TikTok recopiló durante al menos 15 meses identificadores únicos de millones de dispositivos móviles, eludiendo una protección de privacidad del sistema operativo Android de Google. Esos datos permiten que la aplicación rastree a los usuarios sin que éstos sepan de esta situación ni pudan optar por que eso no ocurra, según una investigación del Wall Street Journal (WSJ).
La aplicación habría logrado ocultar esta táctica mediante una inusual capa adicional de cifrado. De este modo habrían infringido en las políticas de privacidad de Google que limita la forma en que las aplicaciones pueden rastrear datos de los usuarios.
Los identificadores recopilados por TikTok, llamados direcciones MAC, se utilizan con mayor frecuencia con fines publicitarios. La dirección MAC es un identificador de 48 bits que corresponde de forma única a una tarjeta o dispositivo de red. Es como si fuera el “DNI” del dispositivo.
Tik Tok no es la primera ni la única plataforma que es señalada por recopilar esta información. Se estima que cerca del 1% de las aplicaciones de Android recopilan direcciones MAC, según un estudio de 2018 de AppCensus. La Comisión Federal de Comercio ha dicho que las direcciones MAC se consideran información de identificación personal según la Ley de Protección de la Privacidad Infantil en Línea.
Apple bloqueó las direcciones MAC de iPhone en 2013, evitando que aplicaciones de terceros accedieran a este identificador. Lo mismo hizo Google en Android, en 2015. Sin embargo, TikTok logró pasar por alto esa restricción en Android mediante el uso de una vía alternativa, que permite que las aplicaciones obtengan direcciones MAC.
En un comunicado enviado al WSJ, un vocero de Tik Tok dijo que la compañía está “comprometida con la protección de la privacidad y seguridad de la comunidad de TikTok. Al igual que nuestros pares, actualizamos constantemente nuestra aplicación para estar al día con los desafíos de seguridad en evolución “. Y subrayó que “la versión actual de TikTok no recopila direcciones MAC”. Esto último coincide con la investigación del WSJ que indica que la práctica finalizó en noviembre.
TikTok recopiló direcciones MAC durante al menos 15 meses, y terminó con una actualización publicada el 18 de noviembre del año pasado, que conicide con el comienzo de un escrutinio intensivo por parte del Gobierno de Estados Uniodos a Byte Dance, la compañía china que es dueña de la aplicación
TikTok incluía la dirección MAC con otros datos del dispositivo y las enviaba a ByteDance cuando la aplicación se instalaba y abría por primera vez en un nuevo dispositivo. Ese paquete también incluía la identificación de publicidad del dispositivo, un número de 32 dígitos que les permite a los anunciantes rastrear el comportamiento del consumidor en tanto que le brinda al usuario cierto control sobre su información.
El almacenamiento de la dirección MAC permitiría a ByteDance conectar el ID de publicidad antiguo al nuevo, una táctica conocida como “puente de ID”, que está prohibida en la Play Store de Google. Cabe señalar que las políticas de Play Store de Google advierten a los desarrolladores que “el identificador de publicidad no debe estar conectado a información de identificación personal ni asociado con ningún identificador de dispositivo persistente”, incluida la dirección MAC, “sin el consentimiento explícito del usuario”.
Estos hallazgos llegan en un momento crítico: la Casa Blanca ha manifestado preocupación por la forma en que Tik Tok recopila información de los usuarios, ya que estos datos podrían ser obtenidos por el gobierno y podrían ser utilizados para espionaje. Donald Trump firmó el 6 de agosto un decreto que prohíbe toda transacción en Estados Unidos con las empresas dueñas de TikTok y WeChat. Este mandato entrará en vigencia a partir del 15 de septiembre. El lunes pasado también aceptó que una empresa estadounidense compre las operaciones de la compañía con anterioridad a esa fecha.
Y de hecho, el 2 de agosto Microsoft anunció que estaba en tratativas para adquirir las operaciones de Tik Tok en Estados Unidos, Canadá, Nueva Zelanda y Australia. En estos días también surgió el rumor de que Twitter estaría negociando para quedarse con la red social, pero no hubo confirmación oficial al respecto.
Tik Tok ha manifestado en varias oportunidades que no comparte datos con el gobierno chino y ha explicado que la información de los usaurios estadounidenses están almacenados en Estados Unidos y hay un back up en Singapur, pero no en China. “Nuestros centros de datos están ubicados completamente fuera de China y ninguno de nuestros datos está sujeto a la ley china”, expicaron en un comunicado emitido el año pasado.
Además de la dirección MAC, la investigación mostró que TikTok no estaba recopilando una cantidad inusual de información para una aplicación móvil, y esos datos recopilados están mencionados en su política de privacidad y en ventanas emergentes que solicitan el consentimiento del usuario durante la instalación.
Comentarios