Un equipo de ByteDance, con sede en China, dirigió múltiples auditorías e investigaciones sobre el exdirector de Seguridad Global de TikTok, con sede en Estados Unidos, que había sido responsable de supervisar los esfuerzos para minimizar el acceso de los empleados con sede en China a los datos de los usuarios estadounidenses, según los materiales internos de la empresa revisados por FORBES.

TikTok contrató a Roland Cloutier como su director de Seguridad Global en marzo de 2020, poco después de que el Comité de Inversiones Extranjeras en Estados Unidos (CFIUS) del Departamento del Tesoro abriera una investigación sobre los vínculos de TikTok con China. En declaraciones públicas, TikTok promocionó el trabajo de Cloutier, un veterano de la Fuerza Aérea de los Estados Unidos y exdetective de la policía de asuntos de veteranos, como prueba de que TikTok se tomaba en serio la ciberseguridad y los problemas de datos.

Pero según empleados actuales y antiguos, así como materiales internos revisados por FORBES, los esfuerzos de Cloutier por crear un equipo de seguridad sólido se vieron obstaculizados por el departamento de Auditoría Interna y Control de Riesgos de ByteDance, dirigido por Song Ye, un ejecutivo de Pekín.

Los materiales muestran que el dicho departamento lanzó múltiples auditorías e investigaciones sobre Cloutier, alegando que había impulsado contratos por millones de dólares con proveedores de seguridad con sede en Estados Unidos que eran sus amigos. FORBES no ha encontrado información que corrobore o refute de forma concluyente la veracidad de estas acusaciones.

Sin embargo, algunos empleados actuales y antiguos calificaron las investigaciones sobre Cloutier como expediciones de pesca pretextual diseñadas para encontrar una razón para expulsarlo de la empresa. Señalaron que el Chief Internal Auditor de TikTok, Chris Lepitak, había argumentado que algunos trabajos gestionados por el equipo de Cloutier en la red social deberían pertenecer al equipo de auditoría interna de ByteDance. Las fuentes puntualizaron que Lepitak indicó que Auditoría Interna debería supervisar áreas como el análisis forense digital y el riesgo interno, que son clave para garantizar la seguridad de los datos de los usuarios. Lepitak depende de Song Ye, que a su vez depende del cofundador y consejero delegado de ByteDance, Liang Rubo.

Investigaciones internas para cumplir las normas

TikTok y ByteDance no respondieron a las preguntas sobre por qué se investigó a Cloutier, si se le despidió o si se le echó de la empresa por su trabajo en los controles de acceso a los datos. La portavoz de ByteDance, Jennifer Banks, dijo que «cualquier investigación interna se lleva a cabo con la intención de mantener un lugar de trabajo seguro y conforme a las normas«, pero declinó hacer comentarios sobre investigaciones concretas.

Una de las investigaciones sobre Cloutier se centró específicamente en la relación de la Organización de Seguridad Global con el gigante de la consultoría Booz Allen Hamilton. Varios exempleados de Booz trabajan actualmente en el equipo de seguridad de TikTok. Entre otras cosas, Booz ayudaba a la red social a gestionar el acceso de los empleados con sede en China a los datos de los usuarios estadounidenses. Anteriormente, Booz declinó hacer comentarios sobre su relación con TikTok, y no respondió inmediatamente a una solicitud de comentarios.

Negociando un contrato con CFIUS

TikTok está negociando actualmente un contrato de seguridad nacional con el CFIUS que regirá la forma en que la aplicación de medios sociales de propiedad china maneja los datos personales de los usuarios estadounidenses. Antes de dejar su puesto en la empresa en julio de 2022, Cloutier había estado trabajando en la reducción del acceso de los empleados con sede en China a los datos: en una publicación de blog de abril de 2020, escribió: «Nuestro objetivo es minimizar el acceso a los datos en todas las regiones para que, por ejemplo, los empleados de la región APAC, incluida China, tengan un acceso mínimo a los datos de los usuarios de la UE y de Estados Unidos».

BuzzFeed News informó en junio de que los empleados de China habían accedido repetidamente a los datos de los usuarios de EE UU hasta al menos enero de 2022. FORBES informó la semana pasada de que el departamento de Auditoría Interna de ByteDance –el mismo que investigó a Cloutier– planeaba vigilar la ubicación de los ciudadanos estadounidenses a través de la aplicación TikTok.

Cloutier no respondió a las múltiples solicitudes de comentarios. TikTok anunció que dejaba su cargo de director de seguridad en julio, y su perfil de LinkedIn dice que dejó la empresa en septiembre.

El portavoz de ByteDance, Banks, dijo en un comunicado que el equipo de Auditoría Interna es «responsable de auditar y evaluar objetivamente la empresa y la adhesión de nuestros empleados a nuestros códigos de conducta«.

