Crecer en popularidad no sale gratis, a nadie, tampoco a las compañías. En el caso de estas últimas, una de las consecuencias más claras es que a más popularidad, más ojos escudriñando de arriba abajo los productos, servicios y demás de la que toque. Lo hemos visto en muchas ocasiones, y es justo lo que también le está ocurriendo al fabricante chino de smartphones Xiaomi, quien en las últimas horas ha tenido que salir a la palestra para aplacar las preocupaciones surgidas recientemente acerca de la privacidad de sus terminales.
Todo arrancó la semana pasada cuando la gente de F-Secure corroboró lo que se venía rumoreando desde julio: que los terminales de Xiaomi envían datos personales de los usuarios a servidores de la empresa ubicados en China de forma transparente -sin que se den cuenta- y sin su consentimiento expreso. En concreto detectaron que nada más encender un RedMi 1S, uno de los dispositivos móviles estrella de Xiaomi, conectarlo a una red wifi, y meterle la SIM, este mandó el nombre de la operadora de telefonía, el IMEI, el número de teléfono y los números de teléfono de la guía de contactos, así como los asociados a SMSs recibidos, a un servidor que apunta a la dirección api.account.xiaomi.com.
Y con esto se desató el lío, porque no tardaron en salir los que acusaron a Xiaomi de estar perpetrando una suerte de espionaje a bajo nivel de sus usuarios ya que no veían justificación alguna para que sussmartphones manden a sus servidores los números de teléfono de los contactos almacenados en el listín telefónico y los de SMS recibidos, además sin informar al usuario, pedirle su consentimiento o al menos explicarle a qué viene algo así.
La explicación
Sin embargo, resulta que las acusaciones eran, al menos en parte, erróneas, porque sí que hay una justificación de peso detrás del envío automático de los números de teléfono de la guía de contactos, y del resto de información comentada, a los servidores de Xiaomi. No lo decimos nosotros, es lo que ha dejado meridianamente claro el comunicado publicado sobre el asunto por Hugo Barra, vicepresidente de la compañía.
Entrando en detalles, Barra explica en la misiva que todos los datos que hemos visto son enviados por los terminales a servidores de Xiaomi porque la empresa los necesita para prestar a los usuarios su servicio de mensajería en la nube, que no es otra cosa que algo parecido a iMessages de Apple o Hangout de Google; o sea, un sistema de mensajería instantánea gracias al que los propietarios de smartphones de la empresa pueden comunicarse entre sí gratuitamente ya que los mensajes de texto se enrutan a través de IP en lugar de utilizar las pasarelas SMS de las operadoras.
Vamos, que nada de espionaje, porque el envío de la información simplemente se trata de un método de recolección automática de datos necesarios para prestar un servicio, algo que por cierto todos los fabricantes hacen en mayor o menor medida. Y además a esto tenemos que sumar otros tres detalles muy importantes proporcionados por Barra: uno, no almacenan detalles específicos de los contactos de la agenda (por ejemplo, guardar a qué persona corresponde cada teléfono), dos, el contenido de los mensajes viaja de forma encriptadas, y tres, esos mensajes sólo se almacenan durante el tiempo estrictamente necesario para asegurar su entrega.

¿Conclusión? Mal por parte de Xiaomi el no informar al usuario ni pedir su consentimiento, y bien por haber salido rápidamente a dar explicaciones, y sobre todo por haber lanzado una actualización que añade una capa adicional de seguridad mediante el cifrado de los números de teléfono cada vez que se envían a los servidores de mensajería cloud de la empresa, y por convertir el servicio en uno opt-in (es decir, que a partir de ahora el servicio de mensajería en la nube de Xiaomi dejará de estar activado por defecto en los terminales).