El 27 de noviembre de 2019 se presentó una demanda colectiva en California contra ByteDance (la empresa china propietaria de TikTok) en la que se les acusa de procesar los videos antes de que los usuarios los suban a los servidores de TikTok, usar la información de los usuarios para crear perfiles publicitarios sin consentimiento y recabar información incluso cuando la aplicación está presuntamente apagada; información que luego se le facilita al gobierno chino, lo cual supone potencialmente una gran brecha para la seguridad nacional y para los intereses económicos de personas y empresas estadounidenses. Además, se cita que en febrero de 2019 se les impuso una multa de 5,7 millones de dólares por una demanda de la Federal Trade Commission en la que se les acusaba de utilizar información personal de niños menores de trece años sin conocimiento ni consentimiento de los tutores legales.
Cual es el estado actual de las demandas judiciales contra TikTok
La demanda de 27 de noviembre cita una serie de artículos en prensa y funcionamiento a grandes rasgos de Tiktok. Pero yo me la he leído entera y, a decir verdad, si multasen o cerrasen TikTok o WeChat habría que hacer lo mismo con el resto de los grandes proveedores de Internet empezando por Google, Apple, Facebook, Telegram y Amazon. Y, de hecho, en julio de 2020 la Corte Europea de Justicia dijo que no había suficientes garantías de que los datos de los usuarios europeos de Facebook no fuesen a parar a manos de las agencias de inteligencia estadounidenses ante lo cual Facebook llegó a marcarse el farol de suspender el servicio en Europa. La transferencia de datos es muy importante porque, resumidamente, las leyes estadounidenses sólo protegen los derechos de los ciudadanos estadounidenses. Por consiguiente, a los usuarios europeos o les protege la legislación europea o no les protege ninguna legislación.
A la demanda colectiva en California se siguió otra en Illinois, un estado donde en enero de 2020 Facebook ya pagó 550 millones de dólares en indemnizaciones a usuarios porque su algoritmo de etiquetado de caras violaba la ley estatal de protección de información biométrica.
Es cierto que el espionaje de TikTok es especialmente agresivo (más adelante explicaré las razones). Pero es que los móviles actuales son máquinas de espiar a los usuarios todo el tiempo.
Si la justicia fuese la misma para todos, el tiro tendría que salirle por la culata a los que quieren quitar a TikTok de en medio, pues a renglón seguido de quitar TikTok de las app stores habría que investigar al resto que están haciendo lo mismo o muy parecido. Pero eso no sucederá porque Silicon Valley hace décadas que tiene relaciones muy turbias con Washington D.C. Y no es que esté intentando defender a TikTok. En la red he llegado a leer despropósitos cómo que la campaña contra TikTok es una maniobra de Donald Trump para amordazar a las milicias virtuales que claman verdades en contra de Trump.
Lo que pasa es que el control de la privacidad se ha ido totalmente de madre. En Europa al menos se intentó hacer algo con GDPR, lo cual es un avance. Pero en EE.UU. los datos de los usuarios siguen siendo, en la práctica, propiedad de las empresas que los alojan, y en China es aún peor porque son, en la práctica, propiedad de un gobierno totalitario.
La política de privacidad de TikTok más o menos reconoce honestamente que recopilan tanta información de los usuarios cómo les es posible y la comparten con quien les da la gana.
Qué es lo que se puede saber sobre el funcionamiento interno de TikTok
Voy a detallar por una parte en este artículo lo que se sabe sobre el comportamiento de TikTok, que no es todo lo que se debería saber. Y por otra parte haré una línea temporal de sucesos para especular si encajan de alguna manera con una estrategia premeditada de guerra sucia comercial.
