Este hombre ha revelado los secretos de TikTok y ha enfurecido a la red social china

Apenas han bastado una decena de páginas para volver a poner en entredicho el modelo de TikTok. Un informe publicado por la empresa de ciberseguridad Internet 2.0 ha metido una vez más el dedo en la llaga al analizar la recogida de datos por parte de la red social china y su posterior tratamiento. Las conclusiones son demoledoras. La plataforma lleva a cabo una estrategia de captación mucho más agresiva que sus competidores, con acceso a prácticamente todos los teléfonos en los que se instala su aplicación. Lo más preocupante es el envío de información a servidores ubicados en China, donde la ley facilita el acceso a las autoridades. ByteDance, la matriz de la plataforma, ha tenido que salir al paso diciendo que no hace nada distinto del resto y también ha desmentido que envíe ese material al país asiático.

Todo empezó con la revelación de que los ingenieros de TikTok en China podían acceder a los datos de los clientes estadounidenses, fruto de una investigación de BuzzFeed. En concreto, tuvieron acceso a los audios de más de 80 reuniones internas en las que quedaba claro que los empleados que trabajan desde este país tuvieron "acceso a datos no públicos sobre los usuarios estadounidenses" entre septiembre de 2021 y enero de 2022. "Mucha gente nos empezó a preguntar qué tipo de datos podían recoger, así que nos pusimos a analizarlo para saber qué información recogían", explica David Robinson, director ejecutivo de Internet 2.0 y uno de los autores de la investigación, en conversación con este periódico.

TE PUEDE INTERESAR

Las últimas decisiones de Meta demuestran que hasta Zuckerberg duda de su futuro

M. Escribano M. Mcloughlin

Al analizar el código fuente de la aplicación, se dieron cuenta de que el intrusismo era mayor que lo que decía la empresa. "TikTok hace una gran recolección de datos para su modelo de negocio basado en la publicidad. Nos encontramos con que comprueban la localización GPS del usuario a cada hora y que continuamente piden solicitudes para obtener más datos del usuario. También vimos que tienen acceso al calendario y todas las aplicaciones que se estén ejecutando en ese momento", detalla este especialista en ciberseguridad y agente de inteligencia retirado del ejército australiano.

Para salir al paso de las críticas, TikTok ha alegado que otras aplicaciones móviles siguen dinámicas muy similares, algo que lleva siendo objeto de denuncias desde hace años. Si bien esto es cierto, también lo es que ninguna de las grandes sociales llega a esos niveles de intrusismo, como las peticiones reiteradas para que los usuarios den su consentimiento. "No hemos analizado, por ejemplo, Facebook, así que no puedo hablar con autoridad sobre qué recogen exactamente. Nosotros hemos hecho esta investigación y no podemos estudiar todas. Sí lo hemos hecho con WeChat, y TikTok es más invasiva", responde Robinson al respecto.

No obstante, el estudio se limita únicamente a la aplicación de Estados Unidos, por lo que sus resultados también se circunscriben a lo que ocurre allí, ya que estas funciones varían en función de cada país. También hay diferencias según el sistema operativo en el que se descargue la app. "Android tiene muchos más comandos de recolección de datos que iOS. Apple tiene un sistema por el que tienes que aceptar cuando una aplicación pide rastrear tus datos y eso limita mucho la información que pueden coger", enfatiza Robinson. De hecho, ese cambio en el 'software' de los de Cupertino ha supuesto un duro golpe para compañías como Meta, cuyo negocio es vender anuncios personalizados basándose en la información que obtiene de sus usuarios. En cualquier caso, no es algo que parezca afectarle demasiado. La valoración de la empresa ronda los 300.000 millones de dólares y su negocio publicitario no parece verse tan mermado como el de otras redes sociales.

¿Están los servidores de TikTok en China?

El informe de Internet 2.0, empresa radicada en Australia y EEUU, también destaca que gran parte de los datos que recoge la aplicación no tienen nada que ver con el funcionamiento de la misma. "No sabemos dónde van los datos o cómo los usan, así que es difícil especular. Es lo que tiene que decir TikTok", responde el CEO de esta firma, que prefiere no mojarse sobre esta cuestión. "Solo analizamos su código fuente y las IP". De cualquier modo, ese análisis técnico es el que los llevó a concluir que TikTok estaba enviando información de los usuarios de iOS, al menos, a un servidor ubicado en Baishan, en el noreste de China. También encontraron envíos a subdominios en Australia, Indonesia, Malasia y Francia, mientras que los términos y condiciones de TikTok aseguran que los datos se almacenan únicamente en Estados Unidos y Singapur.

Lo que de verdad le ha cabreado ha sido la vinculación con China —ni siquiera ha mencionado al resto—, pues siempre ha tratado de desvincularse públicamente de su país de origen. Así, aseguran que la conexión IP listada está en Singapur, no en el país vecino. "El tráfico de la red no sale de esa región. Es categóricamente falso insinuar que hay comunicación con China", ha dicho un portavoz de la empresa a 'The Guardian', donde enfatizaba que eran "afirmaciones sin fundamento" y fruto del "desconocimiento de cómo funcionan las aplicaciones móviles".

