Chrome está escaneando los archivos de tu computador, y la gente está enloqueciendo

El navegador que probablemente uses para leer este artículo escanea prácticamente todos los archivos en tu computador Windows. Y probablemente no tenías idea de eso hasta este momento. No te preocupes, no eres el único.

El año pasado, Google anunció que hizo algunas actualizaciones de Chrome, de lejos el navegador más usado del mundo y el único que frecuentemente recomiendan los profesional de seguridad. La compañía prometió hacer que la navegación por Internet en computadores Windows fuese "más limpia" y "más segura" al agregar lo que The Verge denominó como "funciones básicas de antivirus". Lo que Google hizo fue mejorar algo que se llama la herramienta de Chrome Cleanup para usuarios de Windows, utilizando softwares de ciberseguridad y antivirus ESET.

Las tensiones en torno a la cuestión de la privacidad digital son comprensiblemente altas después del escándalo de Cambridge Analytica de Facebook, pero hasta donde sabemos, no hay razón para preocuparse aquí, y lo que Google está haciendo es evidente.

En la práctica, Chrome en Windows busca en tu computador malwares que se dirijan al navegador de Chrome y para esto utiliza el motor antivirus de ESET. Entonces, si encuentra algún malware sospechoso, envía metadatos del archivo donde se guarda el malware y cierta información del sistema a Google. Luego, pide permiso para eliminar el archivo malicioso sospechoso (puedes optar por no enviar información a Google desactivando la casilla de verificación "Informar detalles en Google").

La semana pasada, Kelly Shortidge, quien trabaja en la configuración de ciberseguridad de SecurityScorecard, informó que Chrome estaba escaneando archivos de la carpeta de Documentos de su computador con Windows.

"En el momento actual, realmente me sorprendió que Google desplegara tan silenciosamente esta función sin publicitar documentación de respaldo más detallada, incluso para aliviar la especulación de manera preventiva", me dijo Shortridge en un chat en línea. "Sus intenciones son claramente de mentalidad de seguridad, pero la falta de consentimiento explícito y transparencia parece violar sus propios criterios de 'software fácil de usar' que informa la política de la herramienta de Chrome Cleanup".

Su tweet llamó mucho la atención y provocó que otras personas en la comunidad de infosec, así como usuarios promedio como yo, quedaran pensativos al respecto.

"A nadie le gustan las sorpresas", me dijo Haroon Meer, fundador de la consultora de seguridad Thinkst, en un chat en línea. "Cuando las personas temen a algo tipo Gran Hermano, y que los gigantes tecnológicos vayan demasiado lejos … pues bueno, un navegador que se mete con tus archivos y no tiene por qué hacerlo va a hacer que mucha gente sospeche".

Ahora, para ser claros, esto no significa que Google pueda, por ejemplo, ver las fotos que almacenas en tu computador Windows. Según Google, el objetivo de Chrome Cleanup Tool es asegurarse de que el malware no se meta con Chrome en el computador, instalando extensiones peligrosas o colocando anuncios donde no deberían estar.

Como explicó el responsable de seguridad de Google Chrome, Justin Schuh, en Twitter, el único propósito de la herramienta es detectar y eliminar el software no deseado que manipula Chrome. Además, agregó, la herramienta solo se ejecuta semanalmente, solo tiene privilegios de usuarios normales (lo que significa que puede ''profundizar demasiado en el sistema'), está haciendo un "sandbox" (lo que significa que su código está aislado de otros programas) y los usuarios tienen que hacer clic explícitamente en el recuadro que se muestra arriba para eliminar los archivos y ''limpiar''.

En otras palabras, la herramienta de Chrome Cleanup es menos invasiva que un antivirus "en la nube" que escanea todo tu computador (incluidas sus partes más sensibles, como el kernel o núcleo) y carga algunos datos a los servidores de la empresa de antivirus.

Pero como dijo el profesor de Johns Hopkins, Matthew Green, la mayoría de la gente "está un poco asustada de que Chrome empiece a hurgar en el cajón de su ropa interior sin preguntar".

Este es el problema aquí: la mayoría de los usuarios de un navegador de Internet probablemente no esperan que se escaneen y eliminen archivos en sus computadores.

Cuando me contacté para comentar la situación, un vocero de Google me redirigió a la publicación del blog del año pasado y a los tweets de Schuh.

¿Tienes algún comentario? Puedes ponerte en contacto con este periodista de forma segura al +1 917 257 1382 o al mail lorenzo@jabber.ccc.de o lorenzo@motherboard.tv

Una sección en el documento de privacidad de este navegador explica que "Chrome escanea periódicamente su dispositivo para detectar software potencialmente no deseado". Ese lenguaje exacto ha estado presente desde por lo menos enero de 2017, según las versiones archivadas del documento técnico. Y un lenguaje similar ("Chrome escanea tu computador periódicamente con el único propósito de detectar software potencialmente no deseado") ha estado ahí por más tiempo.

Martijn Grooten, editor de Virus Bulletin y organizador de una de las principales conferencias de antivirus del mundo, me dijo en un mensaje por Twitter que el comportamiento de la herramienta Chrome Cleanup era "sensato".

"Para casi todos los usuarios, esto parece realmente inofensivo, y para aquellos que están extremadamente preocupados porque Google vea algunos metadatos, tal vez no deberían estar usando el navegador de Google en primer lugar", dijo.

Esta historia ha sido actualizada para incluir una cita de Kelly Shortridge.

Este artículo apareció originalmente en Motherboard.