¿El gobierno de Estados Unidos que sancionó a Huawei ha integrado el SDK de Huawei en la aplicación oficial de la Casa Blanca?

Autor: Deep潮 TechFlow

El gobierno de Trump lanzó el 27 de marzo una aplicación oficial de noticias, supuestamente diseñada para permitir que los usuarios se conecten «sin filtros» directamente con la información de la Casa Blanca.

Pero varias auditorías de seguridad independientes revelaron en un plazo de 48 horas un hecho bastante irónico: el paquete de instalación de esta App incorpora componentes de seguimiento de Huawei, que es justamente una empresa china que el propio gobierno de Estados Unidos ha incluido en la lista negra de sanciones por motivos de seguridad nacional.

Además, la App también solicita una serie de permisos del sistema que van mucho más allá de los que necesita una aplicación de noticias, como localización GPS, reconocimiento de huellas dactilares y autoinicio al encender el dispositivo, entre otros. En la plataforma X, los equipos de forma rápida colocaron advertencias de notas de la comunidad en las publicaciones promocionales oficiales.

Un App para publicar comunicados de prensa y transmisiones en vivo del presidente: ¿por qué necesita acceder a tus huellas?

Después de realizar un análisis de ingeniería inversa de la App de la Casa Blanca (número de versión 47.0.1), el investigador Sam Bent la escaneó mediante Exodus Privacy. Exodus Privacy es una plataforma de auditoría de privacidad de aplicaciones Android de código abierto, utilizada específicamente para detectar rastreadores integrados y solicitudes de permisos; es ampliamente usada en la comunidad de investigación sobre privacidad. Los resultados del escaneo muestran que la App de la Casa Blanca integra 3 rastreadores, y uno de ellos es Huawei Mobile Services Core (componente central de servicios móviles de Huawei).

IBTimes informó posteriormente de forma independiente el mismo hallazgo, y el analista legal mitchthelawyer también publicó en Substack un texto confirmando las conclusiones del informe de Exodus. Tres fuentes independientes apuntan al mismo hecho: la App oficial de la Casa Blanca efectivamente incluye código SDK de Huawei.

Cabe aclarar que Huawei Mobile Services Core es, en sí mismo, un SDK de Huawei para proporcionar servicios de push y análisis al ecosistema global de Android; muchas apps orientadas a mercados internacionales lo incrustan para ser compatibles con los teléfonos de Huawei.

Que aparezca dentro del paquete de instalación no significa que esté enviando datos activamente de vuelta a Huawei. Pero el problema es este:

El gobierno de Estados Unidos, por razones de seguridad nacional, prohíbe a sus propias empresas hacer negocios con Huawei, y aun así la aplicación oficial del presidente incorpora código de Huawei. Un comentario en Hacker News lo resume con precisión: «Esto probablemente es la configuración predeterminada del contratista subcontratado, y es posible que el nivel directivo de la Casa Blanca ni siquiera sepa que existe el SDK de Huawei, pero aun así, esto quizá es más preocupante que si se hubiera incrustado a propósito».

La lista de permisos es comparable a la de herramientas del sistema, pero la política de privacidad se queda en hace un año

Los permisos que solicita la App de la Casa Blanca incluyen: localización GPS precisa, reconocimiento biométrico de huellas, lectura y escritura de almacenamiento, autoinicio al encender, ventanas flotantes que cubren otras aplicaciones, escaneo de redes Wi-Fi y lectura de insignias de notificaciones. Como comparación, AP News ofrece notificaciones de noticias y reportes de desastres similares, y los permisos necesarios son muy inferiores a estos.

El informe de IBTimes indica que el desarrollador de la App admite que el complemento técnico originalmente destinado a «eliminar los permisos de ubicación», «evidentemente no eliminó ningún código relacionado».

El problema mayor, sin embargo, está en la política de privacidad. Confirmado de forma cruzada en los artículos de IBTimes y de mitchthelawyer en Substack, la política de privacidad aplicable a la App de la Casa Blanca fue actualizada por última vez el 20 de enero de 2025, un año completo antes del lanzamiento de la App. Esta política solo cubre el acceso al sitio web, la suscripción por correo y las páginas de redes sociales; no menciona en absoluto contenidos como apps móviles, rastreo GPS, recopilación de datos de ubicación o acceso a datos biométricos. Cuando el usuario hace clic en «Aceptar», está aceptando un documento que en realidad ni siquiera abarca las acciones reales de la App.