TE PUEDE INTERESAR

Aún no te has acostumbrado a TikTok y llega YouTube Shorts para tumbar la 'app' de moda

Teknautas

En Internet 2.0 aseguran que pusieron toda su investigación "a disposición de TikTok para que comentara y verificara", pero que desde la red social "se negaron a responder sobre su infraestructura basada en China". "Teníamos varias direcciones IP conectándose a un subdominio en China", cuenta Robinson al respecto, a la par que destaca que "es difícil negar que había conexiones con China a lo largo del tiempo en los datos del DNS; es su palabra contra su código". En cualquier caso, lamenta no poder llegar más allá de la investigación para poder contrastar la respuesta de TikTok. "No podemos decir dónde los almacenan, porque no podemos ver dentro de sus sistemas. Tenemos que tomar la palabra de TikTok de que los guardan donde dicen que los guardan", apunta.

La conexión china en cuestión estaría a cargo de Guizhou Baishan Cloud Technology. "Curiosamente, esta empresa ha sido calificada como una de las 100 mejores empresas chinas de ciberseguridad y en 2021 estableció un laboratorio conjunto de 'big data' con la Universidad de Guizhou", destaca el informe. Robinson agrega que "no es posible" saber lo que ocurre una vez allí, porque "las conexiones se producen en la red interna de TikTok y nosotros solo podemos ver las IP que se conectan a ella".

"Todo se ve en China", asegura un empleado de TikTok en EEUU en una grabación filtrada

Sea como sea, este investigador relativiza la ubicación de los datos, ya que estos también pueden ser accesibles desde otros puntos. "La filtración de BuzzFeed muestra que no importa dónde se almacenan los datos, porque pueden acceder a ellos igualmente", recuerda. Según esta investigación, los trabajadores estadounidenses de TikTok "no tenían permiso ni conocimiento para consultar los datos por su cuenta", de modo que tenían que "recurrir a sus compañeros en China" para ello. En una de las grabaciones, uno de los empleados aseguraba que "todo se ve en China". En esta ocasión, la plataforma respondió con un comunicado en el que no aclaraba nada.

EEUU se preocupa, pero hace lo mismo

No es, ni de lejos, la primera vez que TikTok hace saltar las alarmas sobre su papel en China. Ahí está el intento de prohibir la red social por parte del expresidente Donald Trump, que argumentaba precisamente lo que las grabaciones filtradas han confirmado. Es lo que ha hecho que las sospechas se hayan disparado. En Estados Unidos, la republicana Marsha Blackburn ha enviado una carta exigiendo explicaciones a la empresa, mientras que los demócratas Mark R. Warner y Marco Rubio han pedido a la Comisión Federal de Comercio (FTC, por su siglas en inglés) que investigue el tratamiento de datos.

También en Australia el senador James Peterson, ha exigido que expliquen qué estaba sucediendo. "Los usuarios australianos merecen saber si su información privada también está expuesta", dijo en su misiva, que fue respondida por la plataforma. "TikTok Australia admite que los datos de los usuarios australianos también son accesibles en China continental, lo que los pone al alcance del Gobierno chino, a pesar de sus garantías anteriores de que estaban seguros", les ha afeado el político, que también ponía de relieve que aunque "TikTok niega que alguna vez entregara datos al Partido Comunista Chino, es algo muy difícil de creer".

El meollo del asunto está en la ley de seguridad nacional de China, que obliga a las empresas chinas a compartir los datos con las autoridades si estas los requieren. De hecho, uno de los aspectos más curiosos de la relación entre TikTok y China es su portal de transparencia, en el que publica cuántas solicitudes de información ha tenido por parte de las autoridades de distintos países. Ahí aparecen España, Estados Unidos o Australia, pero no China, cuya aplicación está desconectada del resto de la red mundial y recibe el nombre de Douyin.

Aunque algunos de los autores del informe ya han pedido la prohibición de TikTok, Robinson no llega a ese extremo y opina que debería crearse una nueva regulación para "proteger los datos de todos los clientes". Además, tiene claro que el caso europeo es un buen camino a seguir. "En mi opinión, el Reglamento General de Protección de Datos es la mejor regulación de datos del mundo y es necesario que se aplique más", incide. El problema es que la situación en el viejo continente dista de ser idílica.

La norma europea no hace ninguna gracia en Estados Unidos, donde los usuarios extranjeros quedan totalmente desprotegidos cuando sus datos quedan al país, de modo que las autoridades pueden acceder a ellos fácilmente. La incompatibilidad es evidente y, pese a ello, ha habido dos acuerdos transatlánticos que intentaban parchear la diferencia, pero que estaban fuera de la legalidad. Lo demostró el abogado austriaco Max Schrems, que consiguió tumbar ambos tratados. "En Europa, una empresa tiene que garantizar el derecho a la privacidad en los EEUU. Es decir, no hay manera de cumplir con las dos leyes si una dice A y la otra B, siempre vas a violar una de ellas", explicaba el letrado en una entrevista reciente con este periódico. Ahora está por llegar el tercero, pero no tiene pinta de que las tecnológicas estadounidenses vayan a dar su brazo a torcer.