Durante años, TikTok ha dicho a los legisladores de Estados Unidos que los datos privados de sus usuarios estadounidenses están protegidos -y a salvo de posibles influencias o filtraciones- en un grupo de centros de datos situados en el norte de Virginia.
Pero las entrevistas con siete empleados actuales y anteriores y más de 60 documentos, fotos y videos de los centros de datos revelan que los centros han enfrentado vulnerabilidades de seguridad que van desde ‘memorias flash’ sin marcar conectadas a servidores hasta visitantes sin escolta y cajas de discos duros desatendidas en los pasillos. Las fuentes sugieren que estos problemas son el resultado de que TikTok intenta aumentar su capacidad de almacenamiento de datos muy rápidamente, y a veces tomando atajos en el camino.
Documentos, fotos y entrevistas también sugieren que las operaciones del centro de datos de TikTok siguen estrechamente vinculadas al negocio de ByteDance en China. Entre otros proveedores, los centros de datos utilizan servidores fabricados por Inspur, una empresa que el Pentágono dijo en 2020 que estaba controlada por militares chinos y que el Departamento de Comercio añadió a una lista de sanciones el mes pasado. Los documentos también muestran que, tan recientemente como la semana pasada, las órdenes de trabajo de los servidores fueron enviadas a los técnicos de los centros de datos por Beijing ByteDance Technology Co, Ltd., una filial de ByteDance parcialmente propiedad del gobierno chino, que TikTok ha insistido repetidamente en que no tiene control sobre sus operaciones.
Estas revelaciones llegan en un momento crítico para TikTok, que se enfrenta a una investigación penal federal por vigilar a periodistas (incluido este reportero) y a una amenaza de la Administración Biden de que ByteDance debe vender TikTok o enfrentarse a una prohibición total de la aplicación en Estados Unidos.
Una coalición bipartidista de legisladores, junto con la Casa Blanca, han expresado su preocupación de que el gobierno chino pueda usar el control de ByteDance sobre TikTok para filtrar datos valiosos sobre ciudadanos estadounidenses o influir en el discurso cívico nacional o internacional.
“Cada nueva historia plantea más preocupaciones y proporciona ejemplos adicionales de TikTok que parecen tergiversar sus prácticas de seguridad de datos”, dijo el senador Mark Warner, quien encabezó un esfuerzo del Senado para prohibir TikTok en los últimos meses.
Los centros de datos utilizan servidores fabricados por Inspur, una empresa que, según el Pentágono en 2020, estaba controlada por militares chinos.
La respuesta de TikTok a estas preocupaciones -y a la amenaza de una posible prohibición- es una propuesta conocida como Proyecto Texas, según la cual TikTok retiraría los datos privados de los usuarios estadounidenses de los servidores de Virginia y los aislaría en un conjunto de centros de datos con sede en Texas propiedad de Oracle. Sin embargo, el consejero delegado de TikTok, Shou Zi Chew, declaró el mes pasado ante una comisión de la Cámara de Representantes que los datos de los usuarios estadounidenses siguen «en nuestros servidores de Virginia» en la actualidad.
En respuesta a una detallada lista de preguntas de FORBES, la portavoz de TikTok, Maureen Shanahan, reconoció haber utilizado servidores de Inspur, pero dijo que TikTok «no había contratado a ese proveedor desde hace bastante tiempo.» Inspur también ha trabajado con otras grandes empresas estadounidenses, como Microsoft, IBM e Intel. Inspur no respondió a una solicitud de comentarios, como tampoco lo hizo el Departamento de Comercio. Al cierre de esta edición, el Departamento de Defensa tampoco había hecho comentarios.
Shanahan dijo que las órdenes de trabajo de Beijing ByteDance Technology Co. eran «un artefacto de un sistema de tickets», que «no proporciona ningún acceso a los datos del usuario», y que Beijing ByteDance Technology Co. «no tiene ninguna participación en la gestión, operación o control de nuestros centros de datos de EE.UU.».
También señaló que TikTok dejó de ‘enrutar’ el tráfico de nuevos usuarios estadounidenses a los centros de datos de Virginia en octubre de 2022, lo que significa que las publicaciones privadas, DMs y otros datos de usuarios estadounidenses creados antes de octubre de 2022 todavía se mantienen en estos servidores hoy en día, pero los datos creados más recientemente no. TikTok dice que planea eliminar estos datos de los servidores antes de finales de 2023.
