¿TikTok y otras aplicaciones chinas realmente están robando tus datos?
La amenaza de la vigilancia en línea no es un hecho lejano en el siglo XXI. Esto se refleja entre las violaciones de datos, recopilación de datos del gobierno, y cuentas de redes sociales invasivas. Ahora, el gobierno estadounidense les dice a sus ciudadanos que desinstale las aplicaciones desarrolladas en China. Esto porque pueden formar parte de una enorme plataforma de spyware que recopila datos en todos los países del mundo.
Con TikTok soportando la peor parte de las acusaciones de ser spyware, ¿Deberíamos comenzar a eliminar las aplicaciones chinas de nuestro teléfono inteligente? ¿Las aplicaciones chinas están robando tus datos?
¿Por qué Estados Unidos prohíbe las aplicaciones chinas?
Durante mucho tiempo, se sospechó que las aplicaciones y el software desarrollados en China actuaban como software espía (spyware). Estas aplicaciones supuestamente recopilan datos del usuario, que se envían al gobierno chino a través de corporaciones tecnológicas. Muchos sospechan que las empresas de tecnología están trabajando mano a mano con el gobierno chino, dada la estructura política del país.
¿Por qué Estados Unidos prohíbe TikTok?
A la vanguardia de las acusaciones está TikTok, la plataforma de redes sociales para compartir videos que ha tomado al mundo por sorpresa. TikTok se ha descargado más de 2 mil millones de veces y tiene un estimado de 800 millones de usuarios activos. Cabe destacar que la mayoría de esos usuarios se encuentran en el grupo de edad de 18 a 30 años.
El jueves 7 de agosto de 2020, el presidente Trump emitió una orden ejecutiva que prohíbe efectivamente TikTok en los Estados Unidos. La orden se dirige específicamente al propietario de TikTok, ByteDance, y prohíbe cualquier “transacción” con la empresa. La orden entrará en vigor 45 días después de su publicación.
La prohibición a nivel nacional entra en vigor después de que se prohibiera TikTok en todos los dispositivos gubernamentales. Esto incluye los funcionarios gubernamentales y el personal militar.
¿Las aplicaciones chinas están robando tus datos?
La gran pregunta: si instalas una aplicación china, ¿robará tus datos? Casi todas las acusaciones dirigidas a estas aplicaciones se centran en el robo de datos, siendo la aplicación TikTok un buen ejemplo.
Los investigadores de seguridad comenzaron a investigar las prácticas de recopilación de datos de TikTok desde marzo y abril de 2020. Una publicación de Reddit del 9 de abril del usuario bangorlol proporcionó un análisis de un intento de ingeniería inversa. El análisis se realizó a la versión de la aplicación TikTok que estaba activa en ese momento. El veredicto fue que “TikTok es un servicio de recopilación de datos que se disimula como una red social” y que “TikTok es esencialmente malware”.
Es un análisis relativamente detallado de un usuario que afirma que se gana la vida aplicando ingeniería inversa. Por ello, la publicación de dicho usuario atrajo una gran cantidad de atención. Sin embargo, la publicación original no explora ni explica ningún razonamiento específico detrás de las afirmaciones. En cambio, explica otros problemas con la aplicación, como la visualización y la manipulación de videos virales.
Otras posturas
Desde entonces, sin embargo, las preguntas sobre el aparente robo de datos de TikTok se han amplificado. Otros investigadores de seguridad no están seguros de que TikTok sea tan malicioso como los medios, y ciertas figuras del gobierno lo están retratando.
Por ejemplo, tomemos al experto en seguridad Mike Thompson, quien dice “Aún no he visto una amenaza material documentada … No es más que la fanfarronada habitual sobre una nueva aplicación diseñada para ayudar a las personas a conectarse. Sí, conlleva un riesgo, pero no es peor que la miríada de otras comunidades de redes sociales “.
De manera similar, el respetado investigador de seguridad, Baptiste Robert (@ fs0c131y), tiene su propia conclusión. “Por lo que podemos ver, en su estado actual, TikTok no tiene un comportamiento sospechoso y no está exfiltrando datos inusuales”.
