APP Ciberseguridad Información

TikTok: ¿es seguro utilizarla?

14 septiembre, 2020
Redacción

Por: Ángel Luis García Fernández, Universidad de Jaén; Juan Gualberto Gutiérrez Marín, Universidad de Jaén y Manuel José Lucena, Universidad de Jaén

Es bastante habitual ver en los medios de comunicación titulares sobre problemas de seguridad o privacidad en alguna aplicación móvil más o menos popular. Es fácil cometer un error en los cientos de miles de líneas de código que tienen las apps. Una vez detectados, estos fallos se corrigen a través de actualizaciones (de ahí que sea tan importante seguir la recomendación de mantener actualizados nuestros dispositivos).

RebajasSuperventas Nº. 1 XPLORA X5 PLAY - Teléfono Reloj 4G para niños (SIM no incluida) - Llamadas, Mensajes, Modo Colegio, SOS, GPS, Cámara y Podómetro - Incluye 2 años de garantía (NEGRO)
XPLORA X5 PLAY - Teléfono Reloj 4G para niños...
149,00 EUR
Más información
Superventas Nº. 2 SaveFamily Iconic Plus 4G. Reloj Inteligente niño. Videollamada, Vídeo, Identifica Llamadas, Música, Bluetooth, App Store, Whatsapp. Reloj GPS niños, Cámara, SOS, Waterproof. Smartwatch niños Rosa.
SaveFamily Iconic Plus 4G. Reloj Inteligente...
105,00 EUR
Más información
Superventas Nº. 3 2G Reloj Inteligente Niño y Niña GPS Localizador y Llamadas Bidireccionales Audio, Chat de Voz, Botón SOS, Pantalla Táctil Grande y Brillante, Juegos - ELARI KidPhone 2 (Rosa)
2G Reloj Inteligente Niño y Niña GPS Localizador...
38,51 EUR
Más información

Sin embargo, a veces estos problemas de seguridad y/o privacidad no se deben a errores en la programación, sino que han sido implementados de manera consciente por la empresa que desarrolla la aplicación. Podríamos pensar que las aplicaciones incluyen sofisticadas funciones ocultas para sacar algún tipo de provecho (económico, político, etc). Aunque esta posibilidad existe, ni siquiera es necesaria para que alguien abuse de nuestros datos.

Cuando instalamos una app, es habitual que nos pida nuestro consentimiento expreso a través de un texto interminable. A través de este texto, repleto de términos legales poco claros, acabamos dando permiso para casi cualquier cosa, además de renunciar a nuestro derecho a exigir responsabilidades en el futuro. A fin de cuentas, si estamos instalando la aplicación, es porque la necesitamos, ¿no es así?

Debemos tener muy claro que cuando un servicio es gratuito, lo estamos pagando con nuestros datos.

Superventas Nº. 1 Cinta de Andar eléctrica 1000 W Plegable Sistema Anti caídas Tres Niveles de inclinación.
Cinta de Andar eléctrica 1000 W Plegable Sistema...
259,00 EUR
Más información
RebajasSuperventas Nº. 2 Cecotec Cinta de Andar Eléctrica Plegable RunnerFit Step Red. 1000 W, 3 Niveles de inclinación, Pantalla LED, Altavoces, Portabotellas, 12 Programas, hasta 10 km/h, Ruedas, Peso máximo 120 Kg
Cecotec Cinta de Andar Eléctrica Plegable...
265,99 EUR
Más información
RebajasSuperventas Nº. 3 HOMCOM Cinta de Andar Plegable Cinta de Correr Eléctrica Velocidad de 1-10km/h con Pantalla LCD Botón de Emergencia y Carga Máx. 110 kg para Fitness Hogar Oficina 122x62,5x119 cm Plata y Negro
HOMCOM Cinta de Andar Plegable Cinta de Correr...
199,49 EUR
Más información

El caso de TikTok

El último caso que se ha conocido ha sido TikTok. Esta aplicación, creada en China, ha sido la segunda más descargada en el segundo cuatrimestre de 2020 y la segunda en crecimiento en cuanto al número de instalaciones.

TikTok permite grabar, editar, compartir y ver vídeos de corta duración, así como enviar y recibir mensajes. Esto la ha hecho muy popular entre el público más joven, que la utiliza como una forma más de comunicarse.

Sin embargo, las acusaciones de censura de vídeos con contenidos polémicos (como las revueltas en Hong Kong) o las recientes decisiones de algunos gobiernos de prohibir su uso nos hacen preguntarnos si es realmente seguro utilizarla.

Nuestros móviles revelan, directa o indirectamente, una gran cantidad de información sobre nosotros. Por ejemplo: es posible que una aplicación no tenga acceso al GPS, pero a través de la información de la wifi a la que estamos conectados o de la dirección IP que tengamos asignada puede saber dónde nos encontramos.

Irremediablemente, todo queda sujeto a que las empresas que desarrollan estas aplicaciones lleven a cabo buenas prácticas con la información que les confiamos, y la traten con verdadera transparencia.

