Redacción MX Político.- El primer ministro del Reino Unido, Rishi Sunak, insinuó recientemente que podría prohibir la aplicación de redes sociales TikTok en los dispositivos utilizados por los empleados del gobierno.
Sus comentarios siguen prohibiciones similares de la Comisión Europea y el gobierno federal de EE. UU. En los casos de la UE y EE. UU., las preocupaciones de seguridad se utilizaron como justificación para una prohibición. A diferencia de Facebook o Instagram (ambos propiedad de Meta, con sede en EE. UU.), TikTok es propiedad de ByteDance, con sede en China.
Tales preocupaciones no son nuevas. En octubre de 2022, el exsecretario de Estado de EE. UU., Mike Pompeo, describió su temor de que China pudiera obligar a TikTok a actuar como un «caballo de Troya», accediendo y explotando datos confidenciales en los dispositivos de los usuarios.
TikTok, como muchas aplicaciones de redes sociales, recopila cantidades significativas de datos de usuarios, incluidas fechas de nacimiento, direcciones de correo electrónico y números de teléfono.
Las discusiones sobre la privacidad en las aplicaciones de redes sociales generalmente se refieren a la recopilación excesiva de datos que los usuarios consienten en entregar. La política de privacidad de TikTok dice que la aplicación recopila datos de ubicación del usuario, hasta una granularidad de tres kilómetros cuadrados. Esto es bastante tosco: Instagram, por ejemplo, permite un seguimiento de ubicación más preciso.
Instagram dice que esto es para personalizar anuncios. Pero el riesgo es que, si se exponen, los datos de ubicación podrían ser utilizados por partes malintencionadas para rastrear a los usuarios, lo que permitiría comportamientos como el acoso de la pareja íntima. Este tipo de datos de ubicación estuvo involucrado en un supuesto esfuerzo de los empleados de TikTok (que posteriormente se informó que fueron despedidos) para determinar la ubicación de los periodistas con sede en EE. UU., en un intento por detectar filtraciones desde dentro de la empresa.
En un correo electrónico publicado por la revista Forbes, el director ejecutivo de ByteDance, Rubo Liang, escribió que estaba «profundamente decepcionado» por el episodio.
El acceso a los datos de los usuarios permite a las empresas crear perfiles para usuarios específicos. La creciente disponibilidad para el público de herramientas de software que utilizan el aprendizaje automático, un tipo de IA que mejora en una tarea con la experiencia, ha alarmado a algunos analistas de seguridad cibernética.
Estos expertos están preocupados por el uso potencial de esta tecnología para «ataques de phishing dirigidos». En estos ataques, las víctimas reciben una comunicación, como un correo electrónico, que se hace pasar por una fuente confiable, lo que incita a la víctima a involucrarse en una estafa.
Las aplicaciones de redes sociales tienen un conocimiento significativo de sus usuarios. Por lo tanto, es totalmente plausible que la creación de un perfil a partir de los datos del usuario pueda permitir ataques de phishing dirigidos a cuentas gubernamentales confidenciales. Sin embargo, no hay evidencia de que TikTok se haya utilizado para este propósito.
Estándares de la industria
ByteDance ha respondido a las prohibiciones recientes diciendo que no ha proporcionado datos de usuarios al gobierno chino. También afirma que sus prácticas de recopilación de datos se alinean con las de otras empresas de redes sociales. Una comparación superficial con la política de privacidad de Instagram respalda esta opinión: la información de identificación recopilada por Meta de Facebook e Instagram generalmente coincide con la información recopilada por TikTok en términos de información del dispositivo, gráficos de redes sociales e información de ubicación.
Algunas críticas a aplicaciones como TikTok se han centrado en afirmar que funcionan como spyware. El objetivo del software espía, en comparación con la recopilación de datos, es extraer información confidencial o sensible que los usuarios no dieron su consentimiento para proporcionar. Por ejemplo, el software espía puede tener como objetivo la información que el usuario ha copiado en el portapapeles de su dispositivo.
El consejo común es usar contraseñas complejas y únicas para cada cuenta en línea. Por lo tanto, las personas preocupadas por la privacidad suelen utilizar administradores de contraseñas como LastPass o 1password.
Sin embargo, es probable que estos usuarios copien y peguen la contraseña compleja de su administrador de contraseñas en los mecanismos de inicio de sesión de una cuenta. La extracción de información del portapapeles permite a aquellos con intenciones maliciosas recuperar contraseñas y acceder a cuentas confidenciales.
Evaluación del riesgo
TikTok es una «aplicación de código cerrado», lo que significa que el código fuente, las instrucciones subyacentes, utilizadas para crear la aplicación no están disponibles. Sin embargo, se han realizado esfuerzos para aplicar ingeniería inversa al código fuente de TikTok. Estos esfuerzos se han utilizado para determinar si la aplicación se comporta como spyware o si recopila datos del usuario de forma excesiva.
Un informe de Citizen Lab Research describió la ingeniería inversa de una versión de TikTok distribuida por Android. Concluyó: «TikTok… (no) parece exhibir un comportamiento abiertamente malicioso» como el que muestra el spyware. Además, el informe dice que si bien TikTok recopila una gran variedad de información de dispositivos e información de patrones de uso, «(estas) características no son excepcionales en comparación con las normas de la industria».
Es razonable concluir que Tiktok en sí mismo no presenta necesariamente un riesgo mucho mayor en este sentido que otras aplicaciones de redes sociales con sede en EE. UU., una conclusión compartida por Electronic Frontier Foundation.
►La entrada Prohibiciones de TikTok: lo que dice la evidencia sobre las preocupaciones de seguridad y privacidad se publicó primero en MxPolítico.◄
