Escándalo en Nokia: sus teléfonos han enviado información personal de los usuarios a China

El medio noruego « NRKbeta » ha destapado una nueva y alarmante trama de espionaje por la que varios teléfonos noruegos enviaron información personal a China . Los afectados son usuarios del Nokia 7 Plus , que ha estado enviando « información confidencial a un servidor en China durante varios meses ». Tal es la situación que la Inspección de Datos en Finlandia ha iniciado una investigación.

El caso que ha destapado el diario surgió cuando el pasado mes de febrero un lector, Henrik Austad, se puso en contacto con el periódico tras monitorizar el tráfico de su Nokia 7 Plus. «Notó que el teléfono a menudo contactaba con un servidor y enviaba un paquete de datos sin cifrar», asegura el medio.

Cada vez que se encendía el teléfono, la pantalla se activaba o se desbloqueaba. A partir de ese momento, la «maquinaria» de espionaje se ponía en marcha y enviaba su posición geográfica, el número de la tarjeta SIM y el número de serie del teléfono. Todos estos datos iban a un servidor en China. Quien recibía estos datos, o si alguien los interceptaba, era capaz de conocer con exactitud los movimientos en tiempo real del usuario. Según la investigación, los datos se enviaban a un dominio cuyo propietario es la empresa de telecomunicaciones estatal China Telecom .

«Mientras investigábamos este caso, nos encontramos con un tuit del investigador de seguridad Dirk Wetter», informa «NRKbeta», quien también había investigado el tráfico de su Nokia 7 Plus. Vio los mismos paquetes extraordinarios, por lo que cree que puede tratarse de « un acto deliberado realizado por un operador con acceso a los sistemas internos de Nokia ».

Toca ahora aclarar por qué HMD Global, la firma finlandesa propietaria de la marca Nokia, permitió que sus terminales enviaran los datos personales de sus clientes a un servidor en China.

La compañía ha asegurado que lanzó, a finales de febrero, una actualización del software para corregir el error y, en un correo electrónico enviado al diario noruego, aseguró que «la mayoría de sus clientes habían instalado la actualización», sin aclarar quién es el propietario o el servidor que ha recibido los datos personales de los usuarios y para qué. Asegura también que los propios clientes no pueden identificarse a partir de los datos.

El Defensor del Pueblo finlandés para la protección de datos, Reijo Aarnio, ha recordado que este hecho supone «una violación de la legislación GDPR (siglas en inglés del Reglamento General de Protección de Datos )». «Los datos fluyen libremente dentro de la Unión Europea, pero cuando salimos de la UE, siempre debe haber una base legal», recordó. Otra de las cuestiones que se plantean las autoridades es si los usuarios sabían que su teléfono transfería datos a China.

Atle Årnes, Director Técnico de Tecnología de la Autoridad Noruega de Protección de Datos, explica a « NRKbeta » que «en general, todo contacto con servidores externos significa que se proporciona información personal».

Torgeir Waterhouse, director de ICT Norway, la organización del país que vela por el interés de la industria de las TIC, ha calificado de «dramático» lo sucedido y asegura que «no hay duda de que estos son datos que pueden identificar y monitorear a las personas». Pero, además, va más allá: «Hay un seguimiento de la información que no se ha aclarado, a un país extranjero, durante meses. Sin que el fabricante de móviles lo descubra. Hay que preguntarse, entonces, si el fabricante tiene rutinas los suficientemente buenas como para manejar la seguridad de sus usuarios ».