Probablemente no haya nadie en la actualidad que no sepa que es TikTok. Esta popular aplicación musical permite, a los usuarios de la misma, crear videos de corta duración y publicar el contenido en una plataforma de carácter público. ¿Qué hace especialmente vulnerable a esta app? La edad media del grueso de sus usuarios – adolescentes de entre 13 y 19 años. A veces, ni siquiera alcanzan la edad mínima de 13.
En la publicación de hoy, focalizamos nuestra atención en la seguridad de esta aplicación y la forma en que esta recopila datos de sus usuarios ya que ambos puntos han sido puestos en entredicho, en no pocas ocasiones, por parte de medios de prensa y autoridades de diferentes países. Tanto es así, que algunos países como India ya han prohibido su uso y otros, cómo Estados Unidos o Australia, se lo están planteando para un futuro cercano. Entre otras cuestiones, los países que han reivindicado la nula seguridad de la app sustentan sus afirmaciones en que esta recopila información de los usuarios de la misma, sin la pertinente legitimación jurídica y, todo ello, con fines que se extralimitan del mero funcionamiento de la aplicación y que pasan por la mercadotecnia directa a raíz del perfilado de los usuarios.
Pero ¿en realidad nos encontramos ante un peligro para la privacidad de sus usuarios? O, por el contrario, ¿no es más que una “inocente” app?
Para poder dar una respuesta más certera a estas preguntas, analizaremos los puntos más controvertidos que, desde el punto de vista de protección de datos, deben ser revisados para valorar la seguridad de una aplicación que requiera, para cumplir su finalidad, realizar un tratamiento de datos de carácter personal:
1. Los permisos de acceso solicitados – Debemos partir de una realidad innegable y es que una app que trate información personal requerirá el acceso a determinadas funcionalidades de nuestro teléfono que diferirán, atendiendo al tipo de aplicación ante la que nos encontremos. Lo más importante de los permisos es que estos deben ser informados y, en algunos casos, solicitados al usuario. Así, TikTok requiere permisos para funcionalidades necesarias atendiendo al servicio que ofrece (cámara, micrófono y contactos). Hasta ahí, todo dentro de lo normal. No obstante, hay dos factores que llaman la atención de todo profesional dedicado a la privacidad:
a. TikTok requiere acceso a la ubicación por GPS, cuestión llamativa si tenemos en cuenta que los videos de TikTok no muestran información de localización de forma obvia.
b. Adicionalmente, y en dispositivos Android, la app tiene la capacidad de acceder a otras aplicaciones que se ejecutan al mismo tiempo, lo que puede dar a la aplicación la capacidad de acceder a los datos almacenados en otra aplicación, como una aplicación bancaria. Sin que esto se informe.
2. Las medidas de seguridad de la app – Cómo avanzábamos al inicio, la red social TikTok ha sido objeto de numerosas investigaciones por considerar que sus medidas de seguridad resultan insuficientes para proteger la privacidad de los usuarios. Así, a raíz de los numerosos escándalos y sospechas, TikTok ha implantado algunas medidas de seguridad cómo la posibilidad de privatizar la cuenta, el desarrollo del modo de seguridad familiar mediante el cual los padres, madres o tutores pueden establecer un control de la actividad de la cuenta del menor y un modo restringido que limita la aparición de contenidos que puedan resultar inadecuados para los menores.
No obstante, a pesar de estas aparentes mejoras, siguen existiendo medidas de seguridad que no son cubiertas. ¿Cuáles?. Entre las más llamativas, se encuentra la cesión de datos ilegítima. TikTok (de origen chino) fue denunciada por ser sospechosa de facilitar datos de los usuarios a autoridades de dicho país con una finalidad de monitorización de los mismos. Y, en este punto, no podemos olvidar que toda cesión de datos ha de poder ampararse en una de las bases legitimadoras del artículo 6 del Reglamento General de Protección de Datos (en adelante, RGPD).