Es necesario avisar al lector de que lo que se puede saber acerca de lo que hace TikTok es limitado. Hay dos formas de averiguar lo que hace una app:
- Mirar lo que hace el código fuente
- Inspeccionar el tráfico de red que genera
El código fuente de TikTok es secreto y está ofuscado. La ofuscación significa que otro programa convirtió el binario en un galimatías y que, por consiguiente, cuando de descompila es muy difícil saber qué hace en realidad. Lo que sí se puede saber es que APIs del sistema operativo está accediendo. Por ejemplo, se sabe que TikTok obtiene una lista de las otras apps instaladas en el dispositivo probando URL schemes por fuerza bruta. También se sabe que TikTok dispone de un intensivo sistema de logging (grabación de todo lo que hace el usuario). Por ejemplo, puede grabar todas las teclas que está pulsando el usuario mientras usa la app. Además, dicho nivel de logging es configurable remotamente. Es decir, TikTok puede espiar a un usuario concreto bajo demanda.
El tráfico de red se inspecciona poniendo un proxy entre la app de TikTok y sus servidores para ver qué está siendo enviado. Esto también proporciona información parcial porque la gran mayoría del tráfico de red está encriptado. Un análisis del tráfico de red realizado por Penetrum mostró que un 37% de las direcciones IP a las que TikTok se conecta están alojadas en Alibaba Singapur. Aunque es cierto que Alibaba, al igual que Amazon, además de un marketplace, es un proveedor de hosting. Por consiguiente, que TikTok se conecte a Alibaba no implica necesariamente que le transfiriera información de valor. Otro análisis del periodista Matthias Eberl mostró que TikTok también envía información a Facebook sobre las búsquedas que realizan los usuarios.
Para ser justos con TikTok hay que decir que, al menos, no exige registro previo para ver sus contenidos cómo requieren Facebook e Instagram. YouTube no deja de incordiarte con que inicies sesión en Google si navegas en modo incógnito. Pero, aunque no te registres, TikTok empieza a guardar, al menos, la siguiente información:
- Dirección IP
- IMEI
- IMSI
- Operador Móvil
- Localización GPS y de precisión a través de WiFi
- Historial de navegación
- Hardware utilizado
- Otras aplicaciones instaladas
- Si el teléfono esta «rooteado».
Estos datos ya son suficientes para seguirle la pista a un usuario de forma unívoca.
En el registro, TikTok solicita: el nombre real, número de teléfono y fecha de nacimiento, además de permisos de acceso a otras redes sociales (Facebook, Instagram y Twitter). A partir de ese momento, TikTok graba:
-
- Cada video que se sube (incluso antes de subirlo).
- Qué videos ves y durante cuánto tiempo cada uno.
- Qué videos te gustan.
- Qué videos compartes.
- Todos los mensajes que intercambias en la aplicación.
¿Parece mucho? Pues es exactamente lo mismo que hacen Google, Facebook y Telegram (que son rusos) y tantos otros…
Si decides borrar tus datos de TikTok, presuntamente desaparecen, lo cual es imposible de verificar, cómo en el resto de redes sociales.
Además TikTok hace fingerprinting. El fingerprinting es algo bastante técnico y sofisticado pero, en esencia, consiste en recopilar una serie de características que hacen bastante único cada teléfono en función de su hardware y de lo que tiene instalado. Esto implica que aunque el usuario consiga ocultar su dirección IP, su IMEI y su IMSI, todavía será posible identificar con una buena probabilidad su terminal físico.
Acusaciones de espionaje chino y la prohibición de India y Trump
En junio de 2020 el Gobierno Indio prohibió 59 aplicaciones, entre ellas TikTok alegando que son una amenzada para la seguridad y la defensa de India. En septiembre la lista de aplicaciones prohibidas en India ascendía a 119.
El 1 de julio Anonymous publicó en Twitter que TikTok es spyware del gobierno chino, aunque sin aportar pruebas de ello.
Delete TikTok now; if you know someone that is using it explain to them it is essentially malware operated by the Chinese government running a massive spying operation. https://t.co/J7N9FS7PvG
— Anonymous (@YourAnonCentral) July 1, 2020
El 6 de agosto de 2020 el presidente de Estados Unidos Donald Trump firmó una orden ejecutiva contra TikTok y WeChat prohibiendo a cualquier bajo la jurisdicción de EE.UU. realizar ningún tipo de negocio con WeChat con un plazo de 45 días hasta su entrada en vigor. En la orden, Trump alegó motivos de seguridad nacional, política exterior y economía de Estados Unidos.
