El experto en seguridad informática Amador Aparicio ha detectado un fallo de seguridad en Periscope, últimamente famosa en España por el uso que hace de ella el jugador del FC Barcelona Gerard Pique. Esta aplicación nació de la motivación que sintió Kayvon Beykpour en verano de 2013 cuando se encontró que ninguna televisión internacional estaba retransmitiendo las protestas que se llevaban a cabo en la plaza Taksim de Estambul. 

Por eso creó una herramienta de uso muy sencillo para que cualquier persona, con un dispositivo móvil, pudiera retransmitir por streaming y con la infraestructura proporcionada por las redes sociales, cualquier acontecimiento que le viniera en gana.  La verdadera eclosión de Periscope «se produjo en enero de este mismo año cuando Twitter, propietaria de la app, integra los vídeos de sus usuarios en su timeline. 

Sin embargo, el experto palentina echó un vistazo «al funcionamiento de la app. Decidí visitar su página web y comprobar si existía el fichero robots.txt:», explica.

«En la URL www.periscope.tv/privacy.html (declaración de privacidad), puede leerse que la información relacionada con la emisión (comentarios, corazones, etcétera…) es pública por un tiempo máximo de 24 horas o hasta que se elimine».

 A pesar de ello, Aparicio indica que le llamó la atención «la URL www.periscope.tv/w. Puede verse que el servidor web devuelve el código 400, solicitud incorrecta, si le preguntamos por esta URL En cambio, Google inicialmente  muestra un resultado».

Si se repite esa misma búsqueda para los resultados omitidos,  tenemos que, de un resultado, se pasa  a más de 90.000. «Accediendo a algunos de los resultados que devuelve Google, es posible llegar a los vídeos y retransmisiones almacenadas por ciertos usuarios si aún no han pasado las 24 horas hasta que el vídeo sea eliminado o ellos no lo han borrado». 

En esas imágenes se observan, según Aparicio, retransmisiones con un buen número de espectadores almacenadas que aún no han sido eliminadas y que podrían llegar a comprometer a ciertos usuarios.  Aunque estos vídeos tengan un tiempo de vida de 24 horas, si alguien graba la pantalla donde está visualizando el vídeo, aunque éste caduque o se borre posteriormente, tendrá el vídeo para siempre y podrá hacer con él lo que considere oportuno. «Es más, si en él aparecen imágenes comprometedoras, como también es posible saber la cuenta de Twitter de ese usuario, si esta es pública y pueden saberse los contactospodría intentarse una posible extorsión con el material interceptado», señaló.

Incluso «aunque un usuario de Periscope tenga su perfil de Twitter protegido, sus retransmisiones ya han sido indexadas por un buscador y son accesibles, podrían conocerse quiénes son algunos de sus contactos».

Así que como conclusión y consejo para los usuarios de esta aplicación, Aparicio señala que «aunque un determinado servicio en Internet ofrezca la posibilidad de que tus contenidos van a ser eliminados o que únicamente van a ser compartidos con los contactos que tú permitas, cabe la posibilidad de que la plataforma utilizada por ese servicio presente fugas de información y esos contenidos puedan estar al acceso de cualquiera en Internet y puedan llegar a comprometerte».