«Siento que con estas herramientas, hay alguna puerta trasera para acceder a los datos de los usuarios en casi todos ellos», dijo un auditor externo contratado para ayudar a TikTok a cerrar el acceso chino a la información confidencial, como los cumpleaños y los números de teléfono de los estadounidenses.
Durante años, TikTok ha respondido a las preocupaciones de privacidad de los datos prometiendo que la información recopilada sobre los usuarios en los Estados Unidos se almacena en los Estados Unidos, en lugar de en China, donde se encuentra ByteDance, la empresa matriz de la plataforma de vídeo. Pero según el audio filtrado de más de 80 reuniones internas de TikTok, los empleados de ByteDance con sede en China han accedido repetidamente a datos no públicos sobre los usuarios estadounidenses de TikTok, exactamente el tipo de comportamiento que inspiró al expresidente Donald Trump a amenazar con prohibir la aplicación en los Estados Unidos.
Las grabaciones, que fueron revisadas por BuzzFeed News, contienen 14 declaraciones de nueve empleados diferentes de TikTok que indican que los ingenieros de China tuvieron acceso a los datos de EE. UU. entre septiembre de 2021 y enero de 2022, como mínimo. A pesar del testimonio jurado de un ejecutivo de TikTok en una audiencia en el Senado de octubre de 2021 de que un «equipo de seguridad de renombre mundial con sede en EE. UU.» decide quién tiene acceso a estos datos, nueve declaraciones de ocho empleados diferentes describen situaciones en las que los empleados estadounidenses tuvieron que recurrir a sus colegas en China para determinar cómo fluían los datos de El personal de EE. UU. no tenía permiso ni conocimiento de cómo acceder a los datos por su cuenta, según las cintas.
«Todo se ve en China», dijo un miembro del departamento de Confianza y Seguridad de TikTok en una reunión de septiembre de 2021. En otra reunión de septiembre, un director se refirió a un ingeniero con sede en Pekín como un «Administrador Maestro» que «tiene acceso a todo». (Mientras que muchos empleados se presentaron por su nombre y título en las grabaciones, BuzzFeed News no está nombrando a nadie para proteger su privacidad).
Las grabaciones van desde reuniones en grupos pequeños con líderes de empresas y consultores hasta presentaciones de políticas con todas las manos y están corroboradas por capturas de pantalla y otros documentos, proporcionando una gran cantidad de pruebas para corroborar informes anteriores de empleados con sede en China que acceden a los datos de los usuarios de EE. UU. Su contenido muestra que se accedió a los datos con mucha más frecuencia y recientemente de lo que se informó anteriormente, pintando una rica imagen de los desafíos a los que se ha enfrentado la aplicación de redes sociales más popular del mundo al intentar desentrañar sus operaciones en Estados Unidos de las de su empresa matriz en Beijing. En última instancia, las cintas sugieren que la empresa puede haber engañado a los legisladores, a sus usuarios y al público minimizando que los empleados de China todavía podrían acceder a los datos almacenados en los EE. UU.
En respuesta a una lista exhaustiva de ejemplos y preguntas sobre el acceso a los datos, la portavoz de TikTok, Maureen Shanahan, respondió con una breve declaración: «Sabemos que estamos entre las plataformas más examinadas desde el punto de vista de la seguridad, y nuestro objetivo es eliminar cualquier duda sobre la seguridad de los datos de los usuarios estadounidenses. Es por eso que contratamos expertos en sus campos, trabajamos continuamente para validar nuestros estándares de seguridad y traemos a terceros independientes de buena reputación para poner a prueba nuestras defensas». ByteDance no proporcionó comentarios adicionales.
«Todo se ve en China».
En 2019, el Comité de Inversión Extranjera de los Estados Unidos comenzó a investigar las implicaciones para la seguridad nacional de la recopilación de datos estadounidenses de TikTok. Y en 2020, el entonces presidente Donald Trump amenazó con prohibir la aplicación por completo por la preocupación de que el gobierno chino pudiera usar ByteDance para acumular expedientes de información personal sobre los usuarios de TikTok de EE. UU. La «recopilación de datos de TikTok amenaza con permitir al Partido Comunista Chino el acceso a la información personal y de propiedad de los estadounidenses», escribió Trump en su orden ejecutiva. TikTok ha dicho que nunca ha compartido datos de usuario con el gobierno chino y que no lo haría si se le preguntara.
