Xiaomi Responde a la Circular de la Fuerza Aérea India que la Marca como una Amenaza de Seguridad

Hoy más temprano, un informe de The Sunday Standard comenzó a circular en Twitter citando una circular de la Fuerza Aérea India (IAF) que marca a Xiaomi como una amenaza de seguridad. La circular fue aparentemente enviada por la IAF a su personal y a los miembros de sus familias, advirtiéndoles que no usaran los teléfonos y dispositivos fabricados por el gigante tecnológico emergente. Xiaomi ha respondido desestimando las preocupaciones.

En su circular, la IAF acusó a Xiaomi de enviar datos de usuarios a servidores remotos ubicados en China. La nota fue preparada por la unidad de inteligencia basada en los informes del Equipo de Respuesta a Emergencias Informáticas de India (CERT-In), y cita varios informes en el pasado que han puesto signos de interrogación sobre el manejo de los datos privados de los usuarios por parte de Xiaomi.

“F-secure, una empresa líder en soluciones de seguridad, realizó recientemente una prueba del Xiaomi Redmi 1s, el smartphone económico de la compañía, y encontró que el teléfono estaba enviando el nombre del operador, número de teléfono, IMEI (el identificador del dispositivo) más números de la agenda y mensajes de texto de vuelta a Pekín,” dice la nota de la IAF.

Hablando con Technology Personalized, Manu Jain, gerente general y jefe de operaciones en India de Xiaomi, intentó defender a la compañía y aclarar algunas cosas.

Primero que todo – somos extremadamente cautelosos en proteger los datos de los usuarios; cumplimos al 100% con todas las leyes locales, incluidas las relacionadas con la seguridad de datos.

Esto es bastante similar a lo que Xiaomi ha estado diciendo desde que surgieron las preocupaciones a principios de este año. Manu continuó diciendo:

Ofrecemos varios servicios basados en internet como Mi Cloud, mensajes basados en la nube, etc., que requieren que los datos se almacenen en la nube. Sin embargo, tomamos medidas rigurosas para asegurar que los datos estén encriptados y asegurados mientras se envían al servidor, y no se almacenan más allá del tiempo requerido. De hecho, hicimos cambios en nuestro sistema para asegurar que Mi Cloud esté desactivado por defecto, y no envíe datos a los servidores automáticamente. Solo cuando un consumidor activa conscientemente los servicios de Mi Cloud, se realiza la copia de seguridad de los datos.

Los cambios que menciona arriba llegaron justo después del informe de F-secure en agosto de este año que la IAF cita en su nota. A continuación se presentan las dos publicaciones de blog de Hugo Barra, la cara global de Xiaomi, que detallan los cambios realizados.

30 de julio de 2014 – https://plus.google.com/+HugoBarra/posts/9GL9h2fT8H6
20 de agosto de 2014 – https://plus.google.com/+HugoBarra/posts/bkJTXzyXXmj
F-secure aclaró en un informe posterior que la OTA lanzada por Xiaomi había abordado de hecho las preocupaciones de privacidad, específicamente la que giraba en torno al servicio de mensajería de Mi Cloud. No estamos seguros de cuándo exactamente se lanzó la nota de la IAF, pero no incluye las referencias a los cambios realizados por la compañía desde agosto de este año. Curiosamente, Hugo Barra acaba de publicar sobre la decisión de Xiaomi de mover sus centros de datos y servidores fuera de China. ¿Es una mera coincidencia o Xiaomi se vio obligado a anunciar esto después de que se publicara la noticia sobre la nota de la IAF? Tu suposición es tan buena como la mía. En su publicación, Hugo Barra explica-

A principios de 2014, iniciamos un esfuerzo interno masivo para expandir nuestra infraestructura de servidores a nivel global con el fin de servir mejor a los fans de Mi en todas partes… Nuestro objetivo principal al movernos a una arquitectura de servidores de múltiples sitios era mejorar el rendimiento de nuestros servicios para los fans de Mi en todo el mundo, reducir la latencia y disminuir las tasas de fallos. Al mismo tiempo, también nos equipa mejor para mantener altos estándares de privacidad y cumplir con las regulaciones locales de protección de datos. Xiaomi está planeando el proceso de migración de servidores y datos en tres fases: migración de comercio electrónico, migración de servicios MIUI y centros de datos locales. Para lograr esto, Xiaomi está buscando mover los servidores de datos a Amazon Web Services (AWS) con sede en California, EE. UU. Para finales de este año, se espera que los servicios MIUI y los datos correspondientes de todos los usuarios no chinos se muevan de Pekín a los centros de datos de Amazon AWS en Oregón (EE. UU.) y Singapur. Este es un movimiento significativo para abordar las preocupaciones de privacidad de los usuarios. El mercado indio es bastante significativo para Xiaomi y simplemente no pueden continuar con preocupaciones de seguridad y privacidad colgando sobre sus cabezas. Es cierto que la compañía ha respondido rápidamente para lanzar soluciones para la mayoría de estos problemas, pero realmente no ha logrado explicar o defenderse sobre por qué existió tal problema en primer lugar. Actualmente, la compañía enfrenta una investigación de ciberseguridad en Taiwán por razones similares. Según la ley en la China continental, las empresas que almacenan datos en el suelo chino deben cumplir con cualquier solicitud de datos del gobierno. Al mover los datos completamente fuera de los territorios chinos, Xiaomi demostrará la seriedad asociada con tales problemas. Aunque ha iniciado sus operaciones en India con estilo, Xiaomi tiene una gran tarea por delante para deshacerse de sus etiquetas chinas por completo y ser vista como una empresa global. Según Hugo Barra, en 2015, la compañía planea trabajar con proveedores locales de centros de datos para localizar completamente la infraestructura de servidores, particularmente en India y Brasil. Además de acelerar el servicio para los usuarios en estos mercados, se espera que pueda cortar el ángulo chino, al menos hasta cierto punto. Meras palabras sobre valorar la seguridad de los datos de los usuarios simplemente no serán suficientes. Se necesitan acciones reales como las planeadas anteriormente.