Forbes Uruguay
tiktok
Innovacion

El navegador de TikTok incluye un código que puede monitorear los movimientos de las teclas, alerta un estudio

Richard Nieva

Share

El seguimiento haría posible que TikTok capture la información de las tarjetas de crédito o las contraseñas de un usuario, de acuerdo a una nueva investigación compartida con Forbes.

21 Agosto de 2022 13.13

Cuando los usuarios de TikTok ingresan a un sitio web a través de un enlace en la aplicación, TikTok inserta un código que puede monitorear gran parte de su actividad en esos sitios web externos, incluidas las pulsaciones de teclas y todo lo que tocan en la página, según una nueva investigación compartida con Forbes. El seguimiento haría posible que TikTok capture la información de las tarjetas de crédito o las contraseñas de un usuario.

TikTok tiene la capacidad de monitorear esa actividad debido a las modificaciones que realiza en los sitios web utilizando el navegador integrado en la aplicación de la empresa, que es parte de la propia aplicación. Cuando las personas tocan los anuncios de TikTok o visitan enlaces en el perfil de un creador, la aplicación no abre la página con navegadores normales como Safari de Apple o Chrome de Google. En su lugar, el valor predeterminado es un navegador en la aplicación hecho por TikTok que puede reescribir partes de las páginas web.

TikTok puede rastrear esta actividad inyectando líneas del lenguaje de programación JavaScript en los sitios web visitados dentro de la aplicación, creando nuevos comandos que alertan a TikTok sobre lo que las personas están haciendo en esos sitios web.

TikTok.
 

“Esta fue una elección activa que hizo la compañía”, dijo Felix Krause, un investigador de software con sede en Viena, quien publicó un informe sobre sus hallazgos el jueves. “Esta es una tarea de ingeniería no trivial. Esto no sucede por error o al azar”. Krause es el fundador de Fastlane, un servicio para probar e implementar aplicaciones, que Google adquirió hace cinco años.

Tiktok rechazó enérgicamente la idea de que está rastreando a los usuarios en su navegador integrado en la aplicación. La compañía confirmó que esas características existen en el código, pero dijo que TikTok no las está usando.

TikTok
 

“Al igual que otras plataformas, usamos un navegador en la aplicación para brindar una experiencia de usuario óptima, pero el código Javascript en cuestión se usa solo para depurar, solucionar problemas y monitorear el rendimiento de esa experiencia, como verificar qué tan rápido carga una página o si se bloquea”, sostuvo la vocera Maureen Shanahan en un comunicado.

La compañía dijo que el código JavaScript es parte de un kit de desarrollo de software de terceros (o SDK, por sus siglas en inglés), un conjunto de herramientas utilizadas para crear o mantener aplicaciones. TikTok dijo que el SDK incluye funciones que la empresa no usa. TikTok no respondió preguntas sobre el SDK o qué terceros lo fabrican.

Si bien la investigación de Krause revela el código que las empresas están inyectando en los sitios web desde sus navegadores integrados en la aplicación, la investigación no muestra que estas empresas realmente estén usando ese código para recopilar datos, enviarlos a sus servidores o compartirlos con terceros. La herramienta tampoco revela si alguna de las actividades está vinculada a la identidad o el perfil de un usuario. Aunque Krause pudo identificar algunos ejemplos específicos de lo que las aplicaciones pueden rastrear (como la capacidad de TikTok para monitorear las pulsaciones de teclas), dijo que su lista no es exhaustiva y que las empresas podrían monitorear más.
 

Nueva investigación


La nueva investigación sigue a un informe de Krause sobre los navegadores en las aplicaciones, que se centró específicamente en las aplicaciones propiedad de Meta, Facebook, Instagram y Facebook Messenger. WhatsApp, que también es propiedad de la empresa, parece estar libre de problemas porque no utiliza un navegador integrado en la aplicación.

Krause también lanzó el jueves una herramienta que permite a las personas verificar si el navegador que están usando inyecta algún código nuevo en los sitios web y qué actividad podría estar monitoreando la compañía. Para usar la herramienta para verificar el navegador de Instagram, por ejemplo, envíe el enlace InAppBrowser.com a un amigo en un mensaje directo (o pídale a un amigo que le envíe el enlace por DM). 

TikTok
 

Si hace clic en el enlace en el DM, la herramienta le dará un resumen de lo que la aplicación está rastreando potencialmente, aunque la herramienta usa varios términos de desarrollador y puede ser difícil de descifrar para los que no codifican.

Para su nueva investigación, Krause probó siete aplicaciones para iPhone que usan navegadores integrados en la aplicación: TikTok, Facebook, Facebook Messenger, Instagram, Snapchat, Amazon y Robinhood. (No probó las versiones para Android, el sistema operativo móvil de Google).

De las siete aplicaciones que probó Krause, TikTok es la única que parece monitorear las pulsaciones de teclas, dijo, y parecía estar monitoreando más actividad que el resto. Al igual que TikTok, Instagram y Facebook rastrean cada toque en un sitio web. Esas dos aplicaciones también monitorean cuando las personas resaltan texto en los sitios web.

