TikTok intenta convencer a los políticos estadounidenses de que los datos de los usuarios están a salvo, pero sigue almacenando parte de ellos fuera de EEUU

Cuando Shou Zi Chew, consejero delegado de TikTok, compareció el jueves ante el Congreso de Estados Unidos para explicar cómo su empresa protegía del gobierno chino los datos de sus 150 millones de usuarios estadounidenses, reconoció una de las carencias de la estrategia de protección de datos de TikTok.

"Tenemos datos heredados de EEUU en nuestros servidores de Virginia y Singapur", dijo Chew a los miembros del Congreso. "Los estamos borrando y esperamos completarlo este año. Cuando eso esté hecho, todos los datos estadounidenses protegidos estarán bajo la protección de la legislación estadounidense y bajo el control del equipo de seguridad de datos de Estados Unidos".

Mientras el Congreso prepara el terreno para prohibir o forzar la venta de TikTok, la empresa ha utilizado con frecuencia su programa de bloqueo de datos Proyecto Texas como respuesta a los problemas de seguridad nacional. Mediante este programa, TikTok dice que enviará los datos de los usuarios estadounidenses a servidores de Oracle y asignará la supervisión de esos datos a una división estadounidense independiente llamada US Data Security, o USDS.

Pero después de 2 años y 1.500 millones de dólares gastados hasta la fecha, el Proyecto Texas está lejos de completarse. A pesar de la migración a los servidores de Oracle en junio y de la declaración de que todos los nuevos datos de usuarios estadounidenses a partir de octubre se almacenan en EEUU, montones de datos protegidos de usuarios estadounidenses anteriores a esa fecha permanecen fuera de sus cortafuegos del Proyecto Texas, en servidores que, según la empresa, USDS no controla en exclusiva.

El reconocimiento de Chew de que no todos los datos estadounidenses están protegidos por el USDS debilitó sus argumentos ante el Congreso. Y con el destino de TikTok en EEUU en gran medida en manos de funcionarios estadounidenses y chinos, el tiempo que tarda en completar tareas técnicas como la eliminación de datos de usuarios estadounidenses de servidores que no son de Oracle puede ser una de las pocas áreas que sí controla.

Pero los expertos explican a Business Insider que tareas aparentemente sencillas como la eliminación de datos pueden ser inmensamente complicadas. La eliminación aleatoria de datos de sus servidores heredados podría interrumpir el rendimiento de TikTok para millones de usuarios. La empresa también debe cumplir con las leyes estatales que dictan cómo se almacenan los datos y se hacen copias de seguridad para los usuarios.

"La gente suele pensar que borrar datos es moverlos a la papelera de reciclaje o a la papelera del escritorio", explica Cobun Zweifel-Keegan, directora gerente de DC de la Asociación Internacional de Profesionales de la Privacidad, un grupo del sector. "Hay tipos de borrado mucho más sólidos y ahí es donde entran en juego los requisitos estándar del sector en términos de seguridad de los datos".

Entre esos estándares de la industria están las leyes estatales en torno a la retención de datos y los requisitos para salvaguardar los datos de los usuarios para que no se pierdan accidentalmente, apunta Zweifel-Keegan. 

Y antes de que TikTok pudiera siquiera empezar a eliminar datos de sus servidores heredados, una tarea que su CEO dijo que comenzó este mes, la empresa tendría que asegurarse de que entendía exactamente lo que estaba eliminando, explica Kayla Williams, directora de seguridad de la información en la empresa de análisis de seguridad Devo.

"Es supercomplicado entender las implicaciones ascendentes y descendentes cuando se habla de migración de datos y, por supuesto, de eliminación de datos", explica Williams a Business Insider. "Tienes que entender dónde están tus datos. Suena muy simple, sin embargo, es algo con lo que la industria de la seguridad de la información en su conjunto ha luchado durante mucho tiempo".

Los problemas de gestión de datos de TikTok podrían extenderse a sus pares

A medida que TikTok avanza hacia la protección total de los datos de sus usuarios estadounidenses en USDS, el director de ciberdefensa de datos de la división declaró a los asistentes al South by Southwest a principios de este mes que su objetivo es aumentar el número de empleados de USDS de 1.200 a más de 2.500 para finales de año. La empresa también anunció el 8 de marzo los detalles de una versión europea del Proyecto Texas, al que denomina Proyecto Clover.

Estos esfuerzos son costosos. La inversión de TikTok en proyectos de soberanía de datos en todo el mundo es una de las razones por las que la empresa no es rentable, según declaró Chew al Wall Street Journal este mes.

Pero es posible que a TikTok y a otras empresas similares no les quede más remedio que invertir en sistemas locales de almacenamiento de datos, ya que los gobiernos de todo el mundo exigen garantías de que los datos de sus ciudadanos están a salvo de agentes extranjeros. 

El año pasado, Meta y Google se libraron por los pelos de la nueva normativa sobre almacenamiento local en la India, que podría haber obstaculizado sus operaciones. Y otras empresas chinas que han crecido rápidamente en Estados Unidos, como Shein y Temu, podrían verse obligadas a implantar pronto soluciones similares de gestión de datos.

Anthony Cammarano, vicepresidente global de seguridad y privacidad de la empresa de seguridad de datos Protegrity, explica a Business Insider que "esta idea de que se puede aplicar la protección individualmente dentro de un área localizada y hacerlo en cualquier lugar que sea necesario, es la forma en que tenemos que empezar a pensar en esto". "No es algo aislado. No va a ocurrir solo en Estados Unidos. No va a ocurrir solo entre TikTok y Estados Unidos. Esto se va a ampliar".