La mayoría de las reuniones grabadas se centran en la respuesta de TikTok a estas preocupaciones. Actualmente, la compañía está intentando redirigir sus tuberías para que ciertos datos «protegidos» ya no puedan fluir desde los Estados Unidos y hacia China, un esfuerzo conocido internamente como Proyecto Texas. En las grabaciones, la gran mayoría de las situaciones en las que el personal con sede en China accedió a los datos de los usuarios de EE. UU. estaban al servicio del objetivo del Proyecto Texas de detener este acceso a los datos.
El Proyecto Texas es clave para un contrato que TikTok está negociando actualmente con el proveedor de servicios en la nube Oracle y CFIUS. En virtud del acuerdo CFIUS, TikTok mantendría la información privada protegida de los usuarios estadounidenses, como números de teléfono y cumpleaños, exclusivamente en un centro de datos gestionado por Oracle en Texas (de ahí el nombre del proyecto). Estos datos solo serían accesibles por empleados específicos de TikTok con sede en EE. UU. Todavía se está negociando lo que los datos cuentan como «protegidos», pero las grabaciones indican que no se incluirán todos los datos públicos, incluidos los perfiles públicos de los usuarios y todo lo que publiquen. (Divulgación: En una vida anterior, ocupé puestos políticos en Facebook y Spotify). Oracle no respondió a una solicitud de comentarios. CFIUS se negó a hacer comentarios.
Poco antes de la publicación de esta historia, TikTok publicó una entrada de blog anunciando que ha cambiado la «ubicación de almacenamiento predeterminada de los datos de los usuarios de EE. UU.» y que hoy en día, «el 100% del tráfico de usuarios de EE. UU. se está enrutando a Oracle Cloud Infrastructure. Todavía utilizamos nuestros centros de datos de EE. UU. y Singapur para hacer copias de seguridad, pero a medida que continuamos nuestro trabajo esperamos eliminar los datos privados de los usuarios estadounidenses de nuestros propios centros de datos y pivotar completamente hacia los servidores en la nube Oracle ubicados en los EE. UU.».
El temor de los legisladores de que el gobierno chino pueda tener en sus manos los datos estadounidenses a través de ByteDance tiene sus raíces en la realidad de que las empresas chinas están sujetas a los caprichos del autoritario Partido Comunista Chino, que ha estado arrasando a sus gigantes tecnológicos locales durante el último año. El riesgo es que el gobierno pueda obligar a ByteDance a recopilar y entregar información como una forma de «espionaje de datos«.
Sin embargo, hay otra preocupación: que el poder blando del gobierno chino podría afectar la forma en que los ejecutivos de ByteDance dirigen a sus homólogos estadounidenses a ajustar las palancas del potente algoritmo «For You» de TikTok, que recomienda vídeos a sus más de mil millones de usuarios. Sen. Ted Cruz, por ejemplo, ha llamado a TikTok «un caballo de Troya que el Partido Comunista Chino puede usar para influir en lo que los estadounidenses ven, oyen y, en última instancia, piensan».
El estrecho enfoque del Proyecto Texas en la seguridad de una parte específica de datos de los usuarios de EE. UU., gran parte de los cuales el gobierno chino podría simplemente comprar a los corredores de datos si así lo desea, no aborda los temores de que China, a través de ByteDance, pueda usar TikTok para influir en el comportamiento comercial, cultural o político de los estadounidenses.
TikTok ha dicho en publicaciones de blog y declaraciones públicas que almacena físicamente todos los datos sobre sus usuarios estadounidenses en los EE. UU., con copias de seguridad en Singapur. Esto mitiga algunos riesgos (la empresa dice que estos datos no están sujetos a la legislación china), pero no aborda el hecho de que los empleados con sede en China puedan acceder a los datos, dicen los expertos.
«La ubicación física no importa si todavía se puede acceder a los datos desde China», dijo Adam Segal, director del Programa de Política Digital y Ciberespacial del Consejo de Relaciones Exteriores, a BuzzFeed News en un correo electrónico. Dijo que «la preocupación sería que los datos todavía terminarían en manos de la inteligencia china si la gente en China siguiera accediendo».