Mensajes publicitarios integrados y un acceso para denunciar a inmigrantes

La App incorpora un botón de función: «Enviar un SMS al presidente». Al hacer clic, el cuadro de texto del mensaje se completa automáticamente con una frase: «Greatest President Ever!» (¡El mejor presidente de la historia!). Si el usuario elige enviar, el sistema recopilará su nombre y número de teléfono.

Además, la App también integra un botón de denuncia ICE. ICE es el Servicio de Inmigración y Control de Aduanas (Immigration and Customs Enforcement) de Estados Unidos, responsable de la aplicación de la ley de inmigración y de las acciones de deportación. Al hacer clic en ese botón, se redirige directamente a la página de denuncias anónimas de informantes de ICE, donde los usuarios pueden denunciar de forma anónima a personas cercanas que supuestamente son inmigrantes ilegales.

Una herramienta oficial de noticias en apariencia, que al mismo tiempo asume un acceso de recopilación de datos para propaganda política y denuncias de aplicación de la ley. Menos de dos días después del lanzamiento, los usuarios de la plataforma X colocaron notas de la comunidad (Community Note) en la publicación promocional oficial de la Casa Blanca, para advertir a otros usuarios sobre riesgos de privacidad.

No solo la Casa Blanca: la App del FBI lanza anuncios y FEMA requiere 28 permisos

En el mismo artículo de investigación, Sam Bent realizó auditorías de Exodus a las Apps de varias agencias federales y descubrió que la App de la Casa Blanca dista mucho de ser un caso aislado.

La App oficial del FBI, «myFBI Dashboard», solicita 12 permisos e integra 4 rastreadores, incluidos Google AdMob, un SDK para la colocación de anuncios. Una App oficial de una agencia de aplicación de la ley, mientras lee la información de identidad del usuario del teléfono, también muestra anuncios dirigidos.

La App de FEMA (la Agencia Federal para el Manejo de Emergencias) solicita 28 permisos; su función principal es solo mostrar alertas meteorológicas y ubicaciones de refugios.

La app de control de pasaportes de la Oficina de Aduanas y Protección Fronteriza (CBP) solicita 14 permisos, de los cuales 7 se clasifican como «permisos peligrosos», incluyendo el rastreo de ubicación en segundo plano (sigue rastreando incluso después de que la App se cierra) y la lectura y escritura completa en el almacenamiento. El periodo de conservación de los datos faciales que recopila todo el ecosistema de aplicaciones de CBP llega a 75 años, y se comparte entre el Departamento de Seguridad Nacional, ICE y el FBI.

En un nivel más básico de compra de datos, el Departamento de Seguridad Nacional, el FBI, el Departamento de Defensa y la DEA compran todos los días más de 15 mil millones de puntos de datos de ubicación mediante corredores de datos comerciales como Venntel, cubriendo más de 250 millones de dispositivos, sin necesidad de una orden judicial. Esta operación, en esencia, elude la protección de la privacidad de los datos de ubicación del teléfono establecida por la Corte Suprema de Estados Unidos en el caso Carpenter vs. Estados Unidos (2018).

Varios comentaristas en Hacker News resumieron la lógica común de estas Apps: el gobierno empaqueta como distribución de Apps nativas contenidos públicos que podrían haberse publicado mediante páginas web o RSS; la única explicación razonable es obtener permisos a nivel de sistema que el navegador no proporciona, incluidos el posicionamiento en segundo plano, la biometría, la lectura de identidad del dispositivo y el autoinicio al encender.

Un informe de 2023 de la Oficina de Rendición de Cuentas del Gobierno de Estados Unidos (GAO) muestra que, de 236 recomendaciones sobre privacidad y seguridad emitidas desde 2010, cerca del 60% aún no se han aplicado. El Congreso había recibido el consejo dos veces de promulgar una legislación integral de privacidad en Internet, y hasta ahora no ha habido acciones.