NP: Análisis de seguridad y privacidad en TikTok: qué datos recoge y almacena la app

NP: Análisis de seguridad y privacidad en TikTok: qué datos recoge y almacena la app

Hemos recibido una nota de prensa por parte de Proofpoint, os la dejamos a continuación:

Análisis de seguridad y privacidad en TikTok: qué datos recoge y almacena la app

TikTok, la popular red social para compartir vídeos sigue generando titulares debido a sus problemas de seguridad, que parecen no disminuir. El Ejército y la Marina de los Estados Unidos han prohibido hace unos días su uso en los teléfonos oficiales tras una advertencia del Departamento de Defensa sobre el posible riesgo con la información personal. Y TikTok ha confirmado recientemente que ha parcheado múltiples vulnerabilidades que podían exponer las cuentas, la información de los usuarios y los vídeos.

«TikTok es una de las aplicaciones de redes sociales más populares entre los adolescentes, con cientos de millones de usuarios activos en todo el mundo. Sin embargo, como con todas las aplicaciones, es importante estar al tanto de la información que recoge, ya que podría causar problemas de privacidad”, comenta Sherrod DeGrippo, director senior de Investigación y Detección de Amenazas en Proofpoint. “TikTok requiere una gran cantidad de datos y permisos de usuario, incluyendo el rastreo por GPS. Y, como revelan los datos a los que accede, recomendamos a los usuarios tomar precauciones: asegurarse de limitar proactivamente quién puede ver e interactuar con el contenido, restringir la información GPS compartida y revisar la política de privacidad», concluye DeGrippo.

Para ayudar a los usuarios a comprender el verdadero impacto de TikTok en la privacidad de sus datos, el equipo de investigación de Proofpoint ha examinado la aplicación y su comportamiento. A continuación, se detallan los datos que TikTok recopila, envía y almacena.

¿Qué es TikTok?

TikTok permite a los usuarios crear videos cortos de quince segundos en sus teléfonos y publicar el contenido en una plataforma pública. Los vídeos se retocan con música y elementos visuales, como filtros y pegatinas, y también permite crear vídeos con otros usuarios a través de una función «dúo» de pantalla dividida.

La juventud del público objetivo de TikTok y la naturaleza del contenido que la gente crea y comparte en la plataforma han puesto la privacidad de la aplicación en el foco de atención en los últimos meses. Además, las preguntas sobre dónde se almacenan los datos de TikTok han llevado a los usuarios a plantearse quién podría tener acceso a esos datos.

Los investigadores de Proofpoint han examinado la declaración de privacidad de TikTok, los permisos que requiere la aplicación en Android e iOS, la información que envía la aplicación de Android a los servidores y los controles de privacidad de la aplicación para el contenido publicado. Este análisis tiene como objetivo ayudar a evaluar mejor la forma en que TikTok maneja la privacidad. A su vez, permite tomar decisiones sobre si uno mismo, su organización u otras personas de las que se sea responsable deben usarla.

Lo qué hay que conocer sobre la seguridad de TikTok

Lo más importante es entender que aunque TikTok comparte el audio y el vídeo que publicamos y permite restringir quién puede ver ese contenido, solicita una serie de permisos en el dispositivo en el que está instalada. Lo más notable es que accede a nuestra ubicación y a la información del dispositivo. Aunque los investigadores de Proofpoint no han encontrado nada que indique actividad maliciosa o que TikTok haya violado su política de privacidad, los usuarios deben ser cautelosos, especialmente en cuanto al contenido que graban y publican.

Los permisos de TikTok incluyen información personal y control del dispositivo

El equipo de investigación de Proofpoint ha examinado los permisos que requiere TikTok en los dispositivos Android e iOS después de su instalación. Algunos de los permisos detallados a continuación son los esperados para este tipo de aplicaciones, y todo es consistente con la política de privacidad escrita por TikTok. Sin embargo, cuando comprobamos toda la información que recoge la app, podría ser motivo de preocupación. En resumen, estos permisos permiten a TikTok:

  1. Acceder a la cámara (y sacar fotos/vídeos), al micrófono (y grabar el sonido), a la conexión WiFi del dispositivo y a la lista completa de contactos del dispositivo.
  2. Determinar si Internet está disponible y acceder a la Red.
  3. Mantener el dispositivo encendido e iniciarse automáticamente cuando se reinicia el dispositivo.
  4. Obtener información detallada sobre la ubicación del usuario utilizando el GPS y otras aplicaciones que se estén ejecutando.
  5. Acceder y guardar en el almacenamiento del dispositivo, instalar/quitar accesos directos, acceder a la linterna (apagarla y encenderla) y solicitar la instalación de paquetes adicionales.

