El gigante de telecomunicaciones Airtel supuestamente inyecta JavaScript en la sesión de navegación de usuarios indios

Un programador de Bangalore encuentra código sospechoso mientras navega en la red 3G de Airtel y recibe una amenaza de aviso de delito criminal

El operador de telecomunicaciones privado Airtel ha vuelto a estar bajo fuego, esta vez por parte de un activista de redes sociales. La compañía, que enfrentó severas críticas por la neutralidad de la red, ahora enfrenta acusaciones de invadir la privacidad de los clientes.

En una publicación de Twitter fechada el 3 de junio, el tecnólogo independiente de Bengaluru, Thejesh G.N., ha afirmado que “Airtel 3G está inyectando silenciosamente JavaScript en tu sesión de navegación.” También publicó una captura de pantalla del código en GitHub. Según la publicación de Mr. Thejesh en GitHub, la dirección IP de la que se originó el código Java era de Bharti Airtel en Bengaluru.

Airtel 3G está inyectando JavaScript en tu sesión de navegación https://t.co/QHPpSKinve — Thejesh GN (@thej) 3 de junio de 2015

The Wire.in informa que una breve inspección expuso que el código consistía en pocas líneas de JavaScript que cargaban un activo como un anuncio en las páginas web que Thejesh estaba visitando. Se llamaba Anchor.js. Usando un rastreador de IP basado en la web, también pudo encontrar que el código se originaba de la dirección IP 223.224.131.144, que pertenecía a Bharti Airtel Limited.

Eso es muy vago. Pero eso es solo el comienzo de esta historia. El 8 de junio, Thejesh recibió la carta de amenaza legal más absurda, proveniente de un abogado llamado Ameet Mehta del bufete de abogados Solicis Lex. Afirma representar a una empresa israelí, Flash Network, que aparentemente es responsable del software de inyección de código y afirmó que al revelar al público que Airtel estaba haciendo estas inyecciones, Thejesh había incurrido en infracción de derechos de autor criminal bajo la Ley de Tecnología de la Información de 2000.

El 9 de junio, la orden fue seguida por un aviso de eliminación (bajo la Ley de Derechos de Autor del Milenio Digital de EE. UU.) publicado en GitHub. Después de esto, los archivos de Thejesh se volvieron inaccesibles aunque una versión en caché está disponible aquí.

Así que recibí una carta de cese y desistimiento por exponer la inyección de JS por parte de una gran telco por publicar código JS y capturas de pantalla. Probablemente lo eliminaré 🙁 — Thejesh GN (@thej) 8 de junio de 2015

Vignesh Sundaresan, un desarrollador con sede en Ottawa, dijo que la inyección de JavaScript es una técnica muy incómoda para agregar funcionalidad adicional a ciertos programas y “a menudo es desagradable cuando se inyecta sin notificar primero al usuario”. Así que, Thejesh subió la ubicación y otros detalles del programa a GitHub, una plataforma de colaboración en la web para desarrolladores, para advertir a otros usuarios.

La conspiración del caso proviene del objetivo de Flash Networks, que nunca discute en sus avisos. En su orden de C&D, lo que los abogados no mencionan es lo que Anchor.js permite para Flash así como, y más significativamente, para la red Airtel. Cuando Thejesh o cualquier usuario susceptible visita una página web en la red 3G de Airtel, Anchor.js carga un popup de terceros, como un anuncio, en esa página.

Cuando el usuario ve o interactúa con ese popup, quien haya creado ese popup gana algo de dinero. En este caso, dado que Flash Networks, la fuente de Anchor.js, está alojada en la dirección IP de Airtel, la implicación es que Airtel está utilizando Anchor.js para ganar dinero para sí mismo utilizando la experiencia de navegación del usuario. También existe la amenaza adicional de que Flash Networks utilice su script no verificado para buscar datos del usuario.

Sin embargo, dado que Thejesh no tenía la intención de uso comercial de Anchor.js (ni expuso código que no fuera ya confidencial), es incierto cómo se infringieron los derechos de autor de Flash. Pranesh Prakash, Director de Políticas en el Centro para Internet y Sociedad, tuiteó que independientemente de cómo Anchor.js perjudicara la experiencia de Thejesh, su acto de subirlo a GitHub estaba protegido por la Sección 52(1)(ac) de la Ley de Derechos de Autor de India de 1957.

Establece que “el estudio o prueba del funcionamiento del programa informático con el fin de determinar las ideas y principios que subyacen a cualquier elemento del programa mientras se realizan tales actos necesarios para las funciones para las cuales se suministró el programa informático.”

La intención de Flash Networks señala que el ISP está violando la neutralidad de la red porque un usuario en la red 3G de Airtel ve un sitio web X de manera diferente a un usuario en, digamos, BSNL, debido al activo cargado por el script inyectado.

Recientemente, mientras el debate sobre la neutralidad de la red aumentaba en India tras un controvertido documento de política de TRAI, Airtel Zero estaba en el centro de la controversia. Involucraba a Airtel siendo pagado por, digamos, Facebook para permitir que los usuarios accedieran a Facebook de forma gratuita en las redes de Airtel. El acuerdo profanó la neutralidad de la red porque disfrazó el trato preferencial de los paquetes de datos según sus fuentes.

Sundaresan comentó que si se descubrieran tales instancias dudosas de inyección de JavaScript en el mundo occidental, el inserto podría ser demandado por millones.

Airtel desde entonces ha emitido una declaración sobre el asunto, afirmando que la inyección de JavaScript era una forma de rastrear cuánto datos ha consumido el suscriptor, para fines de facturación, y la calificó como una “solución estándar implementada por telcos a nivel mundial”. Al mismo tiempo, la declaración no explica por qué la operación estaba colocando anuncios en las páginas de destino del usuario.

De hecho, Airtel también se distanció de la orden emitida por Flash Networks a Thejesh: “Nosotros… afirmamos categóricamente que no tenemos relación alguna con el aviso.” Aun así, que las dos compañías están y han estado asociadas entre sí es traicionado por uno de los comunicados de prensa de Flash de 2014 que incluye a Airtel y Vodafone entre sus clientes.

Si la participación del ISP se establece de manera más convincente, es probable que enfrente acciones legales por violar la privacidad del usuario, ya que el script también podría haberse inyectado cuando las personas veían el sitio web de Thejesh a través de la red de Airtel, el ISP también es responsable de haber distorsionado su contenido para su audiencia.

También ha surgido desde la divulgación de Thejesh que Vodafone podría estar participando en inserciones similares de software de terceros en navegadores.

Para aquellos que argumentan que los derechos de autor nunca se utilizan para la censura: expliquen esta historia. Por supuesto, todo parece estar volviendo en su contra de una gran manera. Flash puede haber querido ocultar lo que estaban haciendo, pero ahora está recibiendo mucha, mucha, mucha más atención. Quizás, la próxima vez, en lugar de amenazar a los denunciantes de sus malas prácticas con reclamos de infracción de derechos de autor criminal, Flash y Airtel pensarán más en sus propias malas prácticas comerciales que ponen en riesgo a los usuarios.