En agosto de 2021, TikTok recibió una queja de una usuaria británica que denunció a un hombre que había estado “exhibiéndose y toqueteándose” en una transmisión en directo que ella organizó en la aplicación de video. También describió otros abusos que había experimentado.
Para atender la denuncia, los empleados de TikTok compartieron el incidente en una herramienta de mensajería y colaboración interna llamada Lark, según documentos de la compañía obtenidos por The New York Times. Los datos personales de la mujer británica (incluyendo su fotografía, país de residencia, dirección IP, dispositivo y nombre de usuario) también se publicaron en la plataforma, la cual es similar a las aplicaciones Slack y Teams de Microsoft.
Su información fue solo uno de muchos datos de usuarios de TikTok que se comparten en Lark, que usan todos los días miles de empleados de ByteDance, la empresa china propietaria de la aplicación, incluidos los que trabajan en China. Según documentos obtenidos por el Times, las licencias de manejo de los usuarios estadounidenses también estaban disponibles en la plataforma, al igual que el contenido posiblemente ilegal de algunos usuarios, como materiales de abuso sexual infantil. En muchos casos, la información estaba disponible en “grupos” de Lark (en esencia, salas de chat para empleados) con miles de miembros.
La gran cantidad de datos de usuarios en Lark alarmó a algunos empleados de TikTok, en especial porque los trabajadores de ByteDance en China y en todo el mundo podían ver con facilidad el material, según informes internos, así como declaraciones de cuatro empleados actuales y anteriores. Desde al menos julio de 2021, varios empleados de seguridad han advertido a los ejecutivos de ByteDance y TikTok sobre los riesgos relacionados con la plataforma, según los documentos, así como los trabajadores actuales y anteriores.
En un informe interno de julio pasado, un empleado de TikTok preguntó: “¿Los empleados en Pekín deberían ser dueños de grupos que contienen [datos de usuarios] secretos?”.
Los materiales sobre usuarios en Lark plantean cuestionamientos sobre las prácticas de TikTok en materia de datos y privacidad, y muestran cuán entrelazada está con ByteDance, justo cuando la aplicación de video enfrenta un escrutinio cada vez mayor sobre sus posibles riesgos de seguridad y sus nexos con China. La semana pasada, el gobernador de Montana promulgó una iniciativa de ley que prohibirá TikTok en el estado a partir del 1 de enero. La aplicación también ha sido prohibida en universidades y agencias gubernamentales, así como en el Ejército.
TikTok ha estado bajo presión durante años para proteger sus operaciones en Estados Unidos debido a la preocupación de que pueda proporcionar datos de usuarios estadounidenses a las autoridades chinas. Para continuar operando en Estados Unidos, el año pasado, TikTok presentó un plan a la administración de Biden, llamado Proyecto Texas, el cual explica cómo almacenaría la información de los usuarios estadounidenses dentro del país y dejaría sin acceso a los datos a los empleados de ByteDance y TikTok fuera de Estados Unidos.
TikTok ha minimizado el acceso que sus trabajadores en China tienen a los datos de los usuarios de Estados Unidos. En marzo, en una audiencia en el Congreso, el director ejecutivo de TikTok, Shou Chew, comentó que esos datos casi siempre eran usados por ingenieros en China con “fines comerciales” y que la empresa tenía “protocolos rigurosos de acceso a datos” para proteger a los usuarios. Mencionó que gran parte de la información del usuario que estaba a disposición de los ingenieros ya era pública.
Los informes internos y las comunicaciones de Lark parecen contradecir las declaraciones de Chew. Los datos de TikTok que hay en Lark también se almacenaban en servidores chinos hasta finales del año pasado, según los cuatro empleados actuales y anteriores.
Los documentos revisados por el Times incluyen decenas de capturas de pantalla de informes, mensajes de chat y comentarios de empleados en Lark, así como video y audio de comunicaciones internas, que datan desde 2019 hasta 2022.
Alex Haurek, un vocero de TikTok, calificó los documentos revisados por el Times como “desactualizados” y disputó que contradijeran las declaraciones de Chew. Señaló que no representan con veracidad “cómo manejamos los datos protegidos de los usuarios estadounidenses ni los avances que hemos logrado con el Proyecto Texas”.
Agregó que TikTok estaba en proceso de borrar los datos de los usuarios estadounidenses que recolectó antes de junio de 2022, cuando cambió la forma en que manejaba la información sobre usuarios de Estados Unidos y comenzó a enviar esos datos a servidores de terceros ubicados en territorio estadounidense en lugar de a aquellos que son propiedad de TikTok o ByteDance.
La compañía no contestó las preguntas sobre si los datos de Lark se almacenaban en China. Declinó responder a cuestionamientos acerca de la participación de empleados ubicados en China en crear y compartir datos de usuarios de TikTok en grupos de Lark, pero indicó que muchas de las salas de chat se “cerraron el año pasado tras revisar inquietudes internas”.
Alex Stamos, director del Observatorio de Internet de la Universidad de Stanford y exdirector de seguridad de la información de Facebook, opinó que proteger los datos de los usuarios en una organización era “el proyecto técnico más arduo” para el equipo de seguridad de una compañía de redes sociales. Agregó que los problemas de TikTok son agravados por la propiedad de ByteDance.
Stamos concluyó: “Lark te muestra que todos los procesos del área de administración son supervisados por ByteDance. TikTok es una fina capa que cubre a ByteDance”.