Cuando los usuarios de TikTok entran en un sitio web a través de un enlace en la aplicación, la red social inserta un código que puede monitorizar gran parte de tu actividad en esas páginas de internet externas, incluyendo los clics y lo que seleccionan en la página, según una nueva investigación compartida con FORBES. El seguimiento permitiría a TikTok capturar la información de la tarjeta de crédito o la contraseña de un usuario.
TikTok tiene la capacidad de controlar esa actividad gracias a las modificaciones que realiza en los sitios web mediante el navegador de la empresa, que forma parte de la propia aplicación. Cuando los usuarios pinchan en los anuncios de TikTok o visitan los enlaces, la aplicación no abre la página con navegadores normales como Safari o Chrome. En su lugar, se abre por defecto un navegador de la aplicación creado por TikTok que puede reescribir partes de las páginas web.
La red social puede rastrear esta actividad inyectando líneas del lenguaje de programación JavaScript en los sitios web visitados dentro de la app, creando nuevos comandos que alertan a TikTok de lo que la gente está haciendo en esos sitios web.
«Se trata de una elección activa de la empresa», afirma Felix Krause, un investigador de software con sede en Viena, que publicó el jueves un informe sobre sus hallazgos. «Se trata de una tarea de ingeniería no trivial. Esto no ocurre por error o al azar«. Krause es el fundador de Fastlane, un servicio para probar y desplegar aplicaciones, que Google adquirió hace cinco años.
Por su parte, Tiktok ha rechazado la idea de que se esté rastreando a los usuarios en su navegador dentro de la aplicación. La empresa confirmó que esas funciones existen en el código, pero dijo que TikTok no las utiliza.
«Al igual que otras plataformas, utilizamos un navegador dentro de la aplicación para proporcionar una experiencia de usuario óptima, pero el código Javascript en cuestión se utiliza sólo para la depuración y la solución de problemas y la supervisión del rendimiento de esa experiencia, como la comprobación de la rapidez con que se carga una página o si se bloquea», explicó la portavoz Maureen Shanahan en un comunicado.
La compañía dijo que el código JavaScript es parte de un kit de desarrollo de software de terceros, o SDK, un conjunto de herramientas utilizadas para construir o mantener aplicaciones. El SDK incluye características que la aplicación no utiliza, aseguró la compañía. TikTok no ha respondido a las preguntas sobre el SDK, ni sobre qué tercero lo fabrica.
Aunque la investigación de Krause revela el código que empresas como TikTok y la matriz de Facebook, Meta, inyectan en los sitios web desde sus navegadores in-app, la investigación no muestra que estas empresas utilicen realmente ese código para recoger datos, enviarlos a sus servidores o compartirlos con terceros. La herramienta tampoco revela si alguna de las actividades está vinculada a la identidad o el perfil de un usuario. Aunque Krause pudo identificar algunos ejemplos específicos de lo que las aplicaciones pueden rastrear (como la capacidad de TikTok de controlar el número de teclas), dijo que su lista no es exhaustiva y que las empresas podrían estar controlando más cosas.
La nueva investigación sigue a un informe realizado la semana pasada por Krause sobre los navegadores in-app, que se centró específicamente en las aplicaciones propiedad de Meta, Facebook, Instagram y Facebook Messenger. WhatsApp, que también es propiedad de la compañía, parece estar al margen porque no utiliza un navegador in-app.
Krause también publicó el jueves una herramienta que permite comprobar si el navegador que se utiliza inyecta algún código nuevo en los sitios web, y qué actividad podría estar vigilando la compañía. Para utilizar la herramienta para comprobar el navegador de Instagram, por ejemplo, envía el enlace InAppBrowser.com a un amigo en un mensaje directo (o pídele a un amigo que te envíe un DM con el enlace). Si haces clic en el enlace del mensaje directo, la herramienta te dará un resumen de lo que la aplicación puede estar rastreando, aunque la herramienta utiliza varios términos de desarrollador y puede ser difícil de descifrar para los que no son codificadores.
Para su nueva investigación, Krause probó siete aplicaciones de iPhone que utilizan navegadores dentro de la aplicación: TikTok, Facebook, Facebook Messenger, Instagram, Snapchat, Amazon y Robinhood. (No probó las versiones para Android, el sistema operativo móvil de Google).
De las siete aplicaciones probadas por Krause, TikTok es la única que parece monitorizar los clics del teclado, dijo, y parecía monitorizar más actividad que el resto. Al igual que TikTok, Instagram y Facebook rastrean cada pulsación en un sitio web. Estas dos aplicaciones también monitorizan cuando la gente resalta el texto en las páginas web.
Meta no respondió a preguntas específicas relacionadas con el seguimiento, pero dijo que los navegadores in-app son «comunes en toda la industria«. La portavoz Alisha Swinteck explicó que los navegadores de la compañía permiten ciertas características, como permitir que el autocompletado se rellene correctamente y evitar que la gente sea redirigida a sitios maliciosos. (Sin embargo, navegadores como Safari y Chrome también tienen esas características).
