150 millones de usuarios de India se vieron obligados a dejar de usar la aplicación de propiedad china en 2020. Pero una herramienta interna revisada por Forbes mostró que los empleados de ByteDance y TikTok aún pueden extraer algunos de sus datos más confidenciales. Un empleado lo llamó "NSA-To-Go".

Casi tres años después de que el mercado más grande de TikTok, India, prohibiera la aplicación de redes sociales de propiedad china debido a las tensiones geopolíticas, los empleados de la empresa y su empresa matriz, ByteDance, con sede en Beijing, siguen teniendo acceso a una gran cantidad de datos personales de ciudadanos indios que alguna vez usaron TikTok, conoció Forbes.

La revelación se produce cuando la administración del presidente de Estados Unidos Joe Biden amenaza con prohibir la plataforma utilizada por más de 100 millones de estadounidenses si el propietario chino de TikTok no vende su participación. Los funcionarios en los niveles más altos del gobierno de EE. UU. ven una prohibición general de TikTok como una posible solución a las preocupaciones de seguridad nacional del país sobre el potencial de China para vigilar o manipular a los estadounidenses. Algunos han llamado a India una “estrella guía”, instando a Estados Unidos a seguir su ejemplo.

“No creo que [los indios sean] conscientes de cuánto de sus datos están expuestos a China en este momento, incluso con la prohibición vigente”, dijo a Forbes un empleado actual de TikTok.

Según el empleado y una revisión de los programas internos TikTok y ByteDance de Forbes, casi cualquier persona en las empresas con acceso básico a sus herramientas puede recuperar y analizar datos granulares sobre usuarios anteriores de TikTok en India. (ByteDance tiene más de 110.000 empleados en todo el mundo, incluso en China y Rusia, pero, según se informa, despidió a todo su personal de India el mes pasado). Otra fuente también confirmó de forma independiente que se ha podido acceder a los datos de los indios desde que el país prohibió la aplicación.

“No creo que [los indios sean] conscientes de cuántos de sus datos están expuestos a China en este momento, incluso con la prohibición vigente”.

Empleado de TikTok

Una herramienta de mapeo social, que el empleado de TikTok llamó en broma “NSA-To-Go”, puede arrojar una lista de las conexiones más cercanas de cualquier usuario público o privado en TikTok e información de identificación personal sobre ellos, y todavía muestra los perfiles de TikTok de personas en la India, según una revisión de Forbes.

El personal puede ingresar el identificador único o UID de TikToker, una cadena de números vinculados a datos más detallados sobre la persona, para recuperar los nombres de usuario de TikTok (a menudo, nombre y apellido) de cientos de amigos y conocidos; la región donde viven; y cómo comparten contenido de TikTok con contactos telefónicos y usuarios en otras plataformas sociales. El mismo UID se puede usar en otras herramientas internas de TikTok y ByteDance para encontrar aún más información sobre la persona, incluido su comportamiento de búsqueda. El empleado de TikTok lo describió como una clave para construir un “expediente digital” sobre cualquier usuario, incluidos aquellos con cuentas privadas.

Ninguna de las compañías dijo si TikTok continúa usando los datos que recopiló de sus usuarios anteriores en India.

“Hemos cumplido firmemente y continuamos cumpliendo plenamente con la orden del Gobierno de la India desde que se implementó”, dijo el portavoz de TikTok, Jason Grosse, en un correo electrónico. “Todos los datos de los usuarios están sujetos a nuestros sólidos controles internos de políticas en torno al acceso, la retención y la eliminación”. ByteDance no respondió a una solicitud de comentarios.

El propósito de la prohibición de India de 2020 parece haberse centrado en evitar el acceso público a TikTok en el país en el futuro, dadas las preocupaciones sobre la posibilidad de que la aplicación envíe datos que había recopilado sobre los usuarios indios a China. (Nikhil Gandhi, quien entonces era director de TikTok en India, dijo en ese momento que TikTok “no había compartido ninguna información de nuestros usuarios en India con ningún gobierno extranjero, incluido el gobierno chino”). La prohibición no parecía requerir eliminación de datos de aplicaciones que ya habían sido capturados y almacenados.

Como resultado, los perfiles de los usuarios indios que alguna vez usaron TikTok todavía se pueden encontrar en línea, aunque sus propietarios no han podido publicar desde la prohibición de 2020. La compañía no dijo cuántas cuentas indias se pueden ver en la herramienta interna, pero TikTok tenía aproximadamente 150 millones de usuarios activos mensuales allí en el momento en que se cerró, según la firma de análisis de datos Sensor Tower. Los datos de esta herramienta en particular parecen estar congelados en el tiempo para los usuarios de la India; para otros países como los EE. UU., donde TikTok se usa ampliamente en la actualidad, se actualiza en tiempo real.