TikTok no comentó una lista detallada de puntos y preguntas de FORBES sobre las investigaciones de Cloutier y otras investigaciones realizadas por el equipo de Auditoría Interna de ByteDance. Sin embargo, en respuesta al informe anterior de FORBES sobre el equipo, el departamento de comunicación de TikTok tuiteó: «Nuestro equipo de Auditoría Interna sigue políticas y procesos establecidos para adquirir la información que necesitan para llevar a cabo investigaciones internas de violaciones de los códigos de conducta de la compañía[.]».

Auditoría Interna depende de ByteDance

A pesar de que TikTok afirma que la Auditoría Interna es «nuestro» equipo, los materiales internos indican que el equipo de Auditoría Interna no depende de ningún miembro del equipo ejecutivo de TikTok, sino que depende directamente de los ejecutivos de ByteDance en China. La red social no respondió a la pregunta de por qué se refería al equipo de Auditoría Interna de esta manera.

Los materiales también muestran que las investigaciones llevadas a cabo por Auditoría Interna han sido a menudo extensas, incluyendo contratos con empresas de seguridad externas y revisiones de muchos miles de correos electrónicos, correspondencia de los empleados y mensajes en Lark, el software de gestión interna del lugar de trabajo de ByteDance. Los materiales también muestran que algunas investigaciones se han mantenido confidenciales a los gerentes de los empleados y a RRHH.

Cloutier no ha sido el único expulsado

Cloutier tampoco es el único ejecutivo estadounidense que fue objeto de la auditoría interna. Dos fuentes también dijeron que al menos otro ejecutivo, el exjefe Global de Marketing de TikTok, Nick Tran, también fue expulsado por acusaciones de conflictos de intereses debido a relaciones personales, lo que las fuentes caracterizaron como una excusa para despedir al empleado. Tran no quiso hacer comentarios.

Tres empleados actuales y antiguos también describieron una lista de empleados de TikTok –algunos de los cuales ya han abandonado la empresa– a los que ByteDance esperaba expulsar de sus puestos. Ni TikTok ni ByteDance comentaron la existencia de dicha lista. Financial Times informó anteriormente de que TikTok había creado una «lista de bajas» para los empleados que quería expulsar de la empresa. En ese momento, la red social dijo al periódico que era «incapaz de encontrar ninguna lista que coincidiera con esta descripción».

Sin jefe de Seguridad Global

TikTok aún no ha nombrado a su próximo jefe de Seguridad Global, pero los documentos muestran que la Organización de Seguridad Global de la compañía está actualmente en medio de una reestructuración corporativa, destinada a abordar los «puntos débiles», incluida la redundancia entre los equipos. TikTok y ByteDance declinaron responder a preguntas sobre si la reestructuración cambiaría la división de responsabilidades entre la Organización de Seguridad Global de TikTok y el equipo de Auditoría Interna de ByteDance.

En el pasado, TikTok ha tenido problemas para retener a los ejecutivos con sede en Estados Unidos. En septiembre, FORBES informó de que al menos cinco altos cargos de TikTok habían dejado la empresa porque consideraban que no podían contribuir a la toma de decisiones clave. Al parecer, el departamento de Auditoría Interna de ByteDance descubrió lo mismo: una evaluación de riesgos preparada por el departamento a finales de 2021 mostró que numerosos empleados senior sentían «que ellos mismos y sus equipos son sólo ‘figuras decorativas’ o ‘defensores del pueblo sin poder'» que están «funcionalmente sujetos al control de los equipos basados en la CN».

Ni TikTok ni ByteDance comentaron la evaluación de riesgos.

Biden opina

El mes pasado, el presidente Biden emitió una orden ejecutiva en la que instruía al CFIUS para que examinara más detenidamente los riesgos que plantea el acceso de las empresas extranjeras a los datos privados de los estadounidenses. Este lunes 24 de octubre, el Departamento de Justicia celebró una rueda de prensa para anunciar las acusaciones contra dos funcionarios de inteligencia del gobierno chino que supuestamente trataron de obstaculizar una investigación federal sobre presuntas infracciones de Huawei, el gigante de las telecomunicaciones con sede en China. (Huawei no respondió inmediatamente a una solicitud de comentarios).

En la conferencia de prensa, la fiscal general adjunta, Lisa Monaco, que al parecer se encuentra entre los funcionarios que revisan el acuerdo entre TikTok y el CFIUS, dijo sobre el caso de Huawei: «Este caso expone la interconexión entre los funcionarios de inteligencia de la República Popular China y las empresas chinas. Y demuestra una vez más por qué no se debe confiar en esas empresas, especialmente en el sector de las telecomunicaciones, para que manejen de forma segura nuestros datos y comunicaciones personales sensibles».

Richard Nieva contribuyó con su informe.