Empresas

Así es como gobierno chino inspeccionó la plataforma que guarda los secretos corporativos de TikTok

Una aplicación de ByteDance llamada Feishu, que contiene casi todas las comunicaciones internas de TikTok, fue objeto de una "amplia inspección" antes del XX National Congress of the Chinese Communist Party (CCP) el pasado otoño. Pero TikTok dice que no se accedió a información confidencial.

La plataforma interna de colaboración en el lugar de trabajo de TikTok, que alberga parte de la información más sensible de la compañía, fue inspeccionada por el gobierno chino antes del XX National Congress of the Chinese Communist Party (CCP), tal y como ha podido saber Forbes.

Realizada en octubre de 2022, la revisión abarcó una amplia franja de información interna relacionada con Feishu, la principal herramienta de trabajo de TikTok, incluida «la seguridad de la red de productos, la seguridad de los datos, la información personal y las operaciones diarias», según un documento revisado por Forbes.

Feishu es un producto de ByteDance comparable a Google Docs y Microsoft Office que aloja los documentos, chats, reuniones, calendarios y otros registros empresariales de los empleados de TikTok. En el último año, Forbes ha revisado cientos de materiales internos de TikTok almacenados en Feishu, incluida información privilegiada entre abogado y cliente, borradores de políticas de contenido e información relacionada con la entidad de Seguridad de Datos de Estados Unidos de TikTok, que se supone que acordona los datos de los usuarios estadounidenses.

Se trata del primer informe que revela un nivel de acceso directo de funcionarios del Gobierno chino a un producto que aloja parte de la información más secreta de TikTok, y los documentos demuestran que –al menos por ahora– TikTok sigue dependiendo de los sistemas de su empresa matriz ByteDance, que están sujetos al control regulador chino.

La revisión se mencionaba en una serie de informes que el personal de seguridad de TikTok recibió de ByteDance en octubre de 2022 sobre los preparativos del XX National Congress of the CCP, un acontecimiento de una semana de duración que se celebra cada cinco años y en el que el partido elige a su comité de dirección y define su estrategia para el próximo quinquenio. La empresa ha reforzado sus protocolos de seguridad y ha aumentado el número de personas que trabajan en la moderación de contenidos, medidas similares a las adoptadas por las empresas tecnológicas estadounidenses antes de las elecciones presidenciales de 2016 y 2020.

Pero también había abierto sus puertas a los reguladores chinos para una «inspección reguladora in situ» y «cumplía los requisitos de inspección ad hoc de la Administración Nacional de Radio y Televisión (Pekín), la Administración del Ciberespacio de China, la Administración Nacional de Oficinas Gubernamentales y el Cuerpo de Ciberseguridad», según un documento revisado por Forbes. Junto con Feishu, que también utilizan algunas empresas nacionales chinas, la inspección también abarcó productos como Toutiao, Douyin y Ocean Engine, que están disponibles en China.

Según Jodi Seth, portavoz de ByteDance, TikTok no estaba entre los productos cubiertos. «Aunque algunos productos de ByteDance no están disponibles en China, otros, como Douyin y Toutiao, sí operan en el país y se rigen por las leyes y normativas chinas. Las inspecciones a las que se hace referencia en el documento son para comprobar y proteger la privacidad y las vulnerabilidades de seguridad», dijo.

Cuando se le preguntó si la inspección dio a los reguladores chinos acceso a información propiedad de TikTok dentro de Feishu, el portavoz de TikTok Alex Haurek dijo: «no, porque no se centraron en las comunicaciones de los empleados». Seth y Haurek no respondieron a las preguntas sobre si ByteDance había puesto anteriormente las comunicaciones de los empleados de TikTok a disposición del gobierno chino.

Tras la publicación de esta historia, Seth proporcionó una declaración adicional: «No hemos puesto a disposición del gobierno las comunicaciones internas de los empleados como parte de esta revisión. Sólo proporcionaríamos dichas comunicaciones para un propósito específico, como una investigación de actividad criminal, de acuerdo con la legislación local de la misma manera que cumplimos con las solicitudes legales válidas en cualquier país».

Xiao Qiang, director del China Internet Center de la Universidad de Berkeley, declaró a Forbes que las inspecciones gubernamentales de empresas tecnológicas en China son rutinarias, especialmente antes de grandes eventos como el Congreso Nacional. En cuanto a si esas inspecciones podrían incluir una revisión de los registros de TikTok almacenados en Feishu, «depende del nivel de las inspecciones», dijo.