Fallos y artimañas de la aplicación

Desde el punto de vista técnico hay algunos aspectos cuestionables. Por ejemplo, ¿por qué TikTok lee continuamente todos los textos que copiamos en el móvil? Imaginemos que estamos haciendo una compra. Abrimos la aplicación de banca online, copiamos el número de la tarjeta o el PIN para pegarlo en el navegador donde estamos a punto de pagar… y TikTok tiene acceso a esta información.

Por otro lado, se ha descubierto que la versión actual de la aplicación está almacenando direcciones MAC de sus usuarios aprovechando una vulnerabilidad de seguridad del sistema operativo de Google.

RebajasSuperventas Nº. 1 Cecotec Robot Aspirador y Fregasuelos Conga 1990 Connected. 4in1, 1400 Pa, Control por App, Alexa y Google Home, Cepillo para Mascotas, Fregado Inteligente, Autonomía 160min
Cecotec Robot Aspirador y Fregasuelos Conga 1990...
149,00 EUR
Más información
RebajasSuperventas Nº. 2 Lefant F1 Robot Aspirador y Fregasuelos 4000Pa de Succión, 28 x 6.9cm Super Thin con Cubo de Polvo Visual de 600ml, Autonomía de 200Min, Banda Magnética, Ideal para Pelo de Animales, Suelos Duros
Lefant F1 Robot Aspirador y Fregasuelos 4000Pa de...
199,99 EUR
Más información
Superventas Nº. 3 Xiaomi Robot Vacuum Mop 2S - Robot Aspirador y fregasuelos con Sistema Inteligente de navegación láser (LDS), succión de 2200 Pa, fregado en Y, 2600 mAh, App Mi Home, Alexa & Google Assistant
Xiaomi Robot Vacuum Mop 2S - Robot Aspirador y...
199,00 EUR
Más información

Versiones anteriores de TikTok eran vulnerables a ataques MITM (Man In The Middle), pues no usaban conexiones seguras. Así, un atacante podía suplantar los servidores de TikTok para obtener nuestra información o alterar lo que pudiéramos subir o descargar de la misma.

En esta línea también ha existido otro fallo que permitía a usuarios maliciosos ver y publicar vídeos que en teoría estaban marcados como privados.

Análisis de TikTok

Al analizar la aplicación, observamos que se trata de una herramienta compleja y muy voluminosa. Tiene demasiado código para lo que hace.

Según la Play Store de Google, no pide permiso para usar el GPS. Sin embargo, hace consultas DNS –un servicio parecido a una guía telefónica, que asocia direcciones IP con nombres de dominio– que suelen relacionarse con la geolocalización. Por tanto, desconfiamos que realmente no acceda a nuestra posición aproximada (por nuestra dirección IP).

Resumen de los permisos que requieren algunas de las aplicaciones móviles más populares: Whatsapp, Facebook Lite, Instagram, Twitter, YouTube y TikTok. Author provided

A pesar lo dicho anteriormente, TikTok no es una aplicación especialmente diferente de muchas otras. De hecho, solicita un número de permisos inferior al de otras aplicaciones como Twitter o Facebook (véase la imagen que acompaña este artículo).

El verdadero problema es que, por mucho que analicemos este software, no se pueden controlar aspectos como:

  • Por dónde pasan nuestros datos.
  • Qué hacen con ellos los servidores de TikTok.
  • Durante cuánto tiempo se almacenan.
  • Si se cruzan con otros datos para elaborar perfiles.

Lo único que podemos esperar es que la empresa respete los términos del contrato de privacidad que firma con el usuario. Pero aún en ese caso, puede ser vulnerable a factores externos como ciberataques, robos de datos o presiones gubernamentales, que podrían comprometer la información de los usuarios.

Desde el punto de vista social, tenemos que ser conscientes de que perdemos el control de todo el contenido que subamos a este tipo de servicios.

TikTok nos da la opción de crear contenido público (accesible desde su web o la aplicación, sin crear una cuenta de usuario) o privado (accesible solo para nuestros contactos). No obstante, cualquiera que esté viendo estos vídeos podría descargarlos y reenviarlos o compartirlos, quedando ya totalmente fuera de nuestro control.

Hoy en día, es muy fácil provocar campañas de acoso, descrédito, chantaje o descalificación contra alguien utilizando el material que esa misma persona ha compartido en la red.

Pugna por la supremacía digital o brecha de seguridad

Existen indicios de que alguien está aprovechando TikTok para llevar a cabo acciones ilegítimas. El Departamento de Defensa de Estados Unidos considera esta aplicación una brecha de ciberseguridad y lleva tiempo exigiendo a todo su personal que la desinstale (incluso en dispositivos privados personales).

India ya ha prohibido totalmente la aplicación tras la muerte de 20 soldados en una confrontación en el Himalaya con China. Sospecha que la inteligencia china podría haber utilizado datos procedentes de esta y otras aplicaciones para localizarles.

No obstante, esta preocupación gubernamental no está totalmente relacionada con la seguridad de los datos personales, sino con motivos geoestratégicos y económicos. Sirva de ejemplo que el decreto firmado por el presidente de EE. UU. para bloquear TikTok en septiembre incluye una cláusula por la que si la aplicación pasa a ser controlada por una empresa local estadounidense, ya no será bloqueada. Esto deja claro que el respeto a la privacidad de las personas es lo menos importante.