El CNI no se fía de esta 'app', pero casi todos en el Gobierno la están utilizando

El Gobierno español no quiere mojarse con TikTok. Mientras la Comisión Europea prohibió a todos sus empleados usar la aplicación en sus dispositivos de trabajo y medio mundo, desde EEUU y Canadá pasando por Francia o Reino Unido, toma medidas similares, España aún no se ha decidido a dar el paso. Los trabajadores en los diversos ministerios y organismos públicos pueden descargarse TikTok en sus equipos corporativos sin ninguna restricción. Lo más chocante es que esto ocurre pese a la sospecha del CNI sobre la app, según información facilitada a este diario por el Centro Criptológico Nacional (CCN), dependiente de la agencia de inteligencia.

El CCN, junto a la Secretaría General de Administración Digital (SGAD), dependiente del Ministerio de Asuntos Económicos y Transformación Digital, es el responsable de garantizar la seguridad de los dispositivos y las comunicaciones corporativas de los empleados públicos. Además, elabora guías de uso interno de redes sociales y aplicaciones de mensajería como WhatsApp o Signal. Sin embargo, TikTok no aparece en ninguno de los documentos oficiales del CCN. Es decir, no hay ningún tipo de indicación a los empleados públicos de si pueden usar o no la aplicación china y, en caso de poder hacerlo, qué reglas seguir.

TE PUEDE INTERESAR

Lo último de TikTok: adolescentes que nunca han trabajado te explican por qué eres pobre

Alfredo Pascual

Consultado al respecto por este diario mediante una petición de información de transparencia, el Centro Criptológico Nacional reconoce que "no considera a TikTok una aplicación de uso oficial, por lo que no se desarrollan guías de configuración". Pese a no considerarla de uso oficial, empleados públicos contactados la pueden descargar sin problema en sus móviles (muchos lo han hecho ya desde hace tiempo) y se usa de forma activa para promocionar la actividad de diversos ministerios, como Economía, Sanidad, Consumo e Igualdad.

"Hola, desde Santiago de Compostela, donde, como siempre, hay un ambiente magnífico desde la plaza del Obradoiro". Así saluda Nadia Calviño en un vídeo reciente en el canal de TikTok del Ministerio de Asuntos Económicos y Transformación Digital, que lleva activo desde comienzos de año. "Queremos compartir información útil sobre economía y digitalización", dice la ministra en otro vídeo. "¿Cómo hago para evadir impuestos?", le pregunta alguien en broma en los comentarios.

La cuenta roza los 20.000 seguidores y, para crearla y actualizarla, empleados públicos acceden a TikTok en sus móviles de trabajo, en los que almacenan contactos, notas de trabajo y otro material potencialmente sensible. Sin embargo, no hay ningún protocolo en Economía que estipule quién puede descargar la app y qué pasos deben dar para hacerlo y mantener un control de su uso. "Las aplicaciones para realizar actividades de comunicación se deben instalar en los dispositivos exclusivamente para uso de marketing público e información, y no vinculados a cuentas personales", señala un portavoz de Economía.

Especialistas consultados confirman el riesgo que supone tener una red social de este tipo instalada en dispositivos gubernamentales, pero el problema no es solo TikTok. "Desde el punto de vista de seguridad, el riesgo es enorme. Estas apps tienen acceso a tu agenda de contactos, a tu cámara, saben con quién hablas y pueden cruzar datos y obtener información. Pero eso ocurre con TikTok, Facebook, Instagram y cualquier aplicación de este tipo, sea china o estadounidense. El problema es el cinismo de vetar TikTok por ser china, pero no a Facebook por ser de EEUU. Hacen exactamente lo mismo", explica a este diario Román Ramírez, experto en ciberseguridad y asesor en el pasado en esta materia de diferentes organismos públicos.

"En el caso de TikTok, este tipo de aplicaciones pueden suponer una gran vulnerabilidad. No solo por las posibles ventanas traseras que pueden abrir en los dispositivos, sino por la propia gestión de la información. Son aplicaciones muy invasivas de la privacidad y recopilan grandes capacidades de datos de los usuarios sobre los que no solo no tenemos control, sino que pueden terminar en poder de una soberanía que puede llegar a instrumentalizarlos en una situación de conflicto", explicaba recientemente a este diario Manuel R. Torres, experto en desinformación y estrategias híbridas y catedrático de la Universidad Pablo Olavide de Sevilla.

Si las evidencias de riesgo de seguridad son tan claras, ¿por qué el CCN-CNI mira hacia otro lado y no veta TikTok en equipos corporativos? "El CCN está atrapado en todo esto. Ellos saben que usar TikTok tiene un riesgo, exactamente el mismo que usar Facebook o Telegram. Se trata de una decisión política que tiene que tomar el Gobierno, no el CCN. Hasta que eso no ocurra, toman una postura muy inteligente, no sacan una guía, pero tampoco emiten una circular vetando su uso", explica Ramírez.

Especialistas como él apuntan que lo ideal sería tener una política de veto por defecto para todas las aplicaciones, tanto redes sociales como apps de mensajería. Aquellos empleados que necesiten acceder a las mismas por motivos laborales, tendrían que solicitar su acceso y se activarían una serie de protocolos técnicos. Eso permitiría dar un trato por igual a todas las apps, que coincidiría con el riesgo real que suponen. Algo así ocurre en el Ministerio de Interior, donde los protocolos de uso de aplicaciones son más estrictos y las redes internas están aisladas de internet. Sin embargo, en la gran mayoría de ministerios no hay veto ni sanción a la hora de usar redes sociales (o juegos online) en equipos corporativos.

El resultado es que la indecisión del Gobierno está poniendo potencialmente en riesgo los datos de empleados públicos y la información que manejan. La situación es similar a la de Huawei: tomar una decisión oficial y pública de veto a Huawei o TikTok tensaría las relaciones diplomáticas y comerciales con China, así que se espera a que otro dé el paso, bien la Unión Europea o la OTAN. Pocos dudan que ese paso llegará. "En cuanto alguien asuma ese coste, España irá detrás y nos tendremos que posicionar sobre TikTok", apunta Ramírez. Hasta que eso ocurra, en la administración española seguirá imperando la política de "¿instalar TikTok? Tú verás".