Desde 2020, varios gobiernos y organizaciones prohibieron, o consideraron prohibir, la inmensamente popular aplicación de redes sociales TikTok de los dispositivos de su personal.
Con todas estas alarmas sonando, pensamos que podría ser útil analizar lo que sabemos y ver si podemos trazar una estrategia sensata a partir de ahí. Entonces, si su cabello está en llamas, apáguelo y considere esto con la cabeza fría.
Si prefiere escuchar en lugar de leer, Malwarebytes cubrió este tema en un reciente LinkedIn Live.
TikTok es una plataforma de redes sociales inmensamente popular que permite a los usuarios crear, compartir y descubrir, videoclips cortos. Ha recibido un crecimiento explosivo desde que apareció por primera vez en 2017, y ahora afirma tener más de 1 mil millones de usuarios, aproximadamente 150 millones de ellos en los EE. UU.
En 2020, India fue el primer país en prohibir TikTok, junto con unas 200 aplicaciones chinas más cuyo funcionamiento quedó bloqueado dentro del país. La decisión se tomó dos semanas después de que una operación militar china en la frontera norte de la India provocara la muerte de al menos 20 soldados indios.
En el mismo año, el gigante minorista Amazon envió una nota a los empleados diciéndoles que eliminen la popular aplicación de redes sociales de sus teléfonos. Incluso antes, en diciembre de 2019, el Ejército de EE. UU. prohibió el uso de la aplicación en los teléfonos emitidos por el gobierno.
Otras agencias de EE. UU. y otros gobiernos han seguido el ejemplo desde entonces, o planean hacerlo. Durante una audiencia en el Senado de EE. UU., el general Paul Nakasone, director de la Agencia de Seguridad Nacional (NSA, por sus siglas en inglés), afirmó que”la juventud estadounidense adicta a TikTok está jugando con un arma cargada”.
Podemos desglosar los posibles problemas con TikTok en 3 categorías principales:
Los datos El algoritmo La aplicación en sí misma
Comencemos diciendo que todas las categorías anteriores están presentes en muchas otras aplicaciones de redes sociales. El factor diferenciador de TikTok es que es propiedad de una empresa china llamada Bytedance. Son estos lazos con China y el gobernante Partido Comunista Chino (PCCh) los que han creado tanta preocupación entre las naciones y sus agencias gubernamentales.
Los datos
En general, es seguro decir que todas las aplicaciones gratuitas de redes sociales ganan dinero usando y vendiendo los datos de grandes grupos de personas. con fines publicitarios. Cuanto más específicos para grupos más pequeños se puedan refinar estos datos, mayor será la preocupación por la privacidad. ¿Se puede usar TikTok para espiar a ciertos grupos de personas? ¡Definitivamente! TikTok admitió que los empleados usaron su propia aplicación para espiar a los periodistas como parte de un intento de rastrear las fuentes de los periodistas. La empresa despidió a 4 empleados por hacerlo.
Hemos visto casos similares en otras aplicaciones de redes sociales. Por ejemplo, un empleado de Twitter que fue sentenciado a más de tres años de prisión por espiar para Arabia Saudita. Con la cantidad de información fácilmente disponible, siempre habrá quienes la utilicen para sus propios fines, buenos o malos.
El algoritmo
Control de el algoritmo brinda la oportunidad de ser un factor de influencia. Por algoritmo nos referimos al código en la aplicación que intenta optimizar el tiempo que pasas en la aplicación, mostrándote videos que ha determinado que podrían interesarte. Saber qué carretes aparecen en tu feed nos dice algo sobre ti. Al menos, nos dirá qué prefiere ver. Ya sean gatitos, fails o rutinas de baile. Lo que preocupaba a Christopher Wray, el director del FBI, es la posibilidad de que el PCCh pueda tomar el control del algoritmo TikTok para realizar operaciones de influencia difíciles de detectar contra los estadounidenses. Al decidir lo que ve, el gobierno chino podría influir en su opinión sobre los asuntos.
Nuevamente, ni el algoritmo ni la utilización de la influencia son exclusivos de TikTok. Los actores estatales internacionales están aprovechando cada vez más las plataformas de redes sociales para difundir propaganda computacional y desinformación durante momentos críticos de la vida pública. El año pasado, discutimos algunas estadísticas proporcionadas por YouTube sobre su batalla contra la desinformación.
La aplicación
La mayoría de las personas instalará TikTok en sus dispositivos personales, especialmente ahora que muchas organizaciones tiene o está considerando prohibir la aplicación en los dispositivos proporcionados por la empresa. Y, hasta el momento, nadie ha encontrado nada malicioso en la aplicación. Pero como aplicación tiene acceso, aunque limitado, a la información de su dispositivo y de otros dispositivos en la misma red. Esta información podría ser utilizada con fines nefastos, pero no ha habido pruebas de ello. Otra preocupación es que este comportamiento podría cambiar con una actualización y si la próxima actualización será secretamente maliciosa. Pero esto es cierto para cualquier aplicación, ya sea que el desarrollador introduzca el código malicioso o que forme parte de un ataque a la cadena de suministro.
¿Debo preocuparme?
Los riesgos de permitir TikTok en dispositivos corporativos o híbridos depende en gran medida de su modelo de amenaza. Si bien es comprensible que los gobiernos, el ejército o los contratistas de defensa estén entre los primeros en prohibir TikTok en estos dispositivos, muchas otras organizaciones enfrentan muchas amenazas que son una preocupación mucho mayor. Por otro lado, si la aplicación, o cualquier otra aplicación, no es necesaria para fines laborales, ¿por qué la permitiría en un dispositivo corporativo? El uso de la administración de dispositivos móviles (MDM) puede ayudar mucho a mantener los riesgos y las distracciones lejos de los dispositivos corporativos.
Prohibir la aplicación de los dispositivos personales que se usan en un entorno de trabajo es un asunto completamente diferente. La satisfacción de sus empleados podría ser incluso una preocupación mayor que el posible espionaje de TikTok.
Durante una audiencia reciente en el Congreso, el director ejecutivo de TikTok, Shou Chew, dijo que estaban haciendo todo lo posible para adaptarse a los EE. UU.:
Nuestro compromiso es trasladar sus datos a los Estados Unidos, para que una empresa estadounidense los almacene en suelo estadounidense, supervisado por personal estadounidense. Por lo tanto, el riesgo sería similar al de cualquier gobierno que vaya a una empresa estadounidense y solicite datos.
Creo que podemos estar de acuerdo con la última oración. Hasta que se proporcionen pruebas de que TikTok es peor que otras aplicaciones de redes sociales, no hay una razón convincente para tratarlo de manera diferente. Pero todas las aplicaciones de redes sociales deben considerarse con reservas cuando se trata de privacidad.
Pieter Arntz es investigador de amenazas y escritor en Malwarebytes.