TikTok planeaba espiar la ubicación de algunos ciudadanos estadounidenses
El equipo con sede en China de la empresa matriz de TikTok, ByteDance, planeó usar la aplicación TikTok para monitorear la ubicación personal de algunos ciudadanos estadounidenses específicos. Esto según materiales documentos por Forbes.
El equipo detrás del proyecto de monitoreo, el departamento de Auditoría Interna y Control de Riesgos de ByteDance, está dirigido por el ejecutivo Song Ye, ubicado en Beijing. Él brinda reportes al cofundador y director ejecutivo de ByteDance, Rubo Liang.
El equipo realiza principalmente investigaciones sobre posibles conductas indebidas por parte de empleados actuales y anteriores de ByteDance. Pero en al menos dos casos, el equipo de Auditoría Interna también planeó recopilar datos de TikTok sobre la ubicación de un ciudadano estadounidense que nunca había tenido una relación laboral con la empresa.
No está claro a partir de los documentos si realmente se recopilaron datos sobre estos estadounidenses. Sin embargo, el plan era que un equipo de ByteDance ubicado en Beijing obtuviera datos de ubicación de los dispositivos de los usuarios estadounidenses.
La portavoz de TikTok, Maureen Shanahan, dijo que TikTok recopila información de ubicación aproximada en función de las direcciones IP de los usuarios. Esto sirve “entre otras cosas, para ayudar a mostrar contenido y anuncios relevantes a los usuarios, cumplir con las leyes aplicables y detectar y prevenir el fraude y el comportamiento no auténtico”.
Espiar ciudadanos estadounidenses
Pero el material revisado por Forbes indica que el equipo de Auditoría Interna de ByteDance planeaba usar esta información de ubicación para vigilar a ciudadanos estadounidenses individuales, no para orientar anuncios ni ninguno de estos otros propósitos. Forbes no reveló la naturaleza y el propósito de la vigilancia planificada a la que se hace referencia en los documentos para proteger las fuentes. TikTok y ByteDance no respondieron preguntas sobre si Auditoría Interna se ha dirigido específicamente a miembros del gobierno de Estados Unidos, activistas, figuras públicas o periodistas.
Según el informe, TikTok está cerca de firmar un contrato con el Comité de Inversión Extranjera en los Estados Unidos (CFIUS) del Departamento del Tesoro, que evalúa los riesgos de seguridad nacional que plantean las empresas de propiedad extranjera. El CFIUS ha estado investigando si la propiedad china de la empresa podría permitir que el gobierno chino pueda acceder a información personal sobre los usuarios de TikTok de Estados Unidos.
En septiembre, el presidente Biden firmó una orden ejecutiva que enumera los riesgos específicos que CFIUS debe considerar al evaluar empresas de propiedad extranjera. La orden, que establece que tiene la intención de “enfatizar… los riesgos que presenta el acceso de los adversarios extranjeros a los datos de personas de los Estados Unidos”, se centra específicamente en el uso potencial de los datos por parte de las empresas extranjeras. En decir, el uso “para la vigilancia, el rastreo, el seguimiento y la selección de personas o grupos de personas, con posibles impactos adversos en la seguridad nacional”.
Equipo de Auditoría Interna y Control de Riesgo
El equipo de Auditoría Interna y Control de Riesgos realiza auditorías e investigaciones periódicas a los empleados de TikTok y ByteDance. Las investigaciones pueden originarse por infracciones como conflictos de intereses y mal uso de los recursos de la empresa, y también por fugas de información confidencial.
Los materiales internos revisados por Forbes muestran que los altos ejecutivos, incluido el director ejecutivo de TikTok, Shou Zi Chew, ordenaron al equipo que investigara a empleados individuales y que ha investigado a los empleados incluso después de que abandonaron la empresa.
El equipo de auditoría interna utiliza un sistema de solicitud de datos conocido por los empleados como el “canal verde”, según documentos y registros de Lark, el software de gestión de oficinas internas de ByteDance. Estos documentos y registros muestran que las solicitudes de información del “canal verde” sobre los empleados estadounidenses han extraído esos datos de China.
“Como la mayoría de las empresas de nuestro tamaño, tenemos una función de auditoría interna responsable de auditar y evaluar objetivamente el cumplimiento de nuestros códigos de conducta por parte de la empresa y de nuestros empleados. Este equipo brinda sus recomendaciones al equipo de liderazgo”.
Jennifer Banks, portavoz de ByteDance.
ByteDance no es el primer gigante tecnológico que ha considerado usar una aplicación para monitorear usuarios específicos de Estados Unidos. En 2017, el New York Times informó que Uber había identificado a varios políticos y reguladores locales y les había entregado una versión separada y engañosa de la aplicación de Uber para evitar sanciones regulatorias. En ese momento, Uber reconoció que había ejecutado el programa, llamado “bola gris”, pero dijo que se usaba para denegar solicitudes de viaje a “opositores que se confabulan con funcionarios en ‘ataques’ secretos destinados a atrapar a los conductores”, entre otros grupos.
Casos similares
TikTok no respondió a las preguntas sobre si alguna vez ha brindado contenido o experiencias diferentes a funcionarios gubernamentales, reguladores, activistas o periodistas que el público en general en la aplicación TikTok.