Dijo Shanahan: «En los últimos años, hemos aumentado nuestras inversiones en personas, procesos y tecnología para ayudar a proteger a nuestra comunidad, incluido el establecimiento de un equipo dedicado a las operaciones, el mantenimiento y el cumplimiento del centro de datos».
Memorias USB sin marcar, servidores sin seguridad y visitantes sin escolta
Como muchos gigantes tecnológicos, TikTok alquila espacio en grandes centros de datos del norte de Virginia. Las salas de datos de TikTok en estos centros están gestionadas en parte por ByteDance y en parte por trabajadores contratados por varias empresas de gestión de centros de datos. (Dos empresas que trabajan en los centros de ByteDance no respondieron a las preguntas de FORBES).
En enero de 2023, la división de Seguridad de Datos de Estados Unidos de TikTok -la nueva entidad que, en el marco del Proyecto Texas, asegurará y proporcionará acceso a los datos de los usuarios de EE.UU.- publicó una entrada en su blog en la que afirmaba: «Nuestro centro de datos de Virginia incluye controles de seguridad físicos y lógicos como puntos de entrada cerrados, cortafuegos y tecnologías de detección de intrusos».
No obstante, siete empleados actuales y antiguos que hablaron con FORBES -de forma anónima por temor a represalias de ByteDance o de su empresa contratante- afirmaron que la seguridad en los centros es variable y poco estricta.
Según los empleados, los sistemas de seguridad física varían según el edificio, pero la mayoría se basan en un sistema de tarjetas de identificación. La política de la empresa establece que los invitados, incluida una rotación regular de mensajeros, proveedores de hardware, electricistas y otros profesionales, deben ir escoltados por un empleado en todo momento. Pero en la práctica, según cuatro empleados, eso no siempre ocurre. «No tenemos tiempo de vigilarlos a todos», afirma uno de ellos.
Cuatro fuentes afirman haber visto memorias USB sin marcar y «sin etiqueta» conectadas a servidores.
Los empleados describieron múltiples sistemas de mantenimiento de registros utilizados por la empresa para hacer un seguimiento de las reparaciones de servidores y otro hardware realizadas en los centros, incluidas cinco herramientas internas distintas de gestión de tickets. Todos los empleados dijeron que también recibían solicitudes de trabajo a través del software de ByteDance para el lugar de trabajo, Lark.
Sin embargo, tres fuentes le dijeron a FORBES que estaban al tanto de las modificaciones realizadas en los servidores que no se reflejaban en ningún sistema de emisión de boletos, y cuatro dijeron que habían visto unidades flash sin marcar y ‘sin ticket’ conectadas a los servidores. TikTok dijo que estas afirmaciones eran inconsistentes con el monitoreo de seguridad interna de la compañía.
Cuatro fuentes dijeron también que los desmagnetizadores de la empresa (máquinas utilizadas para borrar y destruir discos duros viejos) estaban a menudo rotos o atascados, lo que obligaba al personal a llevar las unidades a otros centros de datos para deshacerse de ellas. Una persona que había sido colocada en este puesto dijo: «Cualquiera con malas intenciones podría habérselos llevado sin más, y no nos habríamos enterado». (TikTok reconoció haber tenido este problema en el pasado, pero dijo que ya se ha solucionado).
Las fotos proporcionadas por una fuente, que dijo que fueron hechas en 2020, muestran discos duros dejados sin vigilancia en cajas abiertas en los pasillos de un centro de datos de Virginia. Los detalles de las fotos, como las puertas, las baldosas del suelo, las baldosas del techo, la pintura de las paredes y los bastidores de los servidores, coinciden con las fotos y los vídeos proporcionados por una segunda fuente no relacionada.
En respuesta a las descripciones de estas unidades, Shanahan dijo: «Durante la construcción, antes del traspaso de las operaciones, no sería raro ver elementos como palés de madera desatendidos o cajas de cartón con discos duros nuevos que no contienen datos. Nuestra política de manipulación de soportes exige que los soportes usados pendientes de destrucción se depositen en contenedores cerrados con llave.»
Según Sanjukta Das Smith, catedrática de Ciencias y Sistemas de Gestión de la Escuela de Gestión de la Universidad de Buffalo y experta en recursos de centros de datos, la inversión insuficiente en seguridad de los centros de datos es un problema que afecta a todo el sector. En una entrevista, dijo: «Muchas veces, la seguridad tiende a pasar a un segundo plano, porque en la mayoría de las interacciones de cara al cliente, la atención se centra más en la experiencia del cliente: ¿cómo de rápido se cargan las cosas en sus dispositivos, y cuál es la estética de eso?».
