TikTok rastreó los datos de los usuarios saltándose las políticas de privacidad de Google

En un momento extremadamente delicado para TikTok, con su posible prohibición en Estados Unidos, cualquier mínima sospecha sobre su privacidad puede ser un gran problema.

Según ha revelado en una exclusiva The Wall Street Journal, la app de ByteDance eludió una protección de la privacidad en el sistema operativo Android de Google para recopilar identificadores únicos de millones de dispositivos móviles (direcciones MAC), datos que permiten a la aplicación rastrear a los usuarios sin permitirles que se den de baja.

La táctica, que según los expertos en seguridad fue ocultada mediante una inusual capa añadida de cifrado, parece haber violado las políticas de Google que limitan la forma en que las aplicaciones rastrean a las personas y no fue revelada a los usuarios de TikTok.

Leer más: Twitter entra en la puja por el negocio de TikTok en Estados Unidos

TikTok recolectó direcciones MAC durante al menos 15 meses y terminó la práctica en noviembre, según las pruebas de The Wall Street Journal.

Los hallazgos llegan en un momento en que la empresa matriz de TikTok, ByteDance, con sede en Pekín, está bajo presión de la Casa Blanca por la preocupación de que los datos recogidos por la aplicación puedan ser utilizados para ayudar al gobierno chino a rastrear al gobierno de Estados Unidos, espiarlo y chantajearlo, algo que TikTok ha negado.

En un comunicado, un portavoz dijo que la compañía está comprometida con la protección de la privacidad y la seguridad de la comunidad TikTok, además de negar que recoja dichas direcciones MAC.

Google bloqueó las direcciones MAC en Android en 2015

La mayoría de las principales aplicaciones móviles recogen una serie de datos sobre los usuarios, apoyándose en que así pueden ofrecer experiencias y publicidad personalizadas. 

Pero en esta ocasión, se trata de una dirección de 12 dígitos de "control de acceso a los medios" o MAC, que es un número único que se encuentra en toda la electrónica preparada para Internet, incluyendo los dispositivos móviles.

La dirección MAC es útil para las aplicaciones publicitarias porque no se puede reiniciar ni modificar, lo que permite a los fabricantes de aplicaciones y a las empresas de análisis de terceros crear perfiles de comportamiento del consumidor que persisten a través de cualquier medida de privacidad. La Comisión Federal de Comercio ha dicho que las direcciones MAC se consideran información personal identificable según la Ley de Protección de la Privacidad Infantil en Internet.

Apple, por su parte, bloqueó en 2013 las direcciones MAC del iPhone. Google hizo lo mismo en 2015 en Android, pero eso no ha parado a TikTok para saltarse la restricción.

Las políticas de Google Play Store advierten a los desarrolladores que el "identificador de publicidad no debe estar conectado a información de identificación personal ni asociado a ningún identificador de dispositivo persistente", incluida la dirección MAC, "sin el consentimiento explícito del usuario". Si ByteDance almacena la dirección MAC, desinstalar la app y reinstalarla no evitaría ser identificado. 

The Wall Street Journal examinó 9 versiones de TikTok en la Play Store entre abril de 2018 y enero de 2020, y analizó lo que TikTok recoge cuando está recién instalado en el dispositivo de un usuario, antes de que este cree una cuenta y acepte los términos y condiciones. Aparte de la dirección MAC, este medio descubrió que no se estaba recolectando más información de la habitual.

Para ocultar esta práctica, ByteDance cubre la información que transmite en una capa extra de cifrado personalizado. Como ocurre prácticamente con todas las aplicaciones, el tráfico de TikTok por Internet está protegido por los protocolos de cifrado estándar de la web, lo que hace improbable que un espía pueda robar información en tránsito. 

Esa capa añadida de encriptación hace más difícil para los investigadores determinar si TikTok está cumpliendo su política de privacidad y varias leyes. Además, es común que las aplicaciones móviles oculten partes de su software para evitar que sean copiadas por la competencia.