3. La información ofrecida al usuario – Uno de los puntos clave de la normativa en materia de protección de datos, ha sido, y es, la información y transparencia del responsable del tratamiento hacia el usuario. En este sentido, con el RGPD y la Ley Orgánica Española de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) este principio se ha visto reforzado en base a los artículos 13 y 14 del RGPD y el artículo 11 de la LOPDGDD. A pesar de contar con un volumen de información bastante amplio en su política de privacidad y diversos textos legales, lo cierto es que existen determinados puntos básicos sobre los que no se ofrece la información requerida: identidad de los terceros a los que se ceden los datos, la ubicación de los datos (cómo veremos más adelante) y la legitimación del tratamiento de los datos.
4. El consentimiento de los usuarios – Cómo mencionábamos, el grueso de la edad de los usuarios de esta red social, son menores de edad. No podemos olvidarnos de que el tratamiento de datos de los menores de 14 años requiere de un consentimiento de padres/madres/tutores legales. Así, y si bien, en un inicio, la aplicación no está diseñada para menores de 13 años o, cómo es el caso de España, para menores de 14 años en la práctica se comprueba que solo se requiere añadir una fecha de nacimiento (sin verificación vinculada a ello), por lo que cualquier usuario menor de esa edad podría utilizar una fecha falsa y saltarse este filtro. Es decir, no se toman, por parte de la red social, medidas adicionales que garanticen la identidad de la persona que se está registrando.
5. La ubicación de los datos – Una de las mayores preocupaciones de toda red social es dónde son almacenados los datos de carácter personal. Y TikTok no iba a ser una excepción. En este sentido, la política de la red social para la Unión Europea, indica que los datos de los usuarios serán transferidos a, y almacenados en, un destino fuera del Espacio Económico Europeo sin ofrecer una información adicional al respecto. Este hecho implica no sólo una total falta de información y transparencia si no, en consecuencia, una pérdida de control sobre los datos de los usuarios.
Cómo vemos, nos encontramos ante una serie de carencias importantes desde el punto de vista que nos atañe en nuestro blog, la protección de datos. Y es en este punto en el que consideramos oportuno poner sobre la mesa aquellas medidas de seguridad que resulta necesario implementar si, llegado el momento, el usuario se plantea el uso de esta controvertida red social:
– Activar la verificación en dos pasos – Esta opción, se encuentra a disposición del usuario que vaya a acceder a la app. De este modo, se añadirá una capa extra de seguridad contra los robos de cuentas.
– Proteger la cuenta con una contraseña robusta – Es otro de los pasos fundamentales. Uno de los problemas de utilizar claves demasiado simples es que existen programas diseñados para probar millones de contraseñas por minuto. Y es por ello por lo que se debe:
– Mantener el secreto de las contraseñas respecto de terceros.
– Elegir combinaciones robustas con un mínimo de ocho caracteres y que a ser posible combine mayúsculas, minúsculas, números y símbolos.
– Evitar la simplicidad de las contraseñas con códigos “123456” o palabras que identifiquen al usuario.
– Evitar la repetición de contraseñas pues, cuanto más tiempo se mantenga una contraseña en el tiempo, más vulnerable se volverá esta.
– Configurar la privacidad de nuestro perfil – Por defecto, la cuenta del usuario y contenidos de la red social, son visibles para todo el mundo. Sin embargo, se puede acceder a los ajustes de privacidad y seguridad para hacer privado el perfil o limitar los usuarios que pueden acceder a los vídeos, los que puedan mandar mensajes al usuario… etc. Del mismo modo, se puede configurar la privacidad de cada uno de los videos por individual desde el perfil de cada usuario.
– Filtrar comentarios negativos y spam – Desde las opciones de privacidad de la app, también es posible ocultar automáticamente los comentarios no deseados u ofensivos, así como filtrar por palabras claves para personalizar aún más esta ocultación.