Según los informes, tanto Uber como Facebook rastrearon la ubicación de los periodistas que informaban en sus aplicaciones. Una investigación de 2015 realizada por el Centro de información de privacidad electrónica descubrió que Uber había monitoreado la ubicación de los periodistas que cubrían la empresa. Uber no respondió específicamente a este reclamo. El libro de 2021 An Ugly Truth alega que Facebook hizo lo mismo, en un esfuerzo por identificar las fuentes de los periodistas. Facebook no respondió directamente a las afirmaciones del libro, pero un vocero le dijo al San Jose Mercury News en 2018 que, al igual que otras empresas, Facebook “usa rutinariamente registros comerciales en investigaciones en el lugar de trabajo”.
Pero un factor importante distingue la recopilación planificada de información de usuarios privados de ByteDance de esos casos. TikTok les dijo recientemente a los legisladores que el acceso a ciertos datos de usuarios de Estados Unidos, probablemente incluida la ubicación, estará “limitado solo al personal autorizado, de conformidad con los protocolos que se están desarrollando con el gobierno de Estados Unidos. TikTok y ByteDance no respondieron preguntas sobre si el ejecutivo de Auditoría Interna, Song Ye, u otros miembros del departamento son “personal autorizado” a los efectos de estos protocolos.
Proyecto Texas
Estas promesas son parte del Proyecto Texas, el esfuerzo masivo de TikTok para reconstruir sus sistemas internos para que los empleados con sede en China no puedan acceder a una franja de datos de identificación de usuarios “protegidos” sobre los usuarios de TikTok de Estados Unidos. Esto incluye sus números de teléfono, cumpleaños y borradores de videos. Este esfuerzo es fundamental para las negociaciones de seguridad nacional de la empresa con CFIUS.
En una audiencia en el Senado en septiembre, la directora de operaciones de TikTok, Vanessa Pappas, dijo que el próximo contrato de CFIUS “satisfacería todas las preocupaciones de seguridad nacional” sobre la aplicación. Aún así, algunos senadores se mostraron escépticos. En julio, el Comité de Inteligencia del Senado inició una investigación sobre si TikTok engañó a los legisladores al retener información sobre el acceso de empleados con sede en China a datos de Estados Unidos a principios de este año.
En una declaración sobre los controles de acceso a los datos de TikTok, el portavoz de TikTok, Shanahan, dijo que la empresa utiliza herramientas como el cifrado y el “monitoreo de seguridad” para mantener los datos seguros, el personal de Estados Unidos. supervisa la aprobación del acceso y que los empleados tienen acceso a los datos de Estados Unidos según sea necesario”.
Rol del equipo de Auditoría Interna
No está claro qué papel jugará el equipo de Auditoría Interna de ByteDance en los esfuerzos de TikTok para limitar el acceso de los empleados con sede en China a los datos de los usuarios de Estados Unidos. Esto dados los planes del equipo para monitorear las ubicaciones de algunos ciudadanos estadounidenses usando la aplicación TikTok. Pero una evaluación del riesgo de fraude escrita por un miembro del equipo a fines de 2021 destacó las preocupaciones sobre el almacenamiento de datos y dijo que, según los empleados responsables de los datos de la empresa, “es imposible evitar que los datos que no deberían almacenarse en China se retengan servidores ubicados en China”.
Además, una conversación de audio filtrada de enero de 2022 muestra que el equipo ubicado en Beijing estaba, en ese momento, recopilando información adicional sobre el Proyecto Texas.
En la llamada, un miembro del equipo de confianza y seguridad de TikTok en Estados Unidos. contó una conversación inusual con su gerente: Chris Lepitak, el auditor interno jefe de TikTok. Él le había pedido al empleado que se reuniera en un restaurante del área de Los Ángeles fuera de horario. Lepitak, que depende de Song Ye, ubicado en Beijing, luego le hizo preguntas detalladas al empleado sobre la ubicación y los detalles del servidor Oracle que es fundamental para los planes de TikTok para limitar el acceso extranjero a los datos personales de los usuarios de Estados Unidos. El empleado le dijo a su gerente que estaba “asustado” por el intercambio. TikTok y ByteDance no respondieron preguntas sobre esta conversación.
Respuesta de Oracle
El portavoz de Oracle, Ken Glueck, dijo que si bien TikTok actualmente usa los servicios en la nube de Oracle, “no tenemos absolutamente ninguna idea de una forma u otra” sobre quién puede acceder a los datos de los usuarios de TikTok.
Glueck dejó en claro que esto cambiaría cuando TikTok finalice su contrato con el gobierno federal. “Pero a menos que ese sea el caso”, dijo, Oracle no proporcionará nada “más que nuestra propia seguridad” para TikTok.
TikTok no respondió preguntas de Forbes sobre el estado de las negociaciones de la empresa con CFIUS. Pero en una declaración a Bloomberg publicada esta mañana, la portavoz de TikTok, Brooke Oberwetter, dijo:
“Confiamos en que estamos en camino de satisfacer plenamente todas las preocupaciones razonables de seguridad nacional de Estados Unidos”.