TikTok se ha convertido en uno de los mayores éxitos de las redes sociales durante la emergencia sanitaria. Propiedad de ByteDance, la plataforma está disponible en más de 150 países y tiene más de mil millones de usuarios en todo el mundo. En el primer trimestre de este año reunió el mayor número de descargas entre todas las aplicaciones, con más de 315 millones de instalaciones a través de App Store y Google Play.
La popularidad de la red social china ha impulsado la investigación sobre la seguridad de los datos y la información. Los expertos advirtieron que TikTok está recolectando información de aquellos que descargan la aplicación y también tiene acceso a partes tan importantes del teléfono como la cámara y el micrófono. “TikTok solicita una serie de permisos en su dispositivo y, con el permiso dado, tiene acceso total a la cámara, el micrófono, la conexión wifi del dispositivo y los contactos del teléfono. Esto permite a la aplicación tomar fotos y videos, así como grabar audio y sonido. Puede mantener el dispositivo encendido e iniciar la aplicación automáticamente cuando se reinicia el teléfono, como la función de inicio de una computadora cuando se enciende”, explicó James Jin Kang, profesor de informática y seguridad en la Universidad Edith Cowan, con sede en Australia.
Pero TikTok no solo es acusado de recoger y almacenar información de sus usuarios, sino también de poner esa información a disposición del gobierno chino. Mike Pompeo, secretario de Estado de los EE. UU., advirtió recientemente que los usuarios que descargaron la aplicación están poniendo “información privada en manos del Partido Comunista Chino”, y dejó abierta la posibilidad de que la plataforma pueda ser prohibida por la administración de Trump. El movimiento internacional de hackers Anonymous también advirtió a los usuarios que la popular plataforma es parte de una operación masiva de espionaje e incluso pidió a la gente que borrara la aplicación. “Borra TikTok ahora; si conoces a alguien que lo esté usando, explícale que es esencialmente un malware operado por el gobierno chino que está llevando a cabo una operación de espionaje masiva”, publicó el grupo en Twitter.
Los expertos coinciden en que las autoridades chinas podrían estar detrás del supuesto espionaje realizado por la aplicación: “Como empresa tecnológica que opera en China, ByteDance podría ser objeto de solicitudes de acceso a datos y posteriormente colocada en una posición en la que no tenga otra opción que entregarlos”, dijo Paul Haskell-Dowland, profesor asociado y decano asociado de computación y seguridad en la Escuela de Ciencias de la Universidad Edith Cowan, en Australia. La plataforma, sin embargo, ha calificado las afirmaciones como “infundadas” y ha declarado que nunca ha proporcionado datos de los usuarios al gobierno chino. También subrayó que todos los datos de los usuarios de los Estados Unidos se almacenan en ese país con la única copia de seguridad en Singapur. A pesar de ello, la incredulidad sigue existiendo. Entonces, ¿cómo podrían los usuarios evitar ser espiados y evitar que se recopile su información? Según los especialistas, la única manera de lograrlo es borrando la aplicación. “No creo que haya una manera de usar el servicio sin que se recopile y se utilice la información de los usuarios. No es de extrañar que esto también ocurra con otras plataformas de redes sociales”, concluyó Tommy Mysk, un investigador de seguridad cibernética que recientemente estudió las violaciones de seguridad de TikTok.
4 preguntas a…
Tommy Mysk, investigador de seguridad cibernética que recientemente estudió las violaciones de seguridad de TikTok.
¿Encontraste varios fallos en la encriptación de TikTok? ¿Cuáles son?
El problema que descubrimos fue la falta de encriptación para la transmisión de videos, fotos de perfil e imágenes fijas de video. Esto es una indicación de que todo el diseño de seguridad de la plataforma es defectuoso. En resumen, TikTok utiliza HTTP para transmitir su contenido de datos básicos, los videos. Mientras que HTTP proporciona un mejor rendimiento, especialmente en los teléfonos móviles más antiguos, es un canal no encriptado y propenso a la suplantación de identidad. Esto permite a los malos actores que puedan interceptar el tráfico de la red rastrear el historial de vistas de los usuarios, censurar ciertos videos o intercambiar los videos con otros falsos. El protocolo moderno que la mayoría de las redes sociales están usando es HTTPS. Está encriptado y preserva la integridad de los datos transmitidos.
Entonces, ¿un hacker podría cambiar los videos publicados en TikTok?
Como sabes, cuando una aplicación móvil se comunica con un servidor en internet, el tráfico de la red salta entre varios enrutadores antes de llegar a su destino. Un atacante con acceso a cualquiera de estos enrutadores intermedios puede manipular el tráfico. Por ejemplo, un operador público de wifi o un proveedor de servicios de internet (ISP) puede realizar este tipo de ataque. Los gobiernos pueden utilizarlo a mayor escala. Si un video de TikTok no es deseado en un determinado país, ese puede censurar el video o incluso sustituirlo por otro. Los gobiernos pueden solicitar a los proveedores de servicios de internet que hagan eso. Una vez que el atacante detecta una solicitud de TikTok para descargar un video, el atacante no reenvía la solicitud a los servidores de TikTok. En su lugar, responde a la solicitud en sí. Debido a que el tráfico se envía usando HTTP, la aplicación TikTok no puede decir si la respuesta ha venido de un servidor TikTok o del atacante, por lo tanto la aplicación consume ciegamente la respuesta.
Cuéntanos más sobre los peligros de eso…
TikTok se ha convertido en una de las principales plataformas de redes sociales. La circulación de información engañosa en una plataforma con alrededor de 800 millones de usuarios activos mensualmente tendrá sin duda graves consecuencias. La falla que descubrimos permite que aparezcan videos falsos en cuentas de TikTok verificadas. Aunque el impacto es regional, difundirá información errónea en las regiones objetivo. Los videos falsos profundos pueden reemplazar a los videos originales para tergiversar un comentario o una observación sobre un tema sensible. Esto causará enormes daños, incluso después de que el video sea marcado como falso. En 2016, una falla en el diseño de seguridad de Facebook permitió que malos actores influyeran en las elecciones de EE. UU. Las consecuencias de tener una plataforma de red social popular con debilidades de seguridad son de esta magnitud.
Últimamente, TikTok ha sido acusado de espiar a sus usuarios. ¿Podría ser eso cierto?
TikTok, como otras plataformas sociales, recoge muchos datos sobre sus usuarios. Todos esos datos están listados en su política de privacidad. Aunque su cantidad es alarmantemente enorme, es similar a lo que otros servicios recogen. En cuanto a la política de privacidad, la razón de tal recolección masiva de datos se atribuye a la mejora del servicio y a la provisión de anuncios personalizados. Aunque está abierta a la interpretación, no hay pruebas de que los datos recogidos se utilicen para espiar a los usuarios. TikTok recoge mucha información sensible sobre sus usuarios. Con el diseño de seguridad defectuoso de TikTok, un mal actor podría encontrar la manera de obtener esta información sensible del servicio. Estos datos pueden causar graves consecuencias si se filtran. Tal vez un mal actor ya ha encontrado una manera de obtener los datos sensibles de los usuarios para espiarlos.