TikTok aprovechó un fallo de seguridad de Android para recoger datos de usuarios

La aplicación TikTok, usada principalmente por adolescentes y jóvenes para publicar vídeos musicales y cuyo consumo se ha expandido durante la cuarentena por la crisis del coronavirus, aprovechó un fallo de seguridad en los móviles con sistema Android para recopilar una serie de identificadores de millones de dispositivos móviles, unos datos que permiten que la 'app' rastree a los usuarios 'online' sin ofrecer la posibilidad de rechazar esta opción, según ha podido saber el diario estadounidense 'Wall Street Journal'. Así, Tiktok pudo recopilar durante 15 meses (hasta noviembre de 2019), datos personales de sus usuarios, entre los que se encuentra la dirección MAC, que permite identificar a los dispositivos: esta práctica está prohibida por Google.

Las direcciones MAC, de 12 dígitos, sirven para identificar el 'hardware' en los dispositivos que se conectan a Internet, como ocurre en el caso de los 'smartphones', y suelen utilizarse con fines publicitarios. Desde el año 2015, Android no permite que las aplicaciones obtengan estos datos, y cuenta con mecanismos para evitarlo. No obstante, después de una actualización de su aplicación en 2018, TikTok evitó estas restricciones de Android y accedió a las direcciones MAC utilizando una solución alternativa que aprovechaba un fallo de seguridad presente en el sistema operativo móvil de Google, según la investigación realizada por 'WSJ'.

TikTok enviaba a Bytedance —el desarrollador chino propietario de la aplicación— estos datos personales, junto con otros datos de los dispositivos, en el momento en que la aplicación se instalaba o comenzaba a utilizarse por primera vez en un teléfono móvil. Estos datos podían utilizarse, a través de una técnica conocida como 'puenteo de ID', para conectar los identificadores nuevos con los dispositivos antiguos y así rastrear a los usuarios con fines publicitarios. Las políticas de Google Play establecen que las aplicaciones que accedan a cualquier dato personal, entre los que se incluyen las direcciones MAC, deben contar con el permiso explícito de los usuarios, algo con lo que TikTok no contaba.

TE PUEDE INTERESAR

TikTok es solo el principio: por qué internet se tambalea por una 'app' de vídeos musicales

Guillermo Cid

El acceso a las direcciones MAC, que TikTok ha confirmado que no tiene lugar en las versiones actuales, se eliminó de la aplicación tras una actualización el 18 de noviembre de 2019. Según un estudio de AppCensus realizado entre más de 25.000 apps en 2018, solo el 1,4 por ciento de las aplicaciones de Android utilizaban el fallo de seguridad del sistema que permitía acceder a las direcciones MAC.

Este descubrimiento se produce una semana después de que el presidente de Estados Unidos, Donald Trump, firmase una orden ejecutiva para prohibir "cualquier transacción" con TikTok después de 45 días si su propietario, la china Bytedance, no vende sus operaciones en Estados Unidos a una compañía local; de hecho, Microsoft y Twitter ya se han interesado en comprarlas. Estas medidas, que TikTok ha valorado como "un precedente peligroso para la libertad de expresión", se basan en preocupaciones de que los datos que recoge la red social de vídeos musicales sean utilizados para labores de contrainteligencia por el Partido Comunista Chino.