«Añadir cualquiera de estos tipos de características requiere un código adicional», dijo Swinteck en un comunicado. «Hemos diseñado cuidadosamente estas experiencias para respetar las opciones de privacidad de los usuarios, incluido el uso de los datos para los anuncios».
Meta también dijo que los nombres de los scripts que aparecen en la herramienta pueden ser engañosos porque son términos técnicos de Javascript que la gente puede malinterpretar. Por ejemplo, «mensaje» en este contexto se refiere a componentes de código que se comunican entre sí, no a mensajes de texto personales.
Snapchat parece ser la que menos datos consume. Su navegador in-app no parecía inyectar ningún código nuevo en las páginas web. Sin embargo, las aplicaciones tienen la capacidad de ocultar su actividad de JavaScript de los sitios web (como la herramienta de Krause) debido a una actualización del sistema operativo que Apple hizo en 2020. Así que es posible que algunas apps estén ejecutando comandos sin ser detectadas. Snapchat no respondió a una solicitud de comentarios sobre qué actividad, si es que hay alguna, es monitoreada en su navegador in-app.
El navegador dentro de la aplicación no es tan frecuente en TikTok como en Instagram. TikTok no permite a los usuarios hacer clic en los enlaces de los mensajes de texto, por lo que el navegador de la aplicación suele aparecer cuando los usuarios hacen clic en los anuncios o en los enlaces del perfil de una marca.
‘Proyecto Texas’
La investigación sobre el rastreo del navegador se produce en un momento en el que TikTok, propiedad de la empresa matriz china ByteDance, se enfrenta a un intenso examen sobre los límites de su posible vigilancia, y a preguntas sobre sus vínculos con el gobierno chino. En junio, BuzzFeed News informó de que se había accedido repetidamente a datos de usuarios estadounidenses desde China. La empresa también ha estado trabajando para trasladar parte de la información de los usuarios estadounidenses a Estados Unidos, para almacenarla en un centro de datos gestionado por Oracle, en un esfuerzo conocido internamente como Proyecto Texas.
Pero el posible rastreo también podría comprometer la privacidad relacionada con las elecciones. TikTok anunció el miércoles sus esfuerzos en materia de integridad electoral, antes de las elecciones de mitad de período en Estados Unidos. La iniciativa incluye un nuevo Centro de Elecciones, que conecta a las personas con información autorizada de fuentes fiables, como la Asociación Nacional de Secretarios de Estado y Ballotpedia.
TikTok promete explícitamente la privacidad como parte de la iniciativa. «Para cualquier acción que requiera que un usuario comparta información, como registrarse para votar, los usuarios serán dirigidos fuera de TikTok al sitio web del estado o de la organización sin ánimo de lucro pertinente para llevar a cabo ese proceso», dijo la compañía en una entrada de blog. «TikTok no tendrá acceso a ninguno de esos datos o actividad fuera de la plataforma«.
La red social probablemente utilizará su navegador in-app para abrir esos sitios web. La herramienta de Krause sugiere que TikTok podría tener acceso a esa información, permitiendo potencialmente a la compañía rastrear la dirección, la edad y el partido político de alguien. TikTok también se ha opuesto a esta hipótesis, subrayando de nuevo que, aunque esas funciones de seguimiento existen en el código, la empresa no las utiliza.
Seguimiento de usuarios
En los últimos años, el modelo de negocio que hay detrás de las grandes empresas tecnológicas –en las que empresas como Facebook y Google acaparan datos de los usuarios para apuntalar sus máquinas de publicidad dirigida– se ha hecho ampliamente conocido, por lo que a algunas personas no les sorprende el seguimiento en los navegadores de las aplicaciones. Sin embargo, ni Meta ni TikTok tienen secciones específicas en sus políticas de privacidad en los navegadores de las aplicaciones que revelan esas prácticas de seguimiento a los usuarios.
Algunos expertos en privacidad también se oponen al tipo de monitorización de las pulsaciones que TikTok parece ser capaz de hacer. «Es muy engañoso», dice Jennifer King, miembro de la política de privacidad y datos del Instituto de Inteligencia Artificial Centrada en el Ser Humano de la Universidad de Stanford. «La suposición de que tus datos están siendo pre-leídos antes incluso de que los envíes, creo que cruza una línea«.
Krause dijo que le gustaría que la industria se alejara de los navegadores in-app, y que en su lugar utilizara navegadores como Safari o Chrome, que la gente suele tener configurados como navegadores por defecto en su teléfono. Apple no ha respondido a una solicitud de comentarios para saber si la empresa tomará medidas contra los navegadores integrados en las aplicaciones, exigiendo que éstas utilicen el navegador predeterminado del dispositivo.
Tanto TikTok como Meta ofrecen la opción de abrir enlaces en Safari o en el navegador por defecto del teléfono, pero sólo después de que las aplicaciones te lleven a sus respectivos navegadores in-app primero. Además, la opción por defecto se encuentra detrás de una pantalla de menú tanto en TikTok como en Instagram, lo que ya es demasiado evidente para muchos usuarios, que ni siquiera saben que la opción existe.
