“Sabíamos que nos espiaba, pero no hasta este punto”. Un experto explica cómo nos espía TikTok

Ya lo advertíamos unos días atrás, cuando hablamos sobre un software oculto en TikTok descubierto por el experto en ciberseguridad Felix Krause. Y, aunque no es la primera vez que se detecta un problema vinculado a la seguridad y la privacidad en esta red social, los expertos se siguen sorprendiendo. Y uno de ellos es Pablo Duchement, perito judicial informático y experto en identificar y alertar sobre este tipo de programas ocultos en las redes sociales. Un perito informático es un auxiliar de la justicia que lleva a cabo un análisis forense sobre evidencias informáticas vinculadas a un caso judicial. Para ello debe estar titulado en una materia vinculada al objeto de su estudio, como ingeniería informática, de lo contrario su informe se puede impugnar. Una persona sin la titulación de medicina, no debería testificar sobre la salud física de una persona en un juicio. Lo mismo ocurre con las pruebas vinculadas al mundo digital: se precisa un experto. Y Duchement cumple con estos requisitos y es quien nos explica cómo nos espía TikTok.

“La mayoría de las plataformas y redes sociales inyectan código en las páginas WEB consultadas, cuando son abiertas desde su navegador privado – nos explica inicialmente Duchement –. En muchos de los casos, este agregado conlleva funciones de seguimiento para averiguar qué dominios visitamos y cuánto tiempo estamos en ellos. Esto, siendo una práctica claramente cuestionable y un atentado contra nuestra privacidad, es lamentablemente habitual”.

Pregunta: ¿Qué es lo que hace diferente a TikTok entonces? Si todas las redes lo hacen...

Respuesta: “TikTok ha cruzado una barrera insalvable implementando funciones propias de spyware al incluir entre sus inyecciones tareas de keylogger, un software capaz de almacenar y enviar a un tercero cada tecla presionada en el teclado. De este modo se aseguran una forma de husmear todo lo que escribamos, incluidos campos enmascarados de contraseña y de códigos de acceso. Eso, junto con los datos de qué imágenes y botones de pantalla presionamos, es una información que los receptores pueden utilizar, no solo para espiarnos de manera pasiva (leyendo lo que escribimos), sino consiguiendo acceso privado a perfiles personales o incluso a cuentas bancarias.

P: No es la primera vez que TikTok se enfrenta a una situación parecida, no?

R: No. Esta no es la primera licencia cuestionable que se toma la app a la hora de incluir funciones capaces de vulnerar nuestra privacidad. Desde la descarga de contenido antes de su publicación (o incluso de su edición), hasta la capacidad de capturar por cámara y micrófono a placer, pasando por los permisos para modificar la configuración del teléfono si les apetece, la aplicación de ByteDance nunca ha destacado por ser la menos invasiva de las del mercado. Pero, esta vez, es diferente. Hasta ahora, estos atrevimientos podían excusarse (a duras penas) en la realización de las funciones propias de la plataforma. Sin embargo, usurpar todo lo escrito por los usuarios en toda página visitada, difícilmente se puede justificar en un algoritmo cuyo uso principal es la de compartir vídeos.

P: Teniendo en cuenta que es una app gratuita y se descarga desde dos gigantes, como la tienda de Apple y de Google, ¿no vigilan estas empresas el contenido de las apps?

R: Antes de distribuir o comercializar una aplicación, Apple y Google exigen el cumplimiento de ciertos mínimos de seguridad en los desarrolladores, puesto que no quieren acabar despachando malware. No hay ni una sola app con funciones conocidas y confirmadas de keylogger disponible en la AppStore de IOS o en la Play Store de Android… pero aquí seguimos esperando que se retire TikTok de sus listas ahora que todo esto se ha confirmado. Tras el escándalo (y no antes), TikTok ha reconocido que la app dispone de estas funciones espía capaces de poner en su conocimiento todo cuanto escribimos y presionamos: un botín de valor incalculable e increíblemente apetecible para cualquier empresa cuya principal fuente de ingresos consista en conocer mucho a sus usuarios para mostrarles la publicidad más segmentada y personalizada posible. A pesar de ello, sus representantes han tenido la desfachatez de basar su defensa en la promesa de no usarlas. Tenemos al zorro cuidando de las gallinas. Y, cuando lo hemos descubierto afilándose las garras, se ha excusado mediante un firme juramento de no ensartar a ninguna... a la vez que nos ha pedido que nos demos la vuelta y sigamos confiando en su honesta vigilancia.

P: ¿Somos conscientes de las consecuencias de esto o pasará como un error involuntario?

R: El problema fundamental de que la app incluya este tipo de funciones, ni siquiera es tanto el uso que se les haya dado… como por el mero hecho de que hayan sido programadas. Si TikTok desea apelar a nuestra fe en su integridad, para minimizar el rechazo que nos genera este tipo de prácticas deshonestas, debe entender que el mero hecho de haber preparado una app capaz de ejecutarlas ya es una ruptura por su parte de nuestra confianza. Sabíamos que nos espiaba, pero no hasta este punto.