TikTok recopila datos del usuario a través de un cifrado inusual
Luego, a mediados de agosto de 2020, se supo que la aplicación TikTok había recopilado direcciones MAC de dispositivos. TikTok estaba evitando las protecciones tanto en iOS como en Android diseñadas específicamente para proteger contra dicha recopilación. La aplicación recopiló direcciones MAC durante aproximadamente 15 meses. Detuvo la práctica en noviembre de 2019 a medida que aumentaba el escrutinio de la seguridad de TikTok.
La dirección MAC de tu dispositivo es un identificador de dispositivo único asignado a cada adaptador de red. La recopilación de la dirección MAC de cada dispositivo es una poderosa herramienta de identificación, ya que la dirección MAC nunca cambia. (Sí, hay formas de falsificar y alterar una dirección MAC, pero la mayoría de los usuarios habituales de TikTok no realizan estas actividades).
Como la dirección MAC nunca cambia, permite un perfil significativo de un usuario individual y sus hábitos. Dadas las otras preocupaciones con respecto a TikTok, la combinación fue claramente un problema importante. Esto creó un método de seguimiento a largo plazo con cero oportunidades para optar por no participar en la recopilación de datos.
Investigación del Wall Street Journal
La información proviene de un artículo de investigación del Wall Street Journal que analizó nueve versiones de la aplicación TikTok. Se analizaron versiones lanzadas entre abril de 2018 y enero de 2020. El análisis confirmó de alguna manera los hallazgos de otros investigadores de seguridad. TikTok no recopila una gran cantidad de datos más allá de lo que podrías esperar de una aplicación de redes sociales.
Sin embargo, la investigación de WSJ también confirmó gran parte de la publicación del usuario de Reddit bangorlol de abril de 2020. ByteDance empaca la mayoría de los datos de usuario que envía en un tipo de cifrado inusual. Esto va más allá de la protección estándar que ofrece SSL/TLS. ¿Es para proporcionar seguridad adicional al usuario? ¿O para ofuscar lo que TikTok estaba enviando a los servidores de ByteDance?
Si ByteDance estuviera usando la dirección MAC para identificación y seguimiento, explicaría la capa de cifrado adicional. El cifrado evitaría que Google y Apple analicen el tráfico de datos, deteniendo la dirección MAC y otra recopilación de datos que aparecen en el radar.
¿Es esto diferente de otras plataformas de redes sociales?
Otra consideración es que Facebook, Twitter, Instagram, etc., realizan exactamente las mismas acciones que TikTok. Es decir, recopilan los datos del usuario, crean perfiles de usuario detallados y orientan esos perfiles con publicidad. Obtener información sobre el sistema operativo del dispositivo como la resolución de la pantalla, el modelo del dispositivo es común. Asimismo, datos similares, esto es parte de la normalidad de las aplicaciones de redes sociales.
Sin embargo, las aplicaciones chinas supuestamente recogen más datos de los necesarios. Jon Callas, un miembro senior de tecnología de la ACLU, dice que “las aplicaciones chinas suelen ser mucho más abusivas que otras, y las odiamos”.
Por extensión, debes considerar lo que estos gigantes tecnológicos pueden hacer con esta cantidad de datos. Solo tienes que ver hacia atrás en el escándalo de Cambridge Analytica para ver el poder peligroso de enormes conjuntos de datos de redes sociales. TikTok es la primera aplicación de redes sociales de China que arrasó en el mundo. Es la primera aplicación de redes sociales de China que penetró en todos los países occidentales y en todos los niveles de la sociedad. Por lo tanto, el potencial para la recopilación de datos maliciosos es evidente.
¿Hay otros países que prohíben las aplicaciones chinas?
La lista de aplicaciones chinas prohibidas depende de tu ubicación. Mientras lees, Estados Unidos prohíbe las transacciones con la empresa matriz de TikTok, ByteDance. Sin embargo, Estados Unidos no es el único país que prohíbe TikTok o, de hecho, las aplicaciones desarrolladas en China.
