Análisis de seguridad y privacidad en TikTok: qué datos recoge y almacena la app

16 enero, 2020
8 Compartido 1,915 Visualizaciones

TikTok, la popular red social para compartir vídeos sigue generando titulares debido a sus problemas de seguridad, que parecen no disminuir.

El Ejército y la Marina de los Estados Unidos han prohibido hace unos días su uso en los teléfonos oficiales tras una advertencia del Departamento de Defensa sobre el posible riesgo con la información personal. Y TikTok ha confirmado recientemente que ha parcheado múltiples vulnerabilidades que podían exponer las cuentas, la información de los usuarios y los vídeos.

«TikTok es una de las aplicaciones de redes sociales más populares entre los adolescentes, con cientos de millones de usuarios activos en todo el mundo. Sin embargo, como con todas las aplicaciones, es importante estar al tanto de la información que recoge, ya que podría causar problemas de privacidad”, comenta Sherrod DeGrippodirector senior de Investigación y Detección de Amenazas en Proofpoint. “TikTok requiere una gran cantidad de datos y permisos de usuario, incluyendo el rastreo por GPS. Y, como revelan los datos a los que accede, recomendamos a los usuarios tomar precauciones: asegurarse de limitar proactivamente quién puede ver e interactuar con el contenido, restringir la información GPS compartida y revisar la política de privacidad», concluye DeGrippo.

Para ayudar a los usuarios a comprender el verdadero impacto de TikTok en la privacidad de sus datos, el equipo de investigación de Proofpoint ha examinado la aplicación y su comportamiento. A continuación, se detallan los datos que TikTok recopila, envía y almacena.

¿Qué es TikTok?

TikTok permite a los usuarios crear videos cortos de quince segundos en sus teléfonos y publicar el contenido en una plataforma pública. Los vídeos se retocan con música y elementos visuales, como filtros y pegatinas, y también permite crear vídeos con otros usuarios a través de una función «dúo» de pantalla dividida.

La juventud del público objetivo de TikTok y la naturaleza del contenido que la gente crea y comparte en la plataforma han puesto la privacidad de la aplicación en el foco de atención en los últimos meses. Además, las preguntas sobre dónde se almacenan los datos de TikTok han llevado a los usuarios a plantearse quién podría tener acceso a esos datos.

Los investigadores de Proofpoint han examinado la declaración de privacidad de TikTok, los permisos que requiere la aplicación en Android e iOS, la información que envía la aplicación de Android a los servidores y los controles de privacidad de la aplicación para el contenido publicado. Este análisis tiene como objetivo ayudar a evaluar mejor la forma en que TikTok maneja la privacidad. A su vez, permite tomar decisiones sobre si uno mismo, su organización u otras personas de las que se sea responsable deben usarla.

Lo qué hay que conocer sobre la seguridad de TikTok

Lo más importante es entender que aunque TikTok comparte el audio y el vídeo que publicamos y permite restringir quién puede ver ese contenido, solicita una serie de permisos en el dispositivo en el que está instalada. Lo más notable es que accede a nuestra ubicación y a la información del dispositivo. Aunque los investigadores de Proofpoint no han encontrado nada que indique actividad maliciosa o que TikTok haya violado su política de privacidad, los usuarios deben ser cautelosos, especialmente en cuanto al contenido que graban y publican.

Los permisos de TikTok incluyen información personal y control del dispositivo

El equipo de investigación de Proofpoint ha examinado los permisos que requiere TikTok en los dispositivos Android e iOS después de su instalación. Algunos de los permisos detallados a continuación son los esperados para este tipo de aplicaciones, y todo es consistente con la política de privacidad escrita por TikTok. Sin embargo, cuando comprobamos toda la información que recoge la app, podría ser motivo de preocupación. En resumen, estos permisos permiten a TikTok:

  1. Acceder a la cámara (y sacar fotos/vídeos), al micrófono (y grabar el sonido), a la conexión WiFi del dispositivo y a la lista completa de contactos del dispositivo.
  2. Determinar si Internet está disponible y acceder a la Red.
  3. Mantener el dispositivo encendido e iniciarse automáticamente cuando se reinicia el dispositivo.
  4. Obtener información detallada sobre la ubicación del usuario utilizando el GPS y otras aplicaciones que se estén ejecutando.
  5. Acceder y guardar en el almacenamiento del dispositivo, instalar/quitar accesos directos, acceder a la linterna (apagarla y encenderla) y solicitar la instalación de paquetes adicionales.

