Redacción
Por James Pearson y Marisa Taylor
LONDRES/WASHINGTON (Reuters) – Miles de aplicaciones para teléfonos inteligentes en las tiendas en línea de Apple y Google contienen código informático desarrollado por una empresa de tecnología, Pushwoosh, que se presenta como con sede en Estados Unidos, pero en realidad es rusa, descubrió Reuters.
Los Centros para el Control y la Prevención de Enfermedades (CDC), la principal agencia de los Estados Unidos para combatir las principales amenazas para la salud, dijeron que habían sido engañados al creer que Pushwoosh tenía su sede en la capital de los EE. UU. Después de enterarse de sus raíces rusas por Reuters, eliminó el software Pushwoosh de siete aplicaciones públicas, citando preocupaciones de seguridad.
El Ejército de EE. UU. dijo que había eliminado una aplicación que contenía el código Pushwoosh en marzo debido a las mismas preocupaciones. Esa aplicación fue utilizada por soldados en una de las principales bases de entrenamiento de combate del país.
Según documentos de la empresa presentados públicamente en Rusia y revisados por Reuters, Pushwoosh tiene su sede en la ciudad siberiana de Novosibirsk, donde está registrada como una empresa de software que también realiza procesamiento de datos. Emplea a unas 40 personas y reportó ingresos de 143.270.000 rublos (2,4 millones de dólares) el año pasado. Pushwoosh está registrado con el gobierno ruso para pagar impuestos en Rusia.
Sin embargo, en las redes sociales y en las presentaciones regulatorias de EE. UU., se presenta como una empresa estadounidense, con sede en varios momentos en California, Maryland y Washington, DC, descubrió Reuters.
Pushwoosh brinda soporte de código y procesamiento de datos para desarrolladores de software, lo que les permite perfilar la actividad en línea de los usuarios de aplicaciones para teléfonos inteligentes y enviar notificaciones automáticas personalizadas desde los servidores de Pushwoosh.
En su sitio web, Pushwoosh dice que no recopila información confidencial y Reuters no encontró evidencia de que Pushwoosh haya manejado mal los datos de los usuarios. Sin embargo, las autoridades rusas han obligado a las empresas locales a entregar los datos de los usuarios a las agencias de seguridad nacional.
El fundador de Pushwoosh, Max Konev, dijo a Reuters en un correo electrónico de septiembre que la empresa no había tratado de enmascarar sus orígenes rusos. «Estoy orgulloso de ser ruso y nunca ocultaría esto».
Dijo que la compañía «no tiene conexión con el gobierno ruso de ningún tipo» y almacena sus datos en Estados Unidos y Alemania.
Sin embargo, los expertos en seguridad cibernética dijeron que almacenar datos en el extranjero no evitaría que las agencias de inteligencia rusas obliguen a una empresa rusa a ceder el acceso a esos datos.
Rusia, cuyos lazos con Occidente se han deteriorado desde que tomó el control de la Península de Crimea en 2014 y su invasión de Ucrania este año, es un líder mundial en piratería y ciberespionaje, espiando a gobiernos e industrias extranjeros para buscar una ventaja competitiva, según funcionarios occidentales.
ENORME BASE DE DATOS
El código Pushwoosh se instaló en las aplicaciones de una amplia gama de empresas internacionales, organizaciones sin fines de lucro influyentes y agencias gubernamentales, desde la empresa global de bienes de consumo Unilever Plc y la Unión de Asociaciones Europeas de Fútbol (UEFA) hasta el políticamente poderoso cabildeo de armas de EE. UU., National Rifle. Association (NRA) y el Partido Laborista de Gran Bretaña.
Los negocios de Pushwoosh con agencias gubernamentales de EE. UU. y empresas privadas podrían violar las leyes de contratación y de la Comisión Federal de Comercio (FTC) de EE. UU. o desencadenar sanciones, dijeron 10 expertos legales a Reuters. El FBI, el Tesoro de EE. UU. y la FTC se negaron a comentar.
