17.03.2023 - 21:40
|
Actualització: 21.03.2023 - 23:15
El primer ministre del Regne Unit, Rishi Sunak, va donar a entendre fa poc que podria prohibir l’aplicació de TikTok dels dispositius utilitzats pels treballadors del govern. Els seus comentaris són en la línia de prohibicions semblants de la Comissió Europea i el govern dels EUA. En aquests casos, es van fer servir qüestions de seguretat com a justificació per a una prohibició. A diferència de Facebook o Instagram (tots dos propietat de Meta, amb seu als Estats Units), TikTok és propietat de ByteDance, amb seu a la Xina.
Aquestes preocupacions no són noves. L’octubre passat, l’ex-secretari d’estat dels EUA Mike Pompeo va dir que tenia por que la Xina pogués obligar TikTok a actuar com a “cavall de Troia”, per accedir i explotar dades delicades dels dispositius dels usuaris.
De la mateixa manera que moltes aplicacions de xarxes socials, TikTok recull grans quantitats de dades dels usuaris, incloent-hi les dates de naixement, les adreces de correu electrònic i els números de telèfon. Ara, els debats sobre la privadesa a internet acostumen a centrar-se en les dades que els usuaris lliuren voluntàriament als proveïdors de xarxes socials.
La política de privadesa de TikTok diu que l’aplicació recull dades de localització de l’usuari fins a una precisió de tres quilòmetres quadrats. Instagram, per exemple, fa servir un sistema de geolocalització més precís. Segons Instagram, aquest sistema de geolocalització serveix per a poder personalitzar els anuncis. Però el risc és que, en cas que es filtrin, les dades d’ubicació puguin ser fetes servir per tercers per rastrejar els usuaris i, per exemple, assetjar-los.
Aquesta mena de dades, de fet, van ser emprades presumptament per treballadors de TikTok per determinar la ubicació de periodistes nord-americans amb l’objectiu d’aturar les filtracions de dins la companyia. Aquests treballadors van ser acomiadats, i en un correu electrònic publicat per la revista Forbes, el director executiu de ByteDance, Rubo Liang, va reconèixer que estava “profundament decebut” pel cas.
L’accés a les dades personals permet a les marques comercials de crear perfils orientats a usuaris específics. La disponibilitat com més va més gran de programari amb aprenentatge automàtic –una mena d’intel·ligència artificial que aprèn a còpia de repetir una tasca i guanyar experiència– ha fet saltar les alarmes entre alguns analistes de ciberseguretat. Els preocupa el possible ús d’aquesta tecnologia per a atacs de phishing selectiu. En aquests atacs, les víctimes reben un missatge, com ara un correu electrònic, en què el remitent es fa passar per algú de confiança. Això fa més fàcil de caure a la trampa.
Els proveïdors de xarxes socials coneixen molt bé els seus usuaris. Així, és perfectament plausible que la creació d’un perfil a partir de les dades d’usuaris reals pugui facilitar atacs de phishing dirigits a perfils oficials d’un govern. No obstant això, no hi ha proves que TikTok s’hagi fet servir per aquesta finalitat fins ara.
Normes del sector
ByteDance ha respost a l’onada de prohibicions bo i dient que mai no ha facilitat dades dels seus usuaris al govern xinès. També diu que les seves pràctiques de recopilació de dades són com les de les altres xarxes socials. Una comparació ràpida amb la política de privadesa d’Instagram ho corrobora: les dades que Meta recopila de Facebook i Instagram coincideixen, a grans trets, amb les que TikTok recull sobre el dispositiu i la localització.
Les crítiques a TikTok solen centrar-se a dir que l’aplicació pot funcionar com a programari espia. L’objectiu d’aquesta mena de programari és extreure informació confidencial o sensible que els usuaris no han permès de donar. Per exemple, pot recollir informació copiada al porta-retalls del dispositiu.
Un consell comú és fer servir contrasenyes complexes i úniques per a cada plataforma. Per això, els usuaris preocupats per la privadesa solen fer servir gestors de contrasenyes, com ara LastPass i 1password. No obstant això, és probable que copiïn i enganxin la contrasenya complexa que tenen desada al gestor de contrasenyes a l’hora d’iniciar sessió. Extreure la informació del porta-retalls permet als ciberatacants de recuperar les contrasenyes i accedir als comptes.
Avaluació del risc
TikTok és una aplicació de codi tancat; és a dir, el codi font (les instruccions subjacents) que es fa servir per crear l’aplicació no està disponible. Tanmateix, hi ha hagut intents de fer enginyeria inversa del codi font de TikTok per mirar de determinar si l’aplicació es comporta com a programari espia o si recopila dades dels usuaris excessivament.
Un informe de Citizen Lab Research va descriure l’enginyeria inversa d’una versió distribuïda per Android de TikTok i va concloure: “TikTok no sembla mostrar un comportament obertament maliciós”, com ara el que mostra el programari espia. A més, l’informe diu que, tot i que TikTok recull una gran varietat d’informació del dispositiu i de patrons d’ús, aquestes característiques no són excepcionals en comparació amb les normes de la indústria.
És raonable de concloure que Tiktok no representa un risc gaire més gran en aquest sentit que les aplicacions de xarxes socials amb seu als Estats Units, una conclusió compartida per Electronic Frontier Foundation.
Les prohibicions recents van impulsar ByteDance a reforçar les proteccions de privadesa dels usuaris. Concretament, van anunciar Project Clover, que formula estratègies per millorar la seguretat de les dades a Europa.
Project Clover proposa l’anomenat Enclavament Europeu, que té l’objectiu de garantir que els treballadors de ByteDance no puguin accedir o transferir les dades dels usuaris europeus externament sense complir les lleis de protecció de dades, com ara el GDPR. També seria supervisat per una empresa de seguretat europea, amb què ByteDance ara com ara negocia.
Protecció dels usuaris
ByteDance també ha proposat dos mecanismes per anonimitzar les dades dels usuaris, l’objectiu dels quals és garantir que qui vulgui accedir a les dades dels usuaris de TikTok no les pugui explotar pel phishing o unes altres menes d’atac. El primer enfocament és “pseudonimitzar” les dades personals recollides dels usuaris per donar compliment a l’article 4 del GDPR. Això requeriria que les dades personals es tractessin de manera que no es poguessin vincular a usuaris específics sense l’ús d’informació addicional externa.
ByteDance també agregarà informació dels usuaris en grans conjunts de dades i aconseguirà l’anonimat separant els detalls del perfil d’un usuari concret. Així, la prohibició de TikTok de la Comissió Europea posa de manifest una percepció creixent dels òrgans de govern que TikTok i més aplicacions poden danyar la seguretat i la privadesa dels usuaris mitjançant una recollida de dades específica i excessiva.
Tot i que això ha fet que ByteDance proposi proteccions de privadesa reforçades, els usuaris han d’esperar que es materialitzin i que els experts les verifiquin. Mentrestant, tenen la responsabilitat de gestionar la seva privadesa i decidir per si mateixos si els riscs de les aplicacions de xarxes socials com ara TikTok valen la pena.
Aquest article va ser publicat originalment a The Conversation.
