No corren buenos tiempos para TikTok, la popular red social que ha conseguido calar especialmente entre los más jóvenes y que, como ya te venimos informando durante las últimas semanas en MuyComputer, está en el punto de mira de Donald Trump que, haciendo uso de sus poderes ejecutivos, ha decidido vetar el servicio en su país, salvo que el servicio pase a ser propiedad de alguna empresa «muy estadounidense», según sus propias palabras. La principal candidata, aunque no la única, es Microsoft.
Y si bien la actitud del presidente estadounidense es bastante cuestionable (llevo días preguntándome qué pasaría si cualquier gobierno de otro signo forzara una descapitalización similar a una empresa privada), lo que resulta indiscutible es que TikTok ya lleva un tiempo bajo la lupa, principalmente debido a su origen, la compañía china ByteDance. Un país en el que la protección de datos de los usuarios… bueno, digamos que no se acercan a los estándares occidentales.
Hace ya unas semanas se produjeron varios movimientos por parte de empresas, que se plantearon prohibir el uso de TikTok en los dispositivos de trabajo de sus empleados. Finalmente, Amazon dió marcha atrás, pero no hay constancia de que Wells Fargo haya actuado en esa dirección. Y aunque en aquel momento no se dio una razón concreta, solo alusiones a la falta de seguridad de la app, ya fueron suficiente como para que se activaran todas las alarmas que todavía no estaban encendidas.
Y hoy sabemos, por The Wall Street Journal, que los temores no eran infundados, y que, si bien ya no lo está haciendo, durante meses TikTok ha recopilado información de sus usuarios en Android, en contra de las normas de Google. Y no, no hablamos de información estadística, anonimizada y demás. Muy al contrario, ByteDance ha estado recopilando identificadores únicos de sus usuarios y que no están relacionados con el servicio. Por ser más concretos aún, las direcciones MAC de los adaptadores de red de sus dispositivos. Para ocultar la extracción de dicha información desde el terminal durante el tiempo que duró esta práctica, TikTok filtraba este identificador único antes de enviarlo a los servidores de ByteDance.
La investigación de WSJ ha determinado que TikTok recopiló direcciones MAC durante al menos 15 meses, terminando con una actualización publicada el 18 de noviembre del año pasado. La aplicación incluyó la dirección MAC con otros datos del dispositivo y la envió a ByteDance en la primera instalación y apertura de la aplicación en un nuevo dispositivo, según el informe. Algo sobre lo que en ningún momento se informaba a los usuarios, y que Google prohibe explícitamente por considerar que atenta contra la privacidad de los usuarios.
TikTok ha dicho que no comparte datos con el gobierno chino y que no violaría la privacidad del usuario incluso si se lo pidiera, según el WSJ. Sin embargo, muchos expertos en seguridad han advertido que debido a los fallos de seguridad de la aplicación, así como la postura de China sobre la ciberseguridad, es probable que el gobierno chino tenga acceso a cualquier información recopilada por la aplicación y almacenada en los servidores de ByteDance.
La entrada TikTok recopiló información sobre sus usuarios es original de MuySeguridad. Seguridad informática.