Los documentos revisados por Forbes también mostraban que los preparativos para el XX Congreso Nacional iban más allá de las inspecciones; uno de ellos señalaba que ByteDance planeaba hacer un «seguimiento reforzado del sentimiento público». Forbes informó anteriormente sobre las listas de palabras utilizadas por ByteDance para rastrear las conversaciones públicas sobre docenas de temas que van desde el Tíbet y Taiwán a «parejas uigur-Han», y «palabras prohibidas especiales para Xi y Peng».

El documento también señalaba que ByteDance había «ampliado la información de seguridad para cubrir seis grupos de telegramas externos más activos relacionados con la política durante el XX Congreso Nacional». Seth declaró a Forbes que ByteDance emprendió la vigilancia de Telegram para protegerse de los hackers que utilizan métodos como el phishing para infiltrarse en los sistemas de la empresa. Telegram no respondió a la solicitud de comentarios.

El consejero delegado de TikTok, Shou Zi Chew, ha declarado bajo juramento que la empresa no ha compartido datos de usuarios de TikTok con el gobierno chino y que desafiaría una orden del CCP para hacerlo. La matriz de TikTok, ByteDance, no ha hecho tal promesa, aunque un proyecto de acuerdo entre ByteDance y el gobierno (que las partes aún no han acordado) exigiría a ByteDance «destruir irremediablemente» todos los datos de usuarios estadounidenses en su poder. El borrador del acuerdo también otorgaría a las autoridades estadounidenses el derecho a inspeccionar las oficinas y los productos de TikTok en Estados Unidos, de forma potencialmente similar a la inspección de las oficinas de ByteDance en China por parte del gobierno chino.

A través de iniciativas conocidas como Proyecto Texas en EE UU y Proyecto Clover en Europa, TikTok ha tratado de reducir el grado en que la información privada de los usuarios de TikTok está a disposición de los empleados en China. Una vez finalizados estos proyectos, en teoría, los empleados chinos de ByteDance no podrían entregar datos de usuarios extranjeros al gobierno chino, aunque se les pidiera que lo hicieran. Pero ni el Proyecto Texas ni el Proyecto Clover están aún terminados, y no está claro que los planes satisfagan a los gobiernos de EE UU y la UE.

Mientras tanto, ByteDance ha seguido asociándose con el gobierno chino en su negocio nacional. A partir de 2019, había una sala en la sede de la compañía en Beijing que albergaba un equipo de agentes de policía de ciberseguridad del gobierno chino, de modo que cuando los moderadores de contenido identificaban un comportamiento ilegal, la compañía podía denunciarlo al instante. También en 2019, ByteDance estableció una asociación estratégica con Beijing Time, un medio de comunicación controlado por el Estado, y se asoció con el conglomerado estatal China Mobile. Ha firmado un contrato de infraestructura de diez años con la empresa estatal China Telecom United Corporation.

Seth describió la asociación con Beijing Time como un acuerdo de licencia, y señaló que todas las empresas que hacen negocios con proveedores de telecomunicaciones en China deben trabajar con entidades estatales. Dijo respecto a la sala que alberga a los funcionarios chinos de ciberseguridad: «De acuerdo con la legislación china, las plataformas online que operan en China están obligadas a permitir que los inspectores examinen los procesos de moderación de contenidos centrados en áreas como el fraude y los ciberdelitos».

Al igual que otras empresas tecnológicas chinas (e incluso algunas estadounidenses, como Disney), también existe un comité interno del CCP en ByteDance. Según China Digital Times, un medio dirigido por Qiang, el académico de Berkeley, el gobierno chino dio instrucciones a las empresas tecnológicas del país para que establecieran estos comités a finales de 2017. Artículos de medios estatales chinos ya eliminados y publicaciones en redes sociales conservadas por China Digital Times muestran fotos de reuniones del comité ByteDance. Una foto conservada por el grupo mostraba una placa otorgada a ByteDance por el gobierno por «innovación en la construcción del partido».

Seth, la portavoz de ByteDance, dijo que la propia ByteDance no tiene un comité del partido, pero que su filial, Douyin Group, sí lo tiene. Explicó que la placa que aparecía en el reportaje de China Digital Times correspondía al comité de Douyin, y no a un comité general de ByteDance, y que el comité de Douyin no influye en la toma de decisiones empresariales de la empresa.

Qiang declaró a Forbes que los comités corporativos del partido son importantes porque proporcionan vías no oficiales para que los líderes del partido se comuniquen con las empresas. Señaló que estos canales pueden ser «incluso más importantes» que sus homólogos formales, porque «no tienen por qué ser oficiales a nivel gubernamental».

*Este artículo se ha actualizado con comentarios adicionales de ByteDance.

Artículos relacionados