El propio TikTok reconoció su problema de acceso en una entrada de blog de 2020. «Nuestro objetivo es minimizar el acceso a los datos en todas las regiones para que, por ejemplo, los empleados de la región de APAC, incluida China, tengan un acceso muy mínimo a los datos de los usuarios de la UE y los EE. UU.», escribió el director de seguridad de la información de TikTok, Roland Cloutier.
Se supone que el proyecto Texas, una vez completado, debe cerrar esta laguna para una cantidad limitada de datos. Pero muchas de las grabaciones de audio revelan los desafíos a los que se han enfrentado los empleados para encontrar y cerrar los canales que permiten que los datos fluyan de los EE. UU. a China.
«La ubicación física no importa si todavía se puede acceder a los datos desde China».
Catorce de las grabaciones filtradas incluyen conversaciones con o sobre un equipo de consultores de Booz Allen Hamilton. Uno de los consultores dijo a los empleados de TikTok que fueron contratados en febrero de 2021 para ayudar a gestionar la migración de datos del Proyecto Texas, y un director de TikTok dijo a otros empleados de TikTok que los consultores informaron al jefe de defensa de datos de EE. UU. de TikTok. En las grabaciones, los consultores investigan cómo fluyen los datos a través de las herramientas internas de TikTok y ByteDance, incluidas las utilizadas para la visualización de datos, la moderación del contenido y la monetización.
En septiembre de 2021, un consultor dijo a sus colegas: «Siento que con estas herramientas, hay alguna puerta trasera para acceder a los datos de los usuarios en casi todos ellos, lo cual es agotador».
Cuando se le pidió un comentario, la portavoz de Booz Allen Hamilton, Jessica Klenk, dijo que algo sobre la información anterior era incorrecta, pero se negó a especificar qué era. «En este punto no estoy en condiciones de seguir discutiendo o incluso confirmar/negar nuestra relación con ningún cliente. Pero puedo decirte que lo que estás afirmando aquí es inexacto».
Además, cuatro de las grabaciones contienen conversaciones en las que los empleados responsables de ciertas herramientas internas no pudieron averiguar qué partes de esas herramientas hicieron. En una reunión de noviembre de 2021, un científico de datos explicó que, para muchas herramientas, «nadie ha documentado realmente, como, un tutorial. Y hay elementos dentro de las herramientas para los que nadie sabe para qué sirven».
La complejidad de los sistemas internos de la compañía y cómo permiten que los datos fluyan entre los EE. UU. y China subraya los desafíos a los que se enfrenta el equipo de Servicios Técnicos de los Estados Unidos, un nuevo equipo de ingeniería dedicado TikTok ha comenzado a contratar como parte del Proyecto Texas.
«En realidad, a los ciudadanos chinos no se les permite unirse».
Para demostrar la independencia del equipo de USTS de ByteDance, de propiedad china, un miembro del equipo dijo a un colega en enero que «no todo el mundo puede unirse» al equipo. «En realidad, a los ciudadanos chinos no se les permite unirse», dijo. (Un antiguo empleado que habló con BuzzFeed News bajo condición de anonimato por temor a represalias corroboró este relato). Cuando se le pidió comentarios sobre esta práctica, TikTok no respondió.
Pero si bien el mandato de este equipo es controlar y gestionar el acceso a datos confidenciales de EE. UU., el equipo de USTS informa al liderazgo de ByteDance en China, como informó BuzzFeed News en marzo. En una reunión registrada en enero de 2022, un científico de datos le dijo a un colega: «Recibo mis instrucciones de la oficina principal de Pekín».
El objetivo de TikTok para el Proyecto Texas es que cualquier dato almacenado en el servidor Oracle sea seguro y no accesible desde China ni desde ningún otro lugar a nivel mundial. Sin embargo, según siete grabaciones entre septiembre de 2021 y enero de 2022, el abogado que dirige las negociaciones de TikTok con CFIUS y otros aclaran que esto solo incluye datos que no están disponibles públicamente en la aplicación, como el contenido que está en forma de borrador, establecido en privado o información como los números de teléfono de los usuarios y los cumpleaños que se recopila pero no es visible en sus perfiles. Un consultor de Booz Allen Hamilton dijo a sus colegas en septiembre de 2021 que lo que exactamente contará como «datos protegidos» que se almacenarán en el servidor Oracle «todavía se estaba solucionando desde una perspectiva legal».
