TikTok contiene código que puede usarse para rastrear contraseñas y tarjetas de crédito: un investigador pide a Apple que tome medidas

La aplicación de TikTok incluye código que podría permitirle monitorizar todo lo que los usuarios escriben mientras usan la aplicación, incluso cuando son redirigidos a sitios web de terceros y teclean datos sensibles como contraseñas y números de tarjetas de crédito.

Así lo ha denunciado el experto en ciberseguridad Felix Krause, que ha reclamado a través de una publicación de su blog que compañías como Apple tomen medidas para evitar el problema a través de sus mecanismos de revisión de aplicaciones.

Krause ha explicado que descubrió la capacidad de TikTok para monitorizar los datos de los usuarios a través de su función de navegación dentro de la aplicación. 

El investigador encontró código que evidenciaba que TikTok tiene la capacidad de monitorizar cualquier pulsación que haga un usuario, incluso cuando ese usuario hace clic en un enlace que le redirige a cualquier otro sitio web externo.

"Es el equivalente a un keylogger, que es un software que monitoriza tus pulsaciones. Eso incluye contraseñas y tarjetas de crédito: cualquier información sensible podría ser obtenida", como comenta Krause a Business Insider.  

Aunque TikTok cuenta con este sistema, Krause advierte de que no necesariamente demuestra que su desarrolladora esté utilizando o recopilando estos datos.

TikTok niega recopilar datos sensibles de los usuarios

TikTok niega tajantemente la recopilación de datos. Durante una entrevista en la cadena CNN en julio, el ejecutivo de políticas de TikTok en América, Michael Beckerman, aseguró que la red social "no registra lo que se escribe. Es una medida anti-spam y anti-fraude que comprueba el ritmo de escritura de las personas para asegurarse de que no es un bot o alguna otra actividad maliciosa". 

Krause replica que el poder de recopilar los datos sigue siendo un peligro. "Supongamos que las afirmaciones de TikTok son correctas y que no están recogiendo los datos", argumenta. 

Quién es ByteDance (TikTok): la startup china que conquista audiencias de todo el mundo y quiere agitar un mercado dominado por Occidente

"Ellos afirman que no lo están haciendo ahora, pero esto podría cambiar potencialmente en el futuro. No digo que vaya a suceder, pero es una opción, y eso es un problema por sí mismo", añade.  

En declaraciones a Business Insider, un portavoz de TikTok parece confirmar la existencia del código, pero rebate la investigación de Krause.

"Las conclusiones del informe sobre TikTok son incorrectas y engañosas. El investigador dice específicamente que el código JavaScript no significa que nuestra aplicación esté haciendo algo malicioso y admite que no tiene forma de saber qué tipo de datos recoge nuestro navegador interno de la app", como defiende el portavoz de la red social. 

"Al contrario de lo que afirma el informe, no recopilamos pulsaciones de teclas o entradas de texto a través de este código, que se utiliza únicamente para la depuración, la solución de problemas y la supervisión del rendimiento", añade. 

TikTok, que es propiedad de la empresa china ByteDance, ha sido objeto de críticas por problemas de privacidad en el pasado. El mes pasado, TikTok confirmó que los empleados con sede en China podían acceder a los datos de los usuarios estadounidenses mediante un proceso de aprobación, como ha informado Business Insider. 

Krause denuncia que Apple tiene parte de culpa en la situación

Krause cree que parte de este problema recae en Apple, que no exige que las aplicaciones utilicen su navegador Safari para ver sitios web externos, aunque lo recomienda. El experto considera que las preocupaciones de seguridad se aliviarían si TikTok utilizara Safari en lugar de su propio navegador dentro de la aplicación. 

"Existen soluciones que permitirán a TikTok renderizar sitios web dentro de su app y al mismo tiempo mantener a los usuarios seguros y mantener su privacidad intacta", asegura.

TikTok no es la única aplicación que utiliza la navegación dentro de la aplicación, y la semana pasada, Krause descubrió  código que mostraba que Facebook e Instagram pueden monitorizar los movimientos de los usuarios a través de su navegación dentro de la aplicación. Sin embargo, Krause dijo que Meta no va tan lejos como supone monitorizar las pulsaciones de los usuarios. 

"El mensaje principal aquí debería ser que esas prácticas de los navegadores dentro de las apps no deberían estar permitidas... Apple debería ser mucho más estricta en su proceso de revisión de aplicaciones, debería definir nuevas normas al respecto. Y debería prohibir cualquier uso de los navegadores dentro de la aplicación para el contenido web de terceros", apostilla Krause.