El equipo de investigación de Proofpoint ha constatado que TikTok tiene acceso completo al audio, al vídeo y a la libreta de direcciones del dispositivo, algo que no hace saltar las alarmas del usuario, dado que TikTok es una aplicación diseñada para fines audiovisuales.

Sin embargo, sí que es sorprendente la ubicación por GPS, especialmente porque los videos de TikTok no muestran información de localización de forma obvia. TikTok sí que recoge la información de localización en su política de privacidad. En ella, declara que el usuario tiene el control: «Puede desactivar la función de información de localización GPS en su dispositivo móvil si no desea compartir la información GPS».

En Android, la aplicación tiene la capacidad de acceder a otras aplicaciones que se ejecutan al mismo tiempo, lo que puede dar a la aplicación la capacidad de acceder a los datos en otra aplicación, como una aplicación bancaria. Sin embargo, el equipo de investigadores de Proofpoint no tiene ninguna evidencia de que TikTok abuse de esta capacidad.

Finalmente, también se ha examinado la información que se distribuye a través de la red desde la aplicación de TikTok para Android. Encontramos que es consistente con su política de privacidad y los permisos solicitados. Entre la información transmitida está la siguiente:

  • Datos de geolocalización, incluyendo: longitud, latitud y zona horaria
  • Información del dispositivo, incluyendo: ID de Android, IMEI (International Mobile Equipment Identity), acceso a la libreta de contactos, zona del operador del dispositivo, zona del dispositivo, versión de sistema operativo del dispositivo, idioma del dispositivo, tipo de conexión del dispositivo y código de red móvil
  • Información de la app, incluyendo: nombre de la app

Esta información se envía a los servidores de TikTok y, en base a su política de privacidad, se debe presumir que está almacenada allí.

Controles de privacidad del contenido

El modelo y los controles de privacidad de TikTok son similares y consistentes con los de otras redes sociales como Facebook. Los usuarios tienen la posibilidad de restringir la visibilidad de su contenido. Los controles son simples: los usuarios pueden elegir entre «Todos», «Amigos» y «Sólo yo».

Es importante señalar que estos son controles de visibilidad de las redes sociales y sólo controlan lo que otros usuarios pueden ver con respecto al contenido publicado. Estos no tienen relación con la información que se almacena en la infraestructura de servidores de TikTok. TikTok es como muchos servicios que emparejan dispositivos y cloud: la imagen total de la privacidad incluye los controles de privacidad para el contenido que se almacena en la nube.

Ubicación de los datos almacenados y preocupaciones de seguridad

Una de las mayores preocupaciones que rodean a TikTok es dónde se almacena la información del usuario. El sitio web de TikTok dice: «Almacenamos todos los datos de los usuarios de TikTok US en los Estados Unidos, con copia en Singapur. Nuestros centros de datos están ubicados completamente fuera de China, y ninguno de nuestros datos está sujeto a la ley china».

Su política de privacidad para la UE incluye el punto «Dónde almacenamos sus datos personales», que dice: «Los datos personales que recogemos serán transferidos a, y almacenados en, un destino fuera del Espacio Económico Europeo («EEE»)». No hay ninguna otra información específica en el sitio web de TikTok con respecto al lugar donde se almacenan los datos del usuario.

En relación con esto, TikTok acaba de publicar su primer «Informe de Transparencia» que detalla «las solicitudes legales de información de los usuarios», «las solicitudes del gobierno para la eliminación de contenidos» y «los avisos de eliminación de contenidos con derechos de autor». Cabe destacar que India, Estados Unidos y Japón fueron los tres primeros países en los que se solicitó información de los usuarios. Estados Unidos fue el país número que más solicitudes presentó, con un 86%, y el país que especificó más número de cuentas en las solicitudes, 255. China no aparece en la lista, lo que significa que TikTok no recibió ninguna solicitud de información de usuarios en China.

Conclusión

TikTok solicita varios permisos que son obvios para una red social de contenido audiovisual; sin embargo, excepto para los usuarios de Estados Unidos, no proporciona información específica sobre dónde se almacenan los datos. Cuenta controles de privacidad estándar para redes sociales que pueden utilizarse para restringir el acceso a los contenidos, pero requiere la interacción del usuario para bloquearlos de forma estricta.

En definitiva, TikTok debería ser tratada como cualquier aplicación de redes sociales: puede usarse con relativa seguridad siempre que el usuario sea consciente de la información que recoge y decida que es aceptable. Pero la clave es ser consciente de lo que recoge y de lo que hace con los datos. Aquí es donde la revisión de su política de privacidad, y de toda la información disponible en torno a la aplicación, el servicio y el almacenamiento de datos, es útil. Por último, hay que recordar que, lo que uno graba, lo verán otros.

Sobre el autor