El equipo de investigación de Proofpoint ha constatado que TikTok tiene acceso completo al audio, al vídeo y a la libreta de direcciones del dispositivo, algo que no hace saltar las alarmas del usuario, dado que TikTok es una aplicación diseñada para fines audiovisuales.

Sin embargo, sí que es sorprendente la ubicación por GPS, especialmente porque los videos de TikTok no muestran información de localización de forma obvia. TikTok sí que recoge la información de localización en su política de privacidad. En ella, declara que el usuario tiene el control: «Puede desactivar la función de información de localización GPS en su dispositivo móvil si no desea compartir la información GPS«.

En Android, la aplicación tiene la capacidad de acceder a otras aplicaciones que se ejecutan al mismo tiempo, lo que puede dar a la aplicación la capacidad de acceder a los datos en otra aplicación, como una aplicación bancaria. Sin embargo, el equipo de investigadores de Proofpoint no tiene ninguna evidencia de que TikTok abuse de esta capacidad.

Finalmente, también se ha examinado la información que se distribuye a través de la red desde la aplicación de TikTok para Android. Encontramos que es consistente con su política de privacidad y los permisos solicitados. Entre la información transmitida está la siguiente:

    • Datos de geolocalización, incluyendo: longitud, latitud y zona horaria
    • Información del dispositivo, incluyendo: ID de Android, IMEI (International Mobile Equipment Identity), acceso a la libreta de contactos, zona del operador del dispositivo, zona del dispositivo, versión de sistema operativo del dispositivo, idioma del dispositivo, tipo de conexión del dispositivo y código de red móvil
    • Información de la app, incluyendo: nombre de la app

Esta información se envía a los servidores de TikTok y, en base a su política de privacidad, se debe presumir que está almacenada allí.

Controles de privacidad del contenido

El modelo y los controles de privacidad de TikTok son similares y consistentes con los de otras redes sociales como Facebook. Los usuarios tienen la posibilidad de restringir la visibilidad de su contenido. Los controles son simples: los usuarios pueden elegir entre «Todos», «Amigos» y «Sólo yo».

Es importante señalar que estos son controles de visibilidad de las redes sociales y sólo controlan lo que otros usuarios pueden ver con respecto al contenido publicado. Estos no tienen relación con la información que se almacena en la infraestructura de servidores de TikTok. TikTok es como muchos servicios que emparejan dispositivos y cloud: la imagen total de la privacidad incluye los controles de privacidad para el contenido que se almacena en la nube.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Ingecom distribuirá Attack Simulator, una plataforma de concienciación y formación en ciberseguridad
Actualidad
12 compartido1,832 visualizaciones
Actualidad
12 compartido1,832 visualizaciones

Ingecom distribuirá Attack Simulator, una plataforma de concienciación y formación en ciberseguridad

Alicia Burrueco - 27 septiembre, 2019

El objetivo es que los usuarios tomen conciencia de los riesgos cibernéticos y aprendan a defenderse de las técnicas de…

Solo el 20% de las Fintech compiten con la banca tradicional
Actualidad
12 compartido1,410 visualizaciones
Actualidad
12 compartido1,410 visualizaciones

Solo el 20% de las Fintech compiten con la banca tradicional

Vicente Ramírez - 2 julio, 2018

El 48% de las 300 Fintech nacionales son complementarias y el 32%, colaborativas.  Los productos ofrecidos por las Fintech son,…

¿Están nuestros hijos ciberseguros en Instagram?   5 consejos para estarlo
Actualidad
31 compartido4,511 visualizaciones
Actualidad
31 compartido4,511 visualizaciones

¿Están nuestros hijos ciberseguros en Instagram? 5 consejos para estarlo

Vicente Ramírez - 13 mayo, 2019

Aunque Facebook sigue siendo la red social más importante del mundo, Instagram es la favorita entre los jóvenes, siendo estos…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.