El audio filtrado de 80 reuniones internas de TikTok muestra que se ha accedido repetidamente a datos de usuarios estadounidenses desde China

Durante años, TikTok ha respondido a las preocupaciones sobre la privacidad de los datos prometiendo que la información recopilada sobre los usuarios en Estados Unidos se almacena en Estados Unidos, en lugar de China, donde se encuentra ByteDance, la empresa matriz de la plataforma de vídeo. Pero según el audio filtrado de más de 80 reuniones internas de TikTok, los empleados de ByteDance con sede en China han accedido en repetidas ocasiones a datos no públicos sobre los usuarios estadounidenses de TikTok, exactamente el tipo de comportamiento que inspiró al ex presidente Donald Trump a amenazar con prohibir la aplicación en Estados Unidos.

Las grabaciones, revisadas por BuzzFeed News, contienen 14 declaraciones de nueve empleados diferentes de TikTok que indican que ingenieros de China tuvieron acceso a datos estadounidenses entre septiembre de 2021 y enero de 2022, como mínimo. A pesar de que un ejecutivo de TikTok declaró bajo juramento en una audiencia en el Senado en octubre de 2021 que un «equipo de seguridad de renombre mundial con sede en Estados Unidos» decide quién tiene acceso a estos datos, nueve declaraciones de ocho empleados diferentes describen situaciones en las que los empleados estadounidenses tuvieron que recurrir a sus colegas en China para determinar cómo fluían los datos de los usuarios estadounidenses. El personal estadounidense no tenía permiso o conocimiento de cómo acceder a los datos por su cuenta, según las grabaciones.

«Todo se ve en China», dijo un miembro del departamento de confianza y seguridad de TikTok en una reunión de septiembre de 2021. En otra reunión de septiembre, un director se refirió a un ingeniero con sede en Pekín como un «Master Admin» que «tiene acceso a todo.» (Aunque muchos empleados se presentaron por su nombre y título en las grabaciones, BuzzFeed News no está nombrando a nadie para proteger su privacidad).

Las grabaciones abarcan desde reuniones de pequeños grupos con dirigentes y consultores de la empresa hasta presentaciones de políticas a todos los niveles, y están corroboradas por capturas de pantalla y otros documentos, lo que proporciona una gran cantidad de pruebas que corroboran los informes anteriores sobre el acceso de los empleados de China a los datos de los usuarios estadounidenses. Su contenido muestra que se accedió a los datos con mucha más frecuencia y recientemente de lo que se había informado anteriormente, lo que dibuja un rico panorama de los retos a los que se ha enfrentado la aplicación de redes sociales más popular del mundo al intentar desvincular sus operaciones en Estados Unidos de las de su empresa matriz en Pekín. En última instancia, las grabaciones sugieren que la empresa puede haber engañado a los legisladores, a sus usuarios y al público al restar importancia al hecho de que los empleados de China puedan acceder a los datos almacenados en Estados Unidos.

En respuesta a una exhaustiva lista de ejemplos y preguntas sobre el acceso a los datos, la portavoz de TikTok, Maureen Shanahan, respondió con un breve comunicado: «Sabemos que estamos entre las plataformas más examinadas desde el punto de vista de la seguridad, y nuestro objetivo es eliminar cualquier duda sobre la seguridad de los datos de los usuarios estadounidenses. Por eso contratamos a expertos en sus campos, trabajamos continuamente para validar nuestros estándares de seguridad y traemos a terceros independientes de buena reputación para que prueben nuestras defensas.» ByteDance no proporcionó comentarios adicionales.

«Todo se ve en China».
En 2019, el Comité de Inversión Extranjera en Estados Unidos comenzó a investigar las implicaciones de seguridad nacional de la recopilación de datos estadounidenses por parte de TikTok. Y en 2020, el entonces presidente Donald Trump amenazó con prohibir la app por completo ante la preocupación de que el gobierno chino pudiera utilizar ByteDance para recopilar expedientes de información personal sobre los usuarios estadounidenses de TikTok. La «recopilