Es una de las aplicaciones de compras más populares de China. Vende ropa, comestibles y prácticamente de todo a más de 750 millones de usuarios al mes.
Pero, según investigadores en ciberseguridad, también puede burlar la seguridad del móvil de los usuarios para vigilar las actividades de otras aplicaciones, comprobar notificaciones, leer mensajes privados y cambiar la configuración.
Y, una vez instalada, es difícil de eliminar.
Aunque muchas aplicaciones recopilan grandes cantidades de datos de los usuarios, a veces sin su consentimiento explícito, expertos afirman que el gigante del comercio electrónico Pinduoduo llevó las violaciones de la privacidad y la seguridad de los datos a un nivel superior.
En una investigación detallada, CNN habló con media docena de equipos de ciberseguridad de Asia, Europa y Estados Unidos, así como con varios antiguos y actuales empleados de Pinduoduo, tras recibir un aviso.
Varios expertos identificaron la presencia de malware en la aplicación de Pinduoduo que aprovechaba vulnerabilidades de los sistemas operativos Android. Según fuentes internas de la empresa, los softwares fueron utilizados para espiar a usuarios y competidores, supuestamente para aumentar las ventas.
"No habíamos visto una aplicación de este tipo que tratara de escalar sus privilegios para acceder a cosas a las que no debería tener acceso", afirma Mikko Hyppönen, director de investigación de WithSecure, una empresa finlandesa de ciberseguridad.
"Esto es muy inusual, y es bastante condenatorio para Pinduoduo".
Malware, abreviatura de software malicioso, se refiere a cualquier programa desarrollado para robar datos o interferir en sistemas informáticos y dispositivos móviles.
Las pruebas de malware sofisticado en la aplicación Pinduoduo llegan en medio de un intenso escrutinio de aplicaciones desarrolladas en China, como TikTok, por la preocupación que suscita la seguridad de los datos.
Algunos legisladores estadounidenses presionan para que se prohíba a nivel nacional la popular aplicación de videos cortos, cuyo CEO, Shou Chew, fue interrogado por el Congreso durante cinco horas la semana pasada sobre sus relaciones con el gobierno chino.
También es probable que las revelaciones atraigan más atención sobre Temu, la aplicación hermana internacional de Pinduoduo, que encabeza las listas de descargas en Estados Unidos y se expande rápidamente en otros mercados occidentales. Ambas son propiedad de PDD, empresa multinacional con raíces en China que cotiza en el Nasdaq.
Aunque Temu no ha sido implicada, las presuntas acciones de Pinduoduo pueden ensombrecer la expansión mundial de su aplicación hermana.
No hay pruebas de que Pinduoduo haya entregado datos al gobierno chino. Pero como Beijing goza de una gran influencia sobre las empresas bajo su jurisdicción, a los legisladores estadounidenses les preocupa que cualquier empresa que opere en China pueda verse obligada a cooperar en una amplia gama de actividades de seguridad.
Los hallazgos se producen después de que Google suspendiera Pinduoduo de su Play Store en marzo, citando malware identificado en versiones de la aplicación.
Un informe posterior de Bloomberg afirmaba que una empresa rusa de ciberseguridad también identificó malware potencial en la aplicación.
Pinduoduo rechazó previamente "la especulación y acusación de que la app Pinduoduo es maliciosa".
CNN se puso en contacto con PDD en múltiples ocasiones por correo electrónico y teléfono para pedirle comentarios, pero no ha recibido respuesta.
ASCENSO AL ÉXITO
Pinduoduo, que cuenta con una base de usuarios que representa tres cuartas partes de la población en línea de China y un valor de mercado tres veces mayor que el de eBay, no siempre fue un gigante de las compras en línea.
Fundada en 2015 en Shanghái por Colin Huang, un antiguo empleado de Google, la startup luchaba por establecerse en un mercado dominado durante mucho tiempo por los incondicionales del comercio electrónico Alibaba y JD.com.
Lo consiguió ofreciendo grandes descuentos en los pedidos de compra en grupo de amigos y familiares, y centrándose en las zonas rurales de bajos ingresos.
Pinduoduo registró un crecimiento de tres dígitos en usuarios mensuales hasta finales de 2018, año en que cotizó en Nueva York. A mediados de 2020, sin embargo, el aumento de usuarios mensuales se había ralentizado a alrededor del 50% y siguió disminuyendo, según sus informes de resultados.
Según un empleado actual de Pinduoduo, fue en 2020 cuando la empresa creó un equipo de unos 100 ingenieros y jefes de producto para buscar vulnerabilidades en los teléfonos Android, desarrollar formas de explotarlas y convertirlas en ganancias.
Según la fuente, que pidió el anonimato por temor a represalias, al principio la empresa solo se dirigía a usuarios de zonas rurales y ciudades pequeñas, evitando a los de megaciudades como Beijing y Shanghái.
"El objetivo era reducir el riesgo de ser descubierto", dijeron.
Mediante la recopilación de datos exhaustivos sobre las actividades de los usuarios, la empresa pudo crear un retrato completo de sus hábitos, intereses y preferencias, según la fuente.
Esto le permitió mejorar su modelo de aprendizaje automático para ofrecer notificaciones push y anuncios más personalizados, atrayendo a los usuarios a abrir la aplicación y hacer pedidos, indicaron.
El equipo se disolvió a principios de marzo, añadió la fuente, después de que salieran a la luz preguntas sobre sus actividades.
PDD no respondió a las reiteradas peticiones de CNN para que comentara la situación del equipo.
LO QUE ENCONTRARON LOS EXPERTOS
Consultados por CNN, investigadores de la empresa de ciberseguridad Check Point Research -con sede en Tel Aviv-, la startup de seguridad de aplicaciones Oversecured -con sede en Delaware- y WithSecure -de Hyppönen- realizaron un análisis independiente de la versión 6.49.0 de la aplicación, publicada en las tiendas de aplicaciones chinas a finales de febrero.
Google Play no está disponible en China, y los usuarios de Android del país descargan sus aplicaciones de las tiendas locales. En marzo, cuando Google suspendió Pinduoduo, reportó que encontró malware en versiones de la aplicación fuera de Google Play.
Los investigadores encontraron código diseñado para lograr una "escalada de privilegios": un tipo de ciberataque que aprovecha un sistema operativo vulnerable para obtener un nivel de acceso a los datos superior al que se supone que debe tener, según los expertos.
"Nuestro equipo aplicó ingeniería inversa a ese código y podemos confirmar que trata de escalar derechos, intenta acceder a cosas que las aplicaciones normales no podrían hacer en los teléfonos Android", señaló Hyppönen. (CNN)