En una reunión grabada en enero de 2022, el jefe de operaciones de productos y usuarios de la compañía anunció con una risa que los ID únicos (UID) no se considerarán información protegida bajo el acuerdo CFIUS: «La conversación sigue evolucionando», dijeron. «Recientemente descubrimos que las UID son cosas a las que podemos tener acceso, lo que cambia un poco el juego».
Lo que el producto y el jefe de operaciones del usuario querían decir con «UID» en esta circunstancia no está claro: podría referirse a un identificador para una cuenta específica de TikTok o para un dispositivo. Los UID de dispositivos suelen ser utilizados por empresas de tecnología publicitaria como Google y Facebook para vincular su comportamiento entre aplicaciones, lo que las convierte en un identificador casi tan importante como su nombre.
A medida que TikTok continúa negociando qué datos se considerarán protegidos, las grabaciones dejan claro que muchos datos de los usuarios de EE. UU., incluidos vídeos públicos, biografías y comentarios, no se almacenarán exclusivamente en el servidor Oracle. En su lugar, estos datos se almacenarán en el centro de datos de Virginia de la compañía, al que puede seguir siendo accesible desde las oficinas de ByteDance en Pekín incluso una vez que se complete el Proyecto Texas. Eso significa que los empleados de ByteDance con sede en China podrían seguir teniendo acceso a información sobre lo que interesa a los usuarios estadounidenses de TikTok, desde vídeos de gatos hasta creencias políticas.
También parece que Oracle está dando a TikTok una flexibilidad considerable en la forma en que se ejecutará su centro de datos. En una conversación grabada de finales de enero, el jefe de ciberdefensa global y de datos de TikTok dejó claro que, si bien Oracle proporcionaría el espacio de almacenamiento de datos físicos para el Proyecto Texas, TikTok controlaría la capa de software: «Es casi incorrecto llamarlo Oracle Cloud, porque solo nos están dando metal desnudo, y luego estamos construyendo nuestras máquinas virtuales [máquinas virtuales] encima de ella». Oracle no respondió a una solicitud de comentarios.
Mientras tanto, el abogado de seguridad nacional de TikTok espera que la negociación tenga efectos dominó en la industria tecnológica y más allá. «Va a haber una ley de seguridad nacional que viene del Departamento de Comercio», dijeron, haciendo referencia al desarrollo de regulaciones de la administración Biden para regir las aplicaciones que podrían ser explotadas «por adversarios extranjeros para robar u obtener datos de otra manera».
«La pregunta es si la empresa llegará lo suficientemente lejos».
«La ley se promulgará y codificará probablemente en los próximos 18 meses, diría, y así es como todas las empresas chinas van a poder operar en los EE. UU.», dijo el abogado.
Los esfuerzos de TikTok con el Proyecto Texas pueden dar sus frutos en última instancia para la empresa. Según Graham Webster, investigador del Cyber Policy Center de Stanford, si TikTok se compromete a ser «transparente y de alta integridad, y los empleados con sede en China no podrán acceder a los datos de los usuarios», entonces «desde una perspectiva de seguridad de los datos, debería ser posible convencer a los escépticos de buena fe de que han hecho lo suficiente.
«La pregunta es si la empresa irá lo suficientemente lejos y si las autoridades escépticas están realmente abiertas a ser convencidas», dijo a BuzzFeed News.
Los detalles del acuerdo entre CFIUS, TikTok y Oracle todavía estaban en discusión en enero de 2022, cuando terminaron las grabaciones. Pero a pesar de que el objetivo del Proyecto Texas es acordonar el acceso a los detalles más sensibles sobre los estadounidenses que existen en los servidores de TikTok, un empleado de la póliza tenía dudas que realmente impedirán que los empleados de ByteDance en China accedan a estos datos.
«Queda por ver si en algún momento el producto y la ingeniería todavía pueden averiguar cómo obtener acceso, porque, al final del día, son sus herramientas», dijeron en una reunión de septiembre de 2021. «Los construyeron todos en China».
QAnons España 