La medida supone una continuación de la guerra fría comercial de Trump contra China, que ya tuvo un importante capítulo tecnológico previo contra Huawei en 2019, y cuyos objetivos son, muy resumidamente: que China equilibre la balanza comercial comprando más energía y comida a EE.UU., que China respete la propiedad intelectual estadounidense, que China deje de dar subsidios a sus empresas que les facilitan la competencia desleal y que China no introduzca productos tecnológicos peligrosos para la seguridad nacional de Estados Unidos. Y a hasta que China no se avenga a dichas demandas habrá imposiciones arancelarias y fuertes restricciones a la inversión y actividad China en Estados Unidos.
La salida propuesta fue que una empresa norteamericana comprase la parte de ByteDance que opera en EE.UU. formando una nueva empresa llamada TikTok Global. En principio se habló de Microsoft pero luego Trump apoyó públicamente una compra por parte de Oracle y Walmart de un 20% de TikTok por una valoración total del 100% rumoreada entre 50.000 a 60.000 millones de dólares. Lo cual no es de extrañar, pues Larry Ellison ha sido uno de los mayores contribuidores declarados a la campaña de Trump. El obstáculo para esta compra son las restricciones que el Gobierno Chino puede imponer a la transferencia de tecnología estratégica desde China a EE.UU. en particular los algoritmos de recomendación de videos de TikTok. Lo más probable es que el acuerdo de compra se cierre excluyendo explícitamente el acceso de Oracle y Walmart a los algoritmos de recomendación.
Conclusiones
Personalmente, opino que para los usuarios no existe una gran diferencia práctica entre que ByteDance tenga sus datos o que los tenga Oracle. Los datos ya están indiscriminadamente a disposición de los anunciantes ya sea a través de TikTok o de Facebook o de Google.
A efectos legales, en su informe de transparencia 2019, TikTok declara que recibió 100 peticiones de las autoridades estadounidenses relativas a 107 cuentas y que proporcionó datos en un 82% de los casos. Esto no es nada comparado con las 51.121 peticiones que recibió Facebook en el mismo periodo. Desde el punto de vista de un usuario estadounidense con problemas legales podría ser más conveniente que sus datos estén en China y no en EE.UU. porque el gobierno estadounidense tiene mucho menos poder sobre una empresa China que sobre una empresa norteamericana y porque las autoridades chinas seguro que estarán mucho menos interesadas en el individuo norteamericano de lo que podrían estarlo el FBI y la CIA.
TikTok es un grave problema de seguridad y de privacidad. Pero no es el único problema ni el mayor problema. El verdadero problema es cómo las redes sociales siguen teniendo licencia, en la práctica, para tomar propiedad de los datos de los usuarios y cederlos a quien quieran y cuando quieran. Por consiguiente, la solución para proteger a los usuarios no es la venta forzosa de un porcentaje de ByteDance a Oracle y Walmart.
Apéndice. Detalles técnicos de cómo averiguar lo que hace TikTok.
Voy a esbozar en este apéndice técnico cómo se puede averiguar un poco de lo que hace realmente TikTok. No todo ni mucho menos. Yo escribo software lo cual, aunque parezca en principio relacionado, es una competencia profesional muy diferente de la de hacer ingeniería inversa de software. Por consiguiente, sólo puedo dar algunas pistas, espero que sin demasiados errores ni omisiones.
Lo primero que se puede hacer es instalar un Proxy cómo mitmproxy o Fiddler2 y redirigir todo el tráfico de red.
Frida es un framework de ingeniería inversa que permite inyectar JavaScript en los binarios de las apps para trazar qué están haciendo.
JEB un descompilador que lee executable Dalvik o bytecode Java y los convierte en parcialmente legibles para humanos.
Hopper es otro buen desensamblador para Mac y Linux.
Lo que hay que hacer es bajarse el apk (que es un fichero ZIP), descomprimirlo y leer el código descompilado (JEB, JADX, etc.).