A principios de julio de 2020, India prohibió TikTok y más de 50 otras aplicaciones chinas. Las razones alegan que son “perjudiciales para [la] soberanía e integridad de India, la defensa de India, la seguridad del estado y el orden público”. Aunque el gobierno indio cita el riesgo de seguridad y privacidad, la medida es parte de una respuesta más amplia a un incidente anterior. El incidente tiene su origen en la frontera entre China e India en la región de Ladakh, que resultó en múltiples víctimas.
La prohibición incluye la popular aplicación de mensajería WeChat, la plataforma de microblogging Weibo y el popular juego de Android Clash of Kings.
En el momento de escribir este artículo, muy pocos países están prohibiendo las aplicaciones chinas (Australia está considerando prohibir TikTok y ya ha prohibido a Huawei y ZTE).
Prohibición de infraestructura 5G de Huawei
Sin embargo, en julio de 2020, el Reino Unido anunció que prohibiría al gigante chino de las telecomunicaciones, Huawei, de sus redes 5G. El gobierno del Reino Unido también se comprometió a eliminar cualquier tecnología Huawei existente de su infraestructura 5G para 2027. La medida sigue a meses de cabildeo tanto a nivel nacional como internacional para no solo reducir el papel de Huawei en la infraestructura nacional crítica. La idea es eliminarlo por completo.
Francia Iinvestiga TikTok
De manera similar, mientras escribía este artículo, una portavoz del organismo de control de datos francés, CNIL, confirmó que estaba abriendo una investigación sobre TikTok. Específicamente, la investigación analizará cómo TikTok adminsitra los datos del usuario bajo el marco de protección de datos GDPR de la Unión Europea. Este marco brinda a los ciudadanos de la Unión Europea una protección adicional de datos.
¿Son las prohibiciones estadounidenses de las aplicaciones chinas un juego justo?
Estados Unidos (y los otros gobiernos de los cinco ojos) que hacen afirmaciones audaces sobre la recopilación de datos es, en el mejor de los casos, hipócrita. Y, en el peor, absolutamente ridículo. No fue hace tanto tiempo que el mundo estaba sacudiéndose por las revelaciones de Edward Snowden. Revelaciones sobre PRISM, XKeyscore, ECHELON y otros programas globales de recopilación de datos.
Estos programas no utilizaron aplicaciones como software espía, sino que recogieron grandes cantidades de datos de los principales cables de conexión de datos entre países. Por ejemplo, las redes de proveedores de servicios de nivel 1 o la infraestructura de cables submarinos.
Además, estos programas aún están activos y han sido renovados varias veces por el gobierno de los Estados Unidos (con la colaboración de gobiernos aliados).
Aun así, el agua fluye en ambos sentidos. El gobierno chino prohíbe el acceso a muchas de las principales empresas de tecnología de Estados Unidos. Por ejemplo, Google, Facebook, Twitter, Instagram e incluso TikTok (la versión china de TikTok se llama Douyin y muestra contenido diferente). Además, el gobierno chino censura las fuentes de noticias occidentales, los servicios de transmisión de video y más.
Las razones para censurar difieren, pero ambas buscan el mismo objetivo: “proteger” a los ciudadanos de un gobierno extranjero.
¿Deberías eliminar las aplicaciones chinas de tu teléfono?
Aparte del hecho de que ya no tienes muchas opciones en el asunto, dada la Orden Ejecutiva Presidencial (si vives en Estados Unidos), pero probablemente podrías haber tomado una decisión sin interferencia. Si vas a seguir usando TikTok, asume que tus datos son inseguros y que la aplicación podría comprometerlos de otras maneras.
El problema es que cualquier conversación que involucre a China, Estados Unidos, adversarios del gobierno, espionaje y recopilación de datos es difícil de controlar. No se reduce a “China = malo”, así que debes eliminar las aplicaciones después de la publicación. Esa sería la respuesta simple, en blanco y negro, que muchos desean.
Desafortunadamente, la oposición ruidosa a TikTok y otras aplicaciones desarrolladas en China empuja a los consumidores al ámbito de la geopolítica. Como peones entre dos naciones importantes que luchan por el control de tus datos.