La conclusión principal del autor del informe, Thomas Perkins, es que “la aplicación móvil de TikTok no prioriza la privacidad. Los permisos y la recogida de datos del dispositivo son excesivamente intrusivos y no son necesarios para que el programa funcione”.
TikTok IOS 25.1.1 también incluye una conexión de servidor con China continental, que está gestionada por Guizhou Baishan Cloud Technology Co Ltd, una de las 100 mejores empresas chinas de ciberseguridad y datos.
La investigación de Perkins incluye una cantidad ingente de datos a los que la aplicación TikTok puede acceder mientras funciona, como la ubicación del dispositivo, el calendario, los contactos, otras aplicaciones en ejecución, las redes wi-fi, el número de teléfono e incluso el número de serie de la tarjeta SIM.
“La mayoría de los datos de acceso y del dispositivo que se recogen no son necesarios para que el programa TikTok funcione correctamente”, dice el estudio. “Esto nos lleva a concluir que esta información se obtuvo únicamente con fines de recolección de datos. También cabe destacar que, normalmente, el dispositivo sólo necesita pedir permiso al usuario para ejecutar cada una de estas acciones una vez, tras lo cual procederá posteriormente en conformidad con las preferencias del usuario. La aplicación de TikTok, en cambio, tiene una cultura de acceso persistente o de pedir constantemente al usuario que revierta una decisión. La comprobación de la ubicación cada hora también es innecesaria. Por último, la recopilación de datos del mapeo del dispositivo, el acceso al almacenamiento externo, los contactos y las aplicaciones de terceros permite a TikTok rehacer el teléfono a semejanza del dispositivo original”.
El hallazgo más preocupante de la investigación es el vínculo inexplicable con un servidor mantenido por Guizhou BaishanCloud Technology Co Ltd en la China continental.
Más información sobre TikTok en Diario TI
TikTok recoge un volumen importante de datos para permitir el “fingerprinting”, o la capacidad de rastrear a los usuarios de una aplicación a otra. Perkins afirma que varios aspectos del rastreo de TikTok son exclusivos del servicio, como la insistencia de la empresa en que los usuarios proporcionen acceso a su campo de contactos, señalando que “si el usuario rechaza el acceso, le pide constantemente que acceda hasta que lo permita”. Esto forma parte de la estrategia de “growth hacking” de TikTok, que consiste en un conjunto de políticas y tácticas destinadas a aumentar la captación de usuarios. “TikTok puede proponerte que sigas a personas que conoces obteniendo tu lista de contactos; puede iniciar su personalización algorítmica aportando datos sobre lo que les gusta a tus amigos; y puede potenciar el uso de la aplicación por parte de tus amigos notificándoles cuando un compañero se ha registrado”, escribe Perkins, agregando que “TikTok anima a los usuarios a seguir a un amigo que les haya enviado un enlace a una publicación. TikTok lleva el growth hacking a un nivel vergonzoso”.