«Alejaos de TikTok, es una app francamente malvada» afirma un experto en seguridad

Bangorlol es un ingeniero de software con más de 15 años de experiencia que, hace dos meses, hizo un comentario en una discusión sobre TikTok en Reddit.

Este experto en descifrar cómo funcionan apps por dentro afirmó haber realizado con éxito ingeniería inversa sobre la app TikTok y compartió lo que aprendió sobre esta red social de compartición de vídeos cortos.

Básicamente, recomienda encarecidamente que la gente no vuelva a utilizar la aplicación, advirtiendo sobre el seguimiento exhaustivo que hace de la actividad de los usuarios y otros problemas. Considerando que TikTok fue la cuarta aplicación gratuita más popular para iPhone en 2019, esto es bastante alarmante.

Bangorlol no es ningún recién llegado. Los últimos años de su carrera han sido dedicados a descifrar el funcionamiento de aplicaciones móviles para construir funcionalidad adicional de terceros a su alrededor.

«Un ejemplo sería que me diera cuenta de que Twitter no muestra una línea de tiempo secuencial (es solo un ejempl, ni idea de si lo hacen o no) en el sitio web, sino que lo hace en la app. Yo entraría en la versión de Android o iOS, encontraría las solicitudes mediante las que obtienen los datos correctos, y construiría una herramienta de terceros (aplicación, sitio web, extensión del navegador) para dar a los usuarios esta funcionalidad».

El equipo de desarrollo chino tardó 200 días en crear la versión original de TikTok y se esforzó mucho en evitar que gente como Bangorlol descubriera cómo funciona su aplicación. «Hay un montón de ofuscación en todos los niveles de la aplicación […] Ocultan funciones, evitan que los depuradores se conecten, y emplean bastantes trucos furtivos para dificultar las cosas.», explicó Bangorlol.

Ese secreto es comprensible. Las ganancias de TikTok han aumentado proporcionalmente al incremento de su popularidad y su propietario ByteDance obtuvo un beneficio neto de 3.000 millones de dólares el año pasado.

Bangorlol piensa que como sociedad hemos asumido como algo normal la entrega de nuestra información personal y ya no tenemos expectativas de privacidad y seguridad, por lo que entregar a TikTok nuestros datos junto con nuestro dinero no es nada sorprendente

«Tiktok es un servicio de recolección de datos camuflado como red social. Si hay una API para recopilar información sobre ti, tus contactos o tus dispositivo… bien, la están usando.»

En concreto, TikTok parece recopilar información sobre cualquier dato al que tiene acceso: el hardware del teléfono (CPU, identificadores de hardware, dimensiones de pantalla, uso memoria, espacio en disco, etc.), otras apps que has instalado, todo lo relacionado con tu red (IP, IP local, MAC de tu router, tu MAC, nombre de punto de acceso WiFi), si has hecho rool/jailbreak, ubicación por GPS, etc. «Lo peor de todo es que mucho del registro que guarda es configurable remotamente,» explica el experto.

«Hay incluso algunos fragmento de código en la versión para Android que permiten descargar un ZIP remoto, descomprimirlo, y ejecutar el binario. No hay ninguna razón por la que una app móvil necesita esta funcionalidad por razones legítimas.»

«Proporcionan a los usuarios con un sentimiento de «viralidad» para que se enganchen a la plataforma. Tu primera publicación de TikTok seguramente conseguirá bastantes «me gusta» independientemente de lo bueno que sea…» explica para referirse a las prácticas de TikTok para enganchar a los usuarios.

Aunque otras redes sociales también han sido acusadas de comportamiento similares, en opinión de Bangorlol, es TikTok quien se lleva la palma en cuanto a invasión de la privacidad. «Por si importa, he descifrado el funcionamiento de las apps Instagram, Facebook, Reddit y Twitter. No recogen ni de lejos la misma cantidad de datos que hace TikTok, y desde luego no tratan de ocultar por todos los medios lo que envían como hace TokTok. Es como comparar un vaso de agua con el océano — simplemente no hay comparación.»

Hay que tener en cuenta que Bangorlol publicó su comentario inicial hace tiempo y no ha vuelto a revisar la aplicación recientemente. «La aplicación podría haber cambiado las técnicas o añadido/eliminado algunas de las cosas desagradables que hacen. Recomiendo encarecidamente a los investigadores de seguridad que son mucho más inteligentes que yo y tienen más tiempo libre que echen un vistazo a la aplicación y examinen cada pequeño detalle que puedan».

«Puede que TikTok no cumpla los criterios exactos para ser llamado «Malware», pero es definitivamente nefasta y (en mi humilde opinión) francamente malvada«, dijo Bangorlol.

«Hay una razón por la que los gobiernos lo están prohibiendo. No uses la aplicación. No dejes que tus hijos la usen. Dile a tus amigos que dejen de usarla. No te ofrece nada más que una rápida fuente de entretenimiento que puedes conseguir en otro lugar sin entregar tus datos al gobierno chino. Te pones directamente a ti mismo y a los de tu red (trabajo y hogar) en riesgo».