Jessica Rich, exdirectora de la Oficina de Protección al Consumidor de la FTC, dijo que «este tipo de casos cae dentro de la autoridad de la FTC», que toma medidas enérgicas contra las prácticas desleales o engañosas que afectan a los consumidores estadounidenses.
Washington podría optar por imponer sanciones a Pushwoosh y tiene amplia autoridad para hacerlo, dijeron expertos en sanciones, incluso posiblemente a través de una orden ejecutiva de 2021 que le da a Estados Unidos la capacidad de atacar el sector tecnológico de Rusia por actividad cibernética maliciosa.
El código Pushwoosh se incrustó en casi 8,000 aplicaciones en las tiendas de aplicaciones de Google y Apple, según Appfigures, un sitio web de inteligencia de aplicaciones. El sitio web de Pushwoosh dice que tiene más de 2.300 millones de dispositivos en su base de datos.
«Pushwoosh recopila datos de los usuarios, incluida la geolocalización precisa, en aplicaciones sensibles y gubernamentales, lo que podría permitir un seguimiento invasivo a gran escala», dijo Jerome Dangu, cofundador de Confiant, una empresa que rastrea el uso indebido de los datos recopilados en las cadenas de suministro de publicidad en línea.
«No hemos encontrado ninguna señal clara de intención engañosa o maliciosa en la actividad de Pushwoosh, lo que ciertamente no disminuye el riesgo de que los datos de la aplicación se filtren a Rusia», agregó.
Google dijo que la privacidad era un «gran enfoque» para la empresa, pero no respondió a las solicitudes de comentarios sobre Pushwoosh. Apple dijo que se toma en serio la confianza y la seguridad de los usuarios, pero de manera similar se negó a responder preguntas.
Keir Giles, un experto en Rusia del grupo de expertos londinense Chatham House, dijo que a pesar de las sanciones internacionales contra Rusia, un «número sustancial» de empresas rusas todavía comerciaba en el extranjero y recopilaba datos personales de las personas.
Dadas las leyes de seguridad nacional de Rusia, «no debería sorprender que, con o sin vínculos directos con las campañas de espionaje del estado ruso, las empresas que manejan datos estén dispuestas a restar importancia a sus raíces rusas», dijo.
‘TEMAS DE SEGURIDAD’
Después de que Reuters planteó los vínculos rusos de Pushwoosh con los CDC, la agencia de salud eliminó el código de sus aplicaciones porque «la empresa presenta un problema de seguridad potencial», dijo la portavoz Kristen Nordlund.
“CDC creía que Pushwoosh era una empresa con sede en el área de Washington, DC”, dijo Nordlund en un comunicado. La creencia se basó en «representaciones» hechas por la compañía, dijo, sin dar más detalles.
Las aplicaciones de los CDC que contenían el código Pushwoosh incluían la aplicación principal de la agencia y otras configuradas para compartir información sobre una amplia gama de problemas de salud. Uno era para médicos que trataban enfermedades de transmisión sexual. Si bien los CDC también utilizaron las notificaciones de la compañía para asuntos de salud como COVID, la agencia dijo que «no compartió datos de usuarios con Pushwoosh».
El ejército dijo a Reuters que eliminó una aplicación que contenía Pushwoosh en marzo, citando «problemas de seguridad». No dijo qué tan ampliamente las tropas habían usado la aplicación, que era un portal de información para usar en su Centro Nacional de Capacitación (NTC) en California.
El NTC es un importante centro de entrenamiento de batalla en el desierto de Mojave para soldados antes del despliegue, lo que significa que una violación de datos allí podría revelar los próximos movimientos de tropas en el extranjero.
El portavoz del Ejército de EE. UU., Bryce Dubee, dijo que el Ejército no había sufrido «pérdida operativa de datos», y agregó que la aplicación no se conectó a la red del Ejército.
Algunas grandes empresas y organizaciones, incluidas la UEFA y Unilever, dijeron que terceros configuraron las aplicaciones para ellos, o pensaron que estaban contratando a una empresa estadounidense.
«No tenemos una relación directa con Pushwoosh», dijo Unilever en un comunicado, y agregó que Pushwoosh fue eliminado de una de sus aplicaciones «hace algún tiempo».
La UEFA dijo que su contrato con Pushwoosh era «con una empresa estadounidense». La UEFA se negó a decir si sabía de los lazos rusos de Pushwoosh, pero dijo que estaba revisando su relación con la compañía después de ser contactada por Reuters.
La NRA dijo que su contrato con la compañía finalizó el año pasado y que «no estaba al tanto de ningún problema».
El Partido Laborista de Gran Bretaña no respondió a las solicitudes de comentarios.
«Los datos que recopila Pushwoosh son similares a los datos que podrían recopilar Facebook, Google o Amazon, pero la diferencia es que todos los datos de Pushwoosh en los EE. UU. se envían a servidores controlados por una empresa (Pushwoosh) en Rusia», dijo Zach Edwards. , un investigador de seguridad que detectó por primera vez la prevalencia del código Pushwoosh mientras trabajaba para Internet Safety Labs, una organización sin fines de lucro.
Roskomnadzor, el regulador estatal de comunicaciones de Rusia, no respondió a una solicitud de comentarios de Reuters.
DIRECCIÓN FALSA, PERFILES FALSOS
En las presentaciones regulatorias de EE. UU. y en las redes sociales, Pushwoosh nunca menciona sus enlaces rusos. La compañía enumera «Washington, DC» como su ubicación en Twitter y afirma que la dirección de su oficina es una casa en el suburbio de Kensington, Maryland, según sus últimos documentos corporativos estadounidenses presentados al secretario de estado de Delaware. También incluye la dirección de Maryland en sus perfiles de Facebook y LinkedIn.
La casa de Kensington es el hogar de un amigo ruso de Konev que habló con un periodista de Reuters bajo condición de anonimato. Dijo que no tenía nada que ver con Pushwoosh y que solo había accedido a permitir que Konev usara su dirección para recibir correo.
Konev dijo que Pushwoosh había comenzado a usar la dirección de Maryland para «recibir correspondencia comercial» durante la pandemia de coronavirus.
Dijo que ahora opera Pushwoosh desde Tailandia, pero no proporcionó evidencia de que esté registrado allí. Reuters no pudo encontrar una empresa con ese nombre en el registro de empresas de Tailandia.
Pushwoosh nunca mencionó que tenía su sede en Rusia en ocho presentaciones anuales en el estado estadounidense de Delaware, donde está registrado, una omisión que podría violar la ley estatal.
En cambio, Pushwoosh incluyó una dirección en Union City, California, como su principal lugar de negocios de 2014 a 2016. Esa dirección no existe, según los funcionarios de Union City.
Pushwoosh usó cuentas de LinkedIn que supuestamente pertenecían a dos ejecutivos con sede en Washington, DC llamados Mary Brown y Noah O’Shea para solicitar ventas. Pero ni Brown ni O’Shea son personas reales, encontró Reuters.
La que pertenece a Brown era en realidad de una profesora de danza con sede en Austria, tomada por un fotógrafo en Moscú, quien dijo a Reuters que no tenía idea de cómo terminó en el sitio.
Konev reconoció que las cuentas no eran genuinas. Dijo que Pushwoosh contrató a una agencia de marketing en 2018 para crearlos en un intento de usar las redes sociales para vender Pushwoosh, no para enmascarar los orígenes rusos de la empresa.
LinkedIn dijo que había eliminado las cuentas después de ser alertado por Reuters.
(Reporte de James Pearson en Londres y Marisa Taylor en Washington; Reporte adicional de Chris Bing en Washington, editado por Chris Sanders y Ross Colvin)
