En junio de 2020, India prohibió oficialmente 59 aplicaciones chinas por primera vez, afirmando que estas aplicaciones amenazaban la privacidad y la seguridad de los datos de los usuarios indios. En noviembre de 2020, el número de aplicaciones prohibidas aumentó a 220.
Las aplicaciones prohibidas no sólo se eliminaron de las tiendas de aplicaciones de Google y Apple, sino que se pusieron en marcha mecanismos adicionales que hacían que esas aplicaciones no funcionaran incluso cuando estaban preinstaladas (antes de la prohibición). Por ejemplo, los usuarios indios ven un mensaje de error de conexión a la red al abrir la popular aplicación TikTok (Figura 1).
Aunque el filtrado basado en la web se ha estudiado ampliamente (véanse este artículo y este otro), era la primera vez que se observaba un bloqueo de este tipo a nivel de aplicación, por lo que era necesario investigar a fondo las técnicas empleadas.
En un estudio conjunto realizado en el Instituto Max Planck de Informática, el IIIT de Delhi y el BITS Pilani de Goa, los investigadores revelaron que el bloqueo de aplicaciones no lo realizan los proveedores de servicios de Internet (ISP) indios, sino los servidores de aplicaciones. Esta nueva estrategia de bloqueo se aleja del modelo conocido de filtrado de tráfico: Los ISP restringen el acceso a sitios web mediante reglas de cortafuegos en sus redes, pero no intervienen en el bloqueo de aplicaciones. Consulte el documento PAM 2024 para más detalles.
Mecánica del filtrado de aplicaciones
Los investigadores llevaron a cabo una exhaustiva investigación técnica que incluía ingeniería inversa de algunas aplicaciones bloqueadas. Utilizaron Man in The Middle Proxy (ver enlace) para ver el tráfico de la aplicación en texto plano e inspeccionaron el código descompilando las aplicaciones (ver enlace). El análisis reveló que existen tres niveles de bloqueo de aplicaciones para los usuarios indios.
- Las aplicaciones de nivel tres son las que no están disponibles en las tiendas de aplicaciones indias. Los investigadores informaron de 160 aplicaciones de este tipo; los usuarios pueden acceder a 136 directamente tras su instalación, como Dawn of Isles y Game of Sultans.
- Las aplicaciones de nivel dos, tras su instalación, seguirían sufriendo bloqueos. Estos editores de aplicaciones filtran selectivamente a los clientes indios mediante el geobloqueo, restringiendo el tráfico de aplicaciones procedente de direcciones IP pertenecientes a ISP indios. Veintitrés (de las 160 anteriores) aplicaciones pertenecen a esta categoría (por ejemplo, PUBG, Baidu, ShareIt).
- Las aplicaciones de primer nivel emplean las técnicas más sofisticadas. Estas aplicaciones bloquean a los usuarios sondeando y extrayendo los códigos de país de las tarjetas SIM instaladas en sus teléfonos (véase la figura 2). En total, 7 (de las 23 anteriores) apps emplean este tipo de técnicas de filtrado (por ejemplo, TikTok, UC Browser, V-Fly).
Eludir el filtrado del lado del servidor
Para eludir el bloqueo de aplicaciones, los investigadores obtuvieron los archivos .apk de las aplicaciones bloqueadas de fuentes de terceros (por ejemplo, apkmirror.com) y los instalaron.
Tras la instalación, la mayoría de estas aplicaciones (136/160) eran accesibles y funcionaban como se esperaba. Las aplicaciones inaccesibles pertenecían a los niveles dos y uno.
Las aplicaciones de nivel dos eran accesibles a través de VPN, que cambiaban la IP de origen india por una extranjera.
Las siete aplicaciones restantes (en el nivel uno) sólo eran accesibles si se extraía la tarjeta SIM y se utilizaba una VPN. Este paso oculta la información de configuración regional de la tarjeta SIM y la dirección IP. La figura 3 resume los tres niveles de bloqueo.
Por qué los editores de aplicaciones filtran a los usuarios indios
Es natural preguntarse por qué los editores de aplicaciones filtran a los usuarios indios cuando muchos de ellos no operan desde la India.
La evidencia anecdótica sugiere que los editores esperaban que la prohibición fuera temporal y, por tanto, la acataron. Algunas empresas se estaban comunicando con el gobierno indio y esperaban su aprobación para relanzar las aplicaciones.
Sin embargo, en enero de 2021, el Gobierno prohibió definitivamente las 220 aplicaciones. Incluso entonces, los editores de aplicaciones continuaron con el filtrado e impusieron una censura más estricta a los usuarios indios, mientras que los ISP no desempeñaron ningún papel. La razón por la que los editores de aplicaciones (y no los ISP) filtran a los usuarios indios sigue sin estar clara.
El camino por recorrer
Recientemente, la Cámara de Representantes de EE.UU. votó a favor de aprobar un proyecto de ley que podría conducir a la prohibición de TikTok en todo el país, citando la preocupación por la privacidad de los ciudadanos estadounidenses. Siguiendo el modelo existente de prohibición de aplicaciones, muchos editores de aplicaciones pueden adoptar técnicas similares estipulando las órdenes de las autoridades competentes de diferentes Estados-nación.
Resulta alarmante que las aplicaciones puedan restringir a los usuarios incluso sin comunicarse con los servidores de aplicaciones. La lógica para extraer la ubicación de los usuarios (por ejemplo, de las tarjetas SIM) puede estar integrada en el binario de las aplicaciones. Esto es motivo de preocupación y, sin duda, hay que seguir investigando en este ámbito a medida que más gobiernos intentan promulgar prohibiciones similares.
En última instancia, el riesgo de prohibir aplicaciones y servicios debe sopesarse con el impacto de prohibir los derechos de las personas a la información y la capacidad de acceder a servicios a través de canales de inicio de sesión integrados.
Devashish Gosain es investigador asociado en MPI-INF y profesor asistente en el campus de Goa de BITS Pilani.
Las opiniones expresadas por los autores de este blog son suyas y no reflejan necesariamente los puntos de vista de la Internet Society.
Foto de Solen Feyissa en Unsplash