A pesar de estos retos sistémicos, las prácticas descritas por los empleados de TikTok a veces divergían de las normas del sector descritas por Smith. Por ejemplo, en los centros de datos que ha visitado, dijo Smith, «incluso si tienes autorización previa, una vez que pasas por el registro, entonces no es como si alguien fuera libre de vagar por ahí. Es una experiencia escoltada». Pero aparentemente no es así en los centros de TikTok, donde una fuente dijo: «Nunca sabíamos realmente cuándo iban a aparecer estas personas, simplemente aparecían con un ticket y pedían que se les cortara el acceso, y alguien les cortaba el acceso y ellos entraban y hacían lo que fuera que hicieran y luego se iban».
Smith afirma que nunca ha visto que se utilicen unidades USB en centros de datos, pero que plantearían problemas adicionales, dada la facilidad con la que se puede instalar software malicioso en ellas.
Bruce Schneier, miembro del Berkman Klein Center for Internet & Technology de Harvard y profesor de la Harvard Kennedy School, advirtió que no se debe dar demasiada importancia a un hecho inexplicable. Haciendo una analogía con las afirmaciones sobre fraude electoral, dijo: «Es fácil encontrar cosas que parezcan sospechosas, pero es un poco como decir que hemos encontrado cajas de votos que no entendemos».
Al igual que Smith, Schneier señaló que los problemas de seguridad afectan a toda la industria. Mencionó Twitter, del que dijo que había tenido problemas con la seguridad debido a sus esfuerzos por crecer tan rápidamente. En cuanto a TikTok, dijo: «Estoy seguro de que hay negligencia. Como cualquier gran empresa tecnológica, les importan los beneficios, y la seguridad es cara».
Seguridad en los edificios, riesgos de incendio y criptominería
El informe de FORBES también descubrió otros problemas con los centros de datos de Virginia. Las fuentes expresaron su preocupación por la seguridad de los edificios: tres de ellas dijeron que en ocasiones se les pedía que trabajaran en edificios que aún estaban en construcción y que, en algunos edificios, las alarmas de las puertas saltan con tanta frecuencia que carecen de sentido. (TikTok dijo que las alarmas de las puertas se investigan en función de las necesidades).
Las fotos y vídeos del interior de los centros de datos también mostraban palés de madera y cajas de cartón abandonados por los mensajeros en las salas de servidores, lo que supone un riesgo de incendio si se suma al ocasional sobrecalentamiento de los servidores. Las grabaciones de audio de las reuniones internas de TikTok señalan que el calor en estos centros de datos ya había sido un problema anteriormente: En una reunión de septiembre de 2021, se puede escuchar a un director de Confianza y Seguridad describiendo un caso en el que los servidores de Virginia se sobrecalentaron y los datos de los usuarios estadounidenses se enviaron a servidores de Singapur hasta que se pudo solucionar el problema.
«A ByteDance no le importaba nada»
Seis fuentes también dijeron de forma independiente a FORBES que habían oído hablar de empleados que utilizaban los servidores para minar criptomonedas. TikTok dijo que esto sería una violación de sus políticas y que tiene «controles de seguridad para identificar y prevenir este tipo de comportamiento.»
Smith, el profesor de administración, enfatizó lo difícil que puede ser mantener seguro un centro de datos masivo. “El volumen de interacciones con el que estaría lidiando una aplicación como TikTok, millones de interacciones, la gran mayoría de las cuales son benignas, es un problema con el que están lidiando con una aguja en un pajar”. También señaló que los centros de datos a menudo no revelan todas las protecciones que tienen, porque hacerlo les daría a los piratas informáticos una hoja de ruta para superarlas.
Aun así, seis de los empleados dijeron que la seguridad en los centros de datos de TikTok era más débil que la de otros centros de datos en los que habían trabajado.
«A ByteDance simplemente no le importaba nada», dijo una fuente, señalando que la compañía a menudo sacrificaba las normas de seguridad para poner los servidores en funcionamiento más rápidamente. «Se limitaban a avanzar lo más rápido posible».
Esta historia ha sido actualizada con comentarios adicionales emitidos por TikTok.
