialista.
Scott ha detectado, además, que en ese proceso interviene la tecnología de la empresa iFlytek, una de las compañías que EEUU ha incluido en su lista negra por sus vínculos con las operaciones de ciberespionaje llevadas a cabo por el Gobierno chino. La compañía está acusada también de vender herramientas de inteligencia artificial a las autoridades que son destinadas a la vigilancia y control de la minoría uigur.
“No hemos dado ninguna instrucción”
Antes de la serie de revelaciones sobre los riesgos de ciberseguridad de MY2022, EEUU ya había hecho la recomendación a sus atletas de no llevarse ningún dispositivo electrónico personal al gigante asiático y así evitar el riesgo de que fuera infectado con malware. Países Bajos, Reino Unido, Canadá o la República Checa también han pedido a sus participantes que sigan esta sencilla recomendación, así como que eviten conectarse a redes wifi y que utilicen aplicaciones que aseguren la comunicación cifrada.
España, al contrario, ha preferido no actuar al considerar el riesgo de ciberespionaje “un problema a nivel diplomático”, ha manifestado este jueves el director del Comité Olímpico Español (COE), Alejandro Blanco. “Nosotros no hemos dado ninguna instrucción, la gente viene a competir que es lo que tiene que hacer. Estamos en unos Juegos y los chicos llevan cuatro años luchando cada día por intentar ser los mejores y aquí venimos a hablar de deportes. Venimos a unos Juegos, venimos a competir e intentar ser felices todos”, ha añadido.
Los Juegos Olímpicos deben servir para intentar tener un tiempo de paz, de respeto y de compartir alegrías
Los dos abanderados de la delegación española, Queralt Castellet (snowboard) y Ander Mirambell (skeleton) se han posicionado en el mismo sentido. “Hay que ser prácticos, aquí funciona todo con aplicaciones. Lo único que hemos visto son buenas intenciones por parte de todos, para ayudar, para que estemos lo más cómodos posible. No me parece que tengamos que tener miedo en ese sentido”, explicaba la primera. “Hoy día es más probable que te hackeen el teléfono en un aeropuerto que con una aplicación”, ha abundado su compañero.
El presidente del COE ha añadido que “los Juegos Olímpicos deben servir para intentar tener un tiempo de paz, de respeto y de compartir alegrías”. El COI ha sido criticado por cientos de ONG como Human Rights Watch o Aministía Internacional por mantener esta posición de tolerancia respecto a China pese a la vigilancia masiva a la que somete a su población, la represión contra los disidentes políticos y las repetidas violaciones de los derechos humanos que perpetra contra la población uigur.
Hasta 243 ONG firmaron una carta pidiendo el boicot diplomático contra los Juegos Olímpicos de Pekín ante la negativa del COI a actuar. Según ha publicado este jueves el Washington Post, un grupo de atletas está preparando un acto de protesta contra el Gobierno chino y el COI para la ceremonia de apertura.