El empleado actual de TikTok le dijo a Forbes que casi cualquier persona con acceso básico a las herramientas de la empresa, incluidos los empleados en China, puede buscar fácilmente los contactos más cercanos y otra información confidencial sobre cualquier usuario. Eso incluye a todos, desde figuras públicas prominentes hasta la persona promedio, según el empleado y una revisión de Forbes de la herramienta. En las manos equivocadas, señaló el empleado, esa información podría ser peligrosa.

“De [sus gráficos sociales], si desea iniciar un movimiento, si desea dividir a las personas, si desea realizar algún tipo de operación para influir en el público en la aplicación, puede usar esa información para dirigirse a esos grupos”, dicen. Estos poderosos datos demográficos, especialmente en la base de usuarios Gen Z inigualable de TikTok, también podrían ser muy valiosos para fines comerciales, agregó el empleado.

“No podemos prohibirles los datos que ya tienen”.

El ex asesor general de la NSA Glenn Gerstell

Más allá del caso de la India, el acceso de toda la empresa a una herramienta como esta podría ser muy problemático en el contexto del conflicto geopolítico. Los datos sobre los usuarios de Ucrania y Rusia, incluidos los detalles sobre con quién se comunican en la aplicación, están disponibles en la herramienta, según el empleado de TikTok y los materiales internos obtenidos por Forbes. Aunque no hay ningún caso conocido de esta herramienta u otras en TikTok que se utilicen contra adversarios extranjeros, dicha información podría poner en peligro la seguridad de los soldados y ciudadanos por igual.

“Cuando un país autoritario como China es capaz de acumular mucha información sobre los ciudadanos de otro país, eso generará todo tipo de señales de alerta”, dijo a Forbes el exasesor general de la Agencia de Seguridad Nacional, Glenn Gerstell. Dijo que mientras lo pensaba podría ser difícil para China convertir esa información en un arma en la práctica, “absolutamente plantea preocupaciones, aumenta las tensiones [y] los coloca en una posición potencialmente peligrosa con los datos. Y eso es obviamente una amenaza”.

TikTok ya ha utilizado su arsenal de herramientas para dirigirse a las personas y sus redes. Una investigación de Forbes de diciembre reveló que ByteDance había rastreado a varios periodistas que cubren la empresa, obteniendo acceso a sus direcciones IP y otros datos para tratar de descubrir qué empleados de ByteDance podrían haber estado cerca de ellos y potencialmente filtrar información. La compañía negó con vehemencia ese informe hasta que su propia investigación interna demostró que era exacto, lo que aumentó los temores en todo el gobierno de los EE. UU. de que tal vigilancia podría llevarse a cabo en los estadounidenses en general. El FBI y el Departamento de Justicia ahora están investigando el uso de TikTok por parte de ByteDance para espiar a los periodistas, como informó Forbes por primera vez. La Casa Blanca también ordenó a las agencias federales que eliminen TikTok de los dispositivos de los empleados del gobierno para fines de este mes.

La retención de datos de los indios por parte de TikTok muestra por qué, en Estados Unidos, un acuerdo consensuado entre TikTok y el Comité de Inversión Extranjera en los EE. UU. podría ser mucho más efectivo que una prohibición, dijo Gerstell. (CFIUS y TikTok han estado en conversaciones desde 2019 sobre un acuerdo para abordar las preocupaciones de seguridad nacional sobre la aplicación). Dijo que un acuerdo con CFIUS podría bloquear datos históricos, lo que aparentemente no logró la prohibición de India, y que le daría a EE. UU. gobierno la capacidad de establecer los términos en torno a lo que sucede con los datos de los estadounidenses del pasado y del presente. Aunque un acuerdo consensuado no garantizaría que China no encontrará una manera de acceder a esos datos antiguos, podría brindar otras protecciones, explicó.

“Si es una prohibición, que es lo mismo en India, no podemos prohibirles los datos que ya tienen”, dijo Gertstell. “Cualesquiera que sean los datos hasta ese momento de la prohibición son de TikTok, son de ByteDance… .y no tenemos base legal, si todo lo que estamos haciendo es prohibir la cosa, para decirles qué hacer con [ella]”. Se vuelve aún más complicado si los datos ya están almacenados fuera de la jurisdicción de los EE. UU., agregó.

“Los políticos y las personas que golpean la mesa cuando hablan de prohibiciones piensan que están resolviendo un problema”, dijo a Forbes, “y no es así en absoluto”.

Emily Baker-White contribuyó a este reportaje.