👉 HAZTE MALDITO. HAZTE MALDITA. Únete y apóyanos en nuestra batalla contra la mentira. Hazte [email protected]
Maldita Tecnología
17/07/2020

Qué sabemos del análisis sobre los datos personales que recoge TikTok que se está viralizando

Nos habéis preguntado a lo largo de las últimas semanas por una investigación sobre los datos que recoge TikTok de nuestro móvil que ha publicado un usuario en Reddit y que se ha viralizado en diferentes mensajes a través de Twitter. Siempre de la misma manera: a través de pantallazos donde se listan los datos concretos que registra la aplicación al descargarla.

El usuario en cuestión dice ser un ingeniero que ha realizado un proceso de ingeniería inversa a la aplicación para móviles de origen chino TikTok y asegura que recoge una serie de datos de nuestros teléfonos. Entre ellos: todos los datos de tu dispositivo, como la marca, la memoria que se usa o los números de identificación del móvil; el resto de aplicaciones que tenemos instaladas; todos los accesos a la red que usas o actualizaciones de nuestra ubicación GPS. El post original es de hace tres meses y el 2 de julio lo actualizó para explicar que iba a analizar las actualizaciones de la app.

Técnica de ingeniería inversa: analizar el código disponible de la aplicación

Desde Maldita.es no podemos verificar de manera independiente los resultados de ese análisis, pero sí podemos explicaros en qué consiste y por qué podrían darse por válidas las explicaciones de ese ingeniero si el proceso se ha hecho correctamente (en el caso de la app para Android, ya que el sistema operativo de los iPhone funciona de diferente manera).

La ingeniería inversa consiste en descomponer la APK (Android Application Package) de una app, que es una especie de paquete donde se guardan los datos que permiten ejecutarlas, para extraer fragmentos del código informático que la forma. La idea es interpretar lo que diga ese código para hacerse una idea de cómo funciona la aplicación.

Ese código, en realidad, no es nada fácil de entender por un proceso que incorporan algunas aplicaciones llamado "ofuscación". Consiste en que cuando se va a analizar su código de esta manera, se cambie el nombre de algunas variables que lo componen. Por ejemplo: lo que antes se plasmaba en el código como una acción de "iniciar sesión y devolver nombre de usuario", se convierte en "función A", sin más descripción. O lo que aparecía en el código como "nombre y contraseña" se convierte en "variable 1" y "variable 2".

Durante este proceso, se puede ver si la información que recoge la aplicación se está enviando a un servidor. Si este ingeniero ha destripado TikTok, lo que concluye es sobre lo que la app procesa en nuestro propio teléfono, no lo que procesa en un servidor. Otros estudios sí señalan que hay varias direcciones IP ligadas a China, sobre todo de las empresas de terceros que trabajan con la app.

Este usuario actualizó el post de Reddit donde colgó el análisis de TikTok el 2 de julio, para explicar que se había viralizado a nivel internacional y que podía haber actualizaciones en la app que ahora no se correspondiesen con el análisis. Por esa razón, había avisado a compañeros del campo de la ingeniería informática para seguir analizando la aplicación.

Actualización del post que hizo este usuario sobre la actualización de la aplicación desde que publicó por primera vez el post.

Qué dice TikTok que recoge en su Política de Privacidad

La Política de Privacidad es bastante extensa y en ella la propia compañía enumera una gran cantidad de datos que recoge desde la aplicación. Empieza por lo básico, que es nuestro nombre, fecha de nacimiento, dirección de correo o número de teléfono e información de nuestro perfil.

A partir de lo que contamos en nuestra cuenta y cómo interactuamos con los demás, infieren cuáles son nuestros intereses, nuestro sexo y qué edad tenemos. Dicen que para personalizar el cotenido y mejorar la publicidad.

Sobre cómo interactuamos con la plataforma recogen absolutamente todo en lo que puedas pensar: cuánto la usamos, qué anuncios vemos, qué vídeos reproducimos y cuáles no, si los vemos enteros, el contenido que guardamos, con quién interactuamos, qué buscamos, etc.

Otra de las cosas que guardan son nuestros mensajes directos con otros usuarios (los que no son públicos para toda la plataforma). Los escanean y guardan quién los manda, quién los recibe, si se han leído y cuándo.

Si realizamos encuestas, nuestras respuestas pueden compartirse con otras organizaciones no vinculadas a TikTok y pueden agrupase en paquetes de datos agregados que no se especifica para qué pueden ser usados.

Si iniciamos sesión con Facebook o Google, intercambian información con la red social y la tecnológica, especialmente con finalidades de publicidad. Aquí te contamos cuáles son los más y los menos de iniciar sesión de esta manera.

Por supuesto, guardan la ubicación de nuestro móvil, pero no es lo único que obtienen de nuestro dispositivo. Aunque no tengamos cuenta, también registran la dirección IP, nuestro proveedor de telefonía, cuál es nuestra zona horaria, en qué idioma lo tenemos configurado, qué modelo es, si usa Android, iOS (Apple) u otro sistema, si nos conectamos por datos o por WiFi, qué resolución de pantalla tenemos... Si usamos varios dispositivos, usará la información que tiene de nuestro perfil para guardar la actividad de todos ellos. Esto, siempre según su Política de Privacidad, actualizada a julio de 2020.

Otros analistas señalan que TikTok recoge una cantidad de información abusiva, al igual que otras apps

En las últimas semanas, uno de las cosas que se le recrimina a TikTok también (y que está incluido en uno de los tuits virales citados arriba) es que copia lo que tengamos en el portapapeles de nuestro móvil (cuando copiamos algún texto desde una aplicación o mensaje).

Esto se descubrió en una nueva versión de prueba del sistema operativo iOS, de Apple, y no pasaba solo con TikTok, sino con muchas otras aplicaciones comunes como Google Chrome o de periódicos digitales.

Algunos analistas que respondieron a la investigación del ingeniero que aplicó ingeniería inversa a TikTok aseguran que esa recogida de información es similar a la que hacen otras aplicaciones.

Muchas aprovechan para obtener información personal del usuario a costa de no especificarlo bien en su Política de Privacidad o aprovechar que no van a leerse, como te explicamos aquí y aquí.

A día de hoy, donde más problemas está enfrentando TikTok es en Estados Unidos, por el confrontamiento comercial que mantiene este país con China (y donde se ha prohíbido su uso para personal militar, por ejemplo), y también en países como Australia e India, que han anunciado su intención de prohibir la app.

Primera fecha de publicación: 17/07/2020.

Otros artículos de Maldita.es