Hasta finales del año pasado la aplicación de vídeo social TikTok estaba usando una capa adicional de cifrado para ocultar una táctica para rastrear las direcciones MAC de los usuarios de Android. Esto eludía las políticas de Google y no permitía a los usuarios optar por no participar, informa The Wall Street Journal. Los usuarios tampoco fueron informados de esta forma de seguimiento, según su informe.
Su análisis encontró que este rastreo oculto terminó en noviembre cuando el escrutinio de la compañía por parte de Estados Unidos se incrementó. Fueron al menos 15 meses durante los cuales TikTok había estado recopilando el identificador fijo sin el conocimiento de los usuarios.
Una dirección MAC es un identificador único y fijo asignado a un dispositivo conectado a Internet. Esto significa que puede reutilizarse para rastrear al usuario individual con fines de creación de perfiles y orientación de anuncios, incluso al poder volver a vincular a un usuario que ha aprobado su publicidad.
TikTok parece haber explotado un error conocido en Android para recopilar las direcciones MAC de los usuarios, que Google aún no ha podido conectar, según el WSJ.
TikTok responde con una declaración
Una portavoz de TikTok no negó la esencia de dicho informe, ni se involucró con preguntas específicas que enviamos. En su lugar, envió la siguiente declaración, atribuida a un portavoz, en la que la compañía reitera lo que se ha convertido en un reclamo de referencia de que nunca ha proporcionado datos de usuarios estadounidenses al gobierno chino:
Bajo el liderazgo de nuestro Director de Seguridad de la Información (CISO) Roland Cloutier, quien tiene décadas de experiencia en la aplicación de la ley y la industria de servicios financieros, estamos comprometidos a proteger la privacidad y seguridad de la comunidad de TikTok. Actualizamos constantemente nuestra aplicación para mantenernos al día con los desafíos de seguridad en evolución, y la versión actual de TikTok no recopila direcciones MAC de los usuarios Android. Nunca hemos proporcionado datos de usuario de TikTok al gobierno chino ni lo haríamos si nos lo pidieran.
Siempre alentamos a nuestros usuarios a descargar la versión más actual de TikTok, agregó el comunicado.
TikTok en el ojo del huracán
Todos los ojos están puestos en TikTok, como el último objetivo de la guerra de la administración Trump contra las empresas tecnológicas chinas. El escrutinio del manejo de los datos de los usuarios por parte de la aplicación de vídeo social inevitablemente ha aumentado.
Y aunque ninguna plataforma popular de aplicaciones sociales tiene las manos limpias cuando se trata del seguimiento de usuarios y la creación de perfiles para la orientación de anuncios, TikTok es propiedad de ByteDance de China. Significa que su sabor de capitalismo de vigilancia le ha ganado la atención no deseada por parte del presidente de Estados Unidos. El mismo ha amenazado con prohibir la aplicación a menos que venda su negocio a una empresa estadounidense en cuestión de semanas.
La fijación de Trump por la tecnología de China, en general, se centra en la afirmación de que las empresas de tecnología representan amenazas para la seguridad nacional en Occidente. ¿Cómo? A través del acceso a redes occidentales y/o datos de usuarios.
El gobierno de los EE.UU. puede señalar la ley de seguridad de Internet de China. Esta requiere que las empresas brinden al Partido Comunista de China acceso a los datos de los usuarios. De ahí la enfática negación de TikTok de pasar datos. Pero la existencia de la ley hace que tales afirmaciones sean difíciles de cumplir.
En Francia también investigan a TikTok
Los problemas de TikTok con los datos del usuario tampoco terminan ahí. Ayer se supo que el organismo de control de protección de datos de Francia ha estado investigando a TikTok desde mayo. Todo inició luego de una queja de un usuario.
Las preocupaciones de la CNIL sobre cómo la aplicación manejó la solicitud de un usuario para eliminar un vídeo se ha ampliado desde entonces para abarcar cuestiones relacionadas con la transparencia con la que se comunica con los usuarios, así como con las transferencias de datos del usuario fuera de la UE, que, en las últimas semanas, se han convertido en aún más complejo legalmente en la región.
El cumplimiento de las normas de la UE sobre los derechos de acceso a los datos para los usuarios y el procesamiento de la información de los menores son otras áreas de preocupación declarada para el regulador.
Según la legislación de la UE, cualquier identificador fijo (por ejemplo, una dirección MAC) se trata como datos personales. Esto significa que se incluye en el marco de protección de datos del RGPD del bloque. Esta establece condiciones estrictas sobre cómo se pueden procesar dichos datos, incluida la obligación de que las empresas tengan una base legal para recogerlo en primer lugar.
Si TikTok estuviera ocultando su seguimiento de direcciones MAC a los usuarios, es difícil imaginar qué base legal podría reclamar; el consentimiento ciertamente no sería posible. Las sanciones por violar el RGPD pueden ser sustanciales. Por ejemplo, la CNIL de Francia abofeteó a Googlecon una multa de $ 57 millones el año pasado bajo el mismo marco.
TikTok podrían enfrentar una investigación en EE.UU
El informe del WSJ señala que la FTC ha dicho que las direcciones MAC se consideran información de identificación personal según la Ley de Protección de la Privacidad Infantil en Línea. Esto implica que la aplicación también podría enfrentar una investigación regulatoria en ese frente, para agregar a su pila de problemas en EE.UU.
Presentado con los hallazgos del WSJ, el senador Josh Hawley (R-MO) dijo que Google debería eliminar la aplicación de TikTok de su tienda.
«Si Google les dice a los usuarios que no serán rastreados sin su consentimiento y permite a sabiendas que aplicaciones como TikTok rompan sus reglas al recopilar identificadores persistentes, potencialmente en violación de las leyes de privacidad de nuestros niños, tienen algunas explicaciones que hacer», dijo.
Nos comunicamos con Google para obtener comentarios.