– Bloquear la descarga de los vídeos – Dentro del apartado de privacidad, otra opción muy útil es la de desactivar la opción que permite a otros usuarios descargar los videos que el usuario elabore. Aunque no se pueda evitar que utilicen otras herramientas para ello, es recomendable que se tenga desactivada.
– Bloquear usuarios – Esta opción permitirá, al usuario, bloquear e impedir la comunicación a aquellos usuarios que considere molestos, nocivos, o que considere un peligro para su seguridad.
– Denunciar vídeos/usuarios – Es probable que mientras el usuario navegue por la app se encuentre algún vídeo con contenido que no cumpla con las reglas de la comunidad o resulte ofensivo. De igual modo, es posible que este se encuentre con algún usuario que se dedique a acosarle, a él o a otros usuarios, a enviar mensajes spam, etc. Para ambos casos existe la opción de denunciar bien una cuenta en concreto o, por el contrario, un video específico.
– Además, conviene revisar el tiempo que el usuario pasa delante de sus dispositivos, pues como ocurre con otras redes sociales, pueden provocar adicción tanto en jóvenes como en adultos. Para ello, TikTok ofrece a sus usuarios la opción de “Desintoxicación digital” que permite:
a. Configurar el tiempo que el usuario puede acceder a la aplicación desde la opción de gestión del tiempo en pantalla.
b. Activar la opción de modo restringido que permite limitar la aparición de contenidos inapropiados para algunos públicos.
– Revisar el uso que hacemos de la red social – Es fundamental que el usuario de la red social utilice el sentido común y piense antes de subir algún vídeo que contenga información personal que no quiera que esté publicada en Internet. Cada vez que se comparte algo por la red, se pierde el control sobre este contenido y, aunque se borre de la cuenta del usuario, este no podrá seguridad que el contenido haya desaparecido del todo del espacio internet pues cualquier otro usuario habría podido guardarlo y almacenarlo para utilizarlo en otro momento.
A modo conclusión, podemos afirmar que la cantidad de información personal de los usuarios alojada, así como su popularidad, ha convertido a la red social TikTok en el objetivo de numerosos ciberdelincuentes. Además, cómo ya hemos indicado, numerosas empresas relacionadas con la ciberseguridad han revelado en los últimos años algunas vulnerabilidades de esta red que podrían exponer los datos de millones de sus usuarios, repartidos por todo el mundo, como la dirección de sus viviendas o sus correos electrónicos y, en consecuencia, se ha desaconsejado, y en algunos casos prohibido, el uso de esta red social.
Uno de los, evidentes, riesgos es la recopilación de información personal y control de los dispositivos a través de los permisos que le otorga el usuario de la red social:
• Desde acceso al micrófono, la cámara, la conexión wifi y toda nuestra lista de contactos, hasta nuestra ubicación.
• Permitimos que analice si hay acceso a Internet y lo utilice.
• Es capaz de autoejecutarse una vez encendemos nuestro dispositivo y puede mantenerlo encendido.
Si bien es cierto que el modelo de privacidad que sigue la aplicación TikTok no es diferente a otras redes sociales, esto no exime de la protección contra los ataques de ingeniería social, especialmente para aquellos usuarios más jóvenes. Los ciberdelincuentes suelen recurrir a los comentarios y chats dentro de estas aplicaciones para tratar de ganarse la confianza de los usuarios y hacerse con nuestros datos o conseguir que estos hagan clic en enlaces maliciosos. Así, por último, no podemos dejar a un lado otras de las amenazas de esta red social: consecuencias negativas sobre la identidad digital del usuario y el acoso.
Está claro que algunas redes sociales conllevan una sobreexposición de la vida del usuario respecto de terceras personas, muchas de ellas desconocidas. Si a esto le sumamos la edad de uso de esta aplicación, hoy día analizada, nos encontramos ante una peligrosa combinación que deberá ser tenida en cuenta antes de comenzar a utilizar esta red social.