Meta no respondió preguntas específicas relacionadas con el seguimiento, pero dijo que los navegadores en la aplicación son “comunes en toda la industria”. La portavoz Alisha Swinteck dijo que los navegadores de la compañía habilitan ciertas funciones, como permitir que el autocompletado se complete correctamente y evitar que las personas sean redirigidas a sitios maliciosos. (Sin embargo, los navegadores, incluidos Safari y Chrome, también tienen esas características).

“Agregar cualquiera de estos tipos de características requiere un código adicional”, dijo Swinteck en un comunicado. “Hemos diseñado cuidadosamente estas experiencias para respetar las opciones de privacidad de los usuarios, incluida la forma en que se pueden usar los datos para los anuncios”.

Meta también dijo que los nombres de los scripts que aparecen en la herramienta pueden ser engañosos porque son términos técnicos de Javascript que las personas pueden malinterpretar. Por ejemplo, “mensaje” en este contexto se refiere a componentes de código que se comunican entre sí, no a mensajes de texto personales.

Snapchat parecía ser el menos ávido de datos. Su navegador en la aplicación no parecía inyectar ningún código nuevo en las páginas web. Sin embargo, las aplicaciones tienen la capacidad de ocultar su actividad de JavaScript de los sitios web (como la herramienta de Krause) debido a una actualización del sistema operativo que Apple realizó en 2020. 

Por lo tanto, es posible que algunas aplicaciones ejecuten comandos sin detección. Snapchat no respondió a una solicitud de comentarios sobre qué actividad, si es que hay alguna, se monitorea en su navegador integrado en la aplicación.

Tik Tok
 

El navegador integrado en la aplicación no es tan frecuente en TikTok como en Instagram. TikTok no permite que los usuarios hagan clic en enlaces en mensajes directos, por lo que el navegador de la aplicación suele aparecer cuando las personas hacen clic en anuncios o enlaces en el perfil de un creador o marca.
 

Límites de la privacidad sobre la mesa


La investigación de seguimiento del navegador se produce cuando TikTok, propiedad de la empresa matriz china ByteDance, enfrenta un intenso escrutinio sobre los límites de su posible vigilancia y preguntas sobre sus vínculos con el gobierno chino. En junio, BuzzFeed News informó que se había accedido repetidamente a datos de usuarios estadounidenses desde China. La compañía también ha estado trabajando para trasladar parte de la información de los usuarios de EE.UU. a los Estados Unidos, para que se almacene en un centro de datos administrado por Oracle, en un esfuerzo conocido internamente como Proyecto Texas.

Pero el seguimiento potencial también podría comprometer la privacidad relacionada con las elecciones. TikTok anunció el miércoles sus esfuerzos en la integridad electoral, antes de las elecciones intermedias de EE.UU. La iniciativa incluye un nuevo Centro de Elecciones, que conecta a las personas con información autorizada de fuentes confiables, incluida la Asociación Nacional de Secretarios de Estado y Ballotpedia.

TikTok promete explícitamente la privacidad como parte de la iniciativa. “Para cualquier acción que requiera que un usuario comparta información, como registrarse para votar, los usuarios serán redirigidos de TikTok al sitio web del estado o de la organización sin fines de lucro relevante para llevar a cabo ese proceso”, dijo la compañía en un comunicado. publicación de blog “TikTok no tendrá acceso a ninguno de esos datos o actividades fuera de la plataforma”.

Redes sociales. Tik Tok.
 

Es probable que TikTok use su navegador en la aplicación para abrir esos sitios web. La herramienta de Krause sugiere que TikTok podría tener acceso a esa información, lo que podría permitir que la empresa rastree la dirección, la edad y el partido político de alguien. TikTok también rechazó ese escenario, nuevamente enfatizando que si bien esas funciones de seguimiento existen en el código, la compañía no las usa.

Algunos expertos en privacidad también se resisten al tipo de monitoreo de pulsaciones de teclas que TikTok parece ser capaz de hacer. “Es muy astuto”, dijo Jennifer King, investigadora de política de privacidad y datos en el Instituto de Inteligencia Artificial Centrada en el Humano de la Universidad de Stanford. “La suposición de que sus datos se leen previamente incluso antes de que los envíe, creo que se pasa de la raya”.

TikTok
 

Krause dijo que le gustaría ver que la industria se alejara de los navegadores integrados en las aplicaciones, y en su lugar usara navegadores como Safari o Chrome, que las personas generalmente tienen configurados como navegadores predeterminados en sus teléfonos. Apple no respondió a una solicitud de comentarios preguntando si la compañía tomaría medidas enérgicas contra los navegadores en la aplicación, requiriendo que las aplicaciones usen el navegador predeterminado de un dispositivo.

Tanto TikTok como Meta ofrecen la opción de abrir enlaces en Safari o en el navegador predeterminado de su teléfono, pero solo después de que las aplicaciones lo lleven primero a sus respectivos navegadores en la aplicación. La opción predeterminada también se encuentra detrás de una pantalla de menú tanto en TikTok como en Instagram, lo que ya está demasiado fuera del camino para muchos usuarios que ni siquiera saben que existe la opción.
 

*Publicada en Forbes Perú
 

10