Prohibiciones de TikTok: lo que dice la evidencia sobre las preocupaciones de seguridad y privacidad

El primer ministro del Reino Unido, Rishi Sunak, insinuado recientemente que puede prohibir la aplicación de redes sociales TikTok de los dispositivos utilizados por los empleados del gobierno.

Sus comentarios siguen prohibiciones similares del Comisión Europea y gobierno federal de los estados unidos. En los casos de la UE y EE. UU., las preocupaciones de seguridad se utilizaron como justificación para una prohibición. A diferencia de Facebook o Instagram (ambos propiedad de Meta, con sede en EE. UU.), TikTok es propiedad de ByteDanceque tiene su sede en China.

Tales preocupaciones no son nuevas. En octubre de 2022, el exsecretario de Estado estadounidense Mike Pompeo describió su miedo que China podría obligar a TikTok a actuar como un «caballo de Troya», accediendo y explotando datos confidenciales en los dispositivos de los usuarios.

TikTok, como muchas aplicaciones de redes sociales, recopila cantidades significativas de datos de usuario incluyendo fechas de nacimiento, direcciones de correo electrónico y números de teléfono.

Las discusiones sobre la privacidad en las aplicaciones de redes sociales generalmente se refieren a la recopilación excesiva de datos que los usuarios consienten en entregar. Política de privacidad de TikTok dice que la aplicación recopila datos de ubicación del usuario, hasta una granularidad de tres kilómetros cuadrados. Esto es bastante tosco—Instagram, por ejemplo, permite un seguimiento de ubicación más preciso.

Instagram dice que esto es para personalizar anuncios. Pero el riesgo es que, si se exponen, los datos de ubicación podrían ser utilizados por partes maliciosas para rastrear a los usuarios, lo que permitiría comportamiento como el acoso de la pareja íntima. Este tipo de los datos de ubicación estaban involucrados en un supuesto esfuerzo de los empleados de TikTok (que posteriormente se informó que fueron despedidos) para determinar la ubicación de los periodistas con sede en EE. UU., en un intento por detectar filtraciones desde dentro de la empresa.

en un correo electronico publicado por la revista Forbesel director ejecutivo de ByteDance, Rubo Liang, escribió que estaba «profundamente decepcionado» por el episodio.

El acceso a los datos de los usuarios permite a las empresas crear perfiles para usuarios específicos. La creciente disponibilidad para el público de herramientas de software que utilizan el aprendizaje automático, un tipo de IA que mejora en una tarea con la experiencia, ha alarmado a algunos analistas de seguridad cibernética.

Estos expertos están preocupados por el uso potencial de esta tecnología para «ataques de phishing dirigidos». En estos ataques, las víctimas reciben una comunicación, como un correo electrónico, que se hace pasar por una fuente confiable, lo que incita a la víctima a involucrarse en una estafa.

Las aplicaciones de redes sociales tienen un conocimiento significativo de sus usuarios. Por lo tanto, es totalmente plausible que la creación de un perfil a partir de los datos del usuario pueda permitir ataques de phishing dirigidos a cuentas gubernamentales confidenciales. Sin embargo, no hay evidencia de que TikTok se haya utilizado para este propósito.

Estándares de la industria

ByteDance ha respondido a las prohibiciones recientes al decir que no ha proporcionado datos de usuarios al gobierno chino. También afirma que sus prácticas de recopilación de datos se alinean con las de otras empresas de redes sociales. Una comparación superficial con la política de privacidad de Instagram respalda esta opinión: la información de identificación recopilado por Meta de Facebook y Instagram generalmente coincide con la información que recopila TikTok en términos de información del dispositivo, gráficos de redes sociales e información de ubicación.

Algunas críticas a aplicaciones como TikTok se han centrado en afirmar que funcionar como spyware. El objetivo del software espía, en comparación con la recopilación de datos, es extraer información confidencial o sensible que los usuarios no dieron su consentimiento para proporcionar. Por ejemplo, el software espía puede tener como objetivo la información que el usuario ha copiado en el portapapeles de su dispositivo.

El consejo común es usar contraseñas complejas y únicas para cada cuenta en línea. Por lo tanto, las personas preocupadas por la privacidad suelen utilizar administradores de contraseñas como Ultimo pase o 1 contraseña.

Sin embargo, es probable que estos usuarios copien y peguen la contraseña compleja de su administrador de contraseñas en los mecanismos de inicio de sesión de una cuenta. La extracción de información del portapapeles permite a aquellos con intenciones maliciosas recuperar contraseñas y acceder a cuentas confidenciales.

Evaluación del riesgo

TikTok es una «aplicación de código cerrado», lo que significa que el código fuente, las instrucciones subyacentes, utilizadas para crear la aplicación no están disponibles. Sin embargo, se han realizado esfuerzos para aplicar ingeniería inversa al código fuente de TikTok. Estos esfuerzos se han utilizado para determinar si la aplicación se comporta como spyware o si recopila datos del usuario de forma excesiva.

Un informe de Citizen Lab Research describió la ingeniería inversa de una versión de TikTok distribuida por Android. Concluyó: «TikTok… (no) parece exhibir un comportamiento abiertamente malicioso» como el que muestra el spyware. Además, el informe dice que si bien TikTok recopila una gran variedad de información de dispositivos e información de patrones de uso, «(estas) características no son excepcionales en comparación con las normas de la industria».

Es razonable concluir que Tiktok en sí mismo no presenta necesariamente un riesgo mucho mayor en este sentido que otras aplicaciones de redes sociales con sede en EE. UU. una conclusión compartida por Electronic Frontier Foundation.

Las prohibiciones recientes llevaron a ByteDance a fortalecer las protecciones de privacidad para los usuarios. Específicamente, ByteDance anunció el Proyecto Cloverque describe estrategias para mejorar la seguridad de los datos en Europa.

Project Clover propone un llamado Enclave Europeo, cuyo objetivo es garantizar que los empleados de ByteDance no puedan acceder o transferir datos de usuarios europeos externamente sin cumplir con las leyes de protección de datos como GDPR. También sería supervisado por una empresa de seguridad europea de terceros; las discusiones entre ByteDance y este tercero están actualmente en curso.

Protecciones de usuario

ByteDance también ha propuesto dos mecanismos para anonimizar los datos de los usuarios, cuyo objetivo es garantizar que cualquier parte malintencionada que quisiera acceder a los datos de los usuarios de TikTok no pueda explotarlos para phishing u otros tipos de ataques. El primer enfoque es «seudonimizar» datos personales recopilados de los usuarios para alinearse con Artículo 4(5) del RGPD. Esto requeriría que los datos personales se procesen de tal manera que no se puedan vincular a usuarios específicos sin el uso de información externa adicional.

ByteDance también agregará información de los usuarios en grandes conjuntos de datos, logrando el anonimato al separar los detalles del perfil de un usuario en particular. Por lo tanto, la reciente prohibición de TikTok por parte de la Comisión Europea destaca una percepción cada vez mayor de los órganos rectores de que TikTok y otras aplicaciones podrían dañar la seguridad y la privacidad del usuario a través de la recopilación de datos dirigida y excesiva.

Si bien esto ha provocado que ByteDance proponga protecciones de privacidad reforzadas, los usuarios deben esperar a que se materialicen y a que los expertos las verifiquen. Mientras tanto, los usuarios tienen la responsabilidad de administrar su propia privacidad y decidir por sí mismos si los riesgos que presentan las aplicaciones de redes sociales como TikTok valen el valor que brindan.

Este artículo se vuelve a publicar de La conversación bajo una licencia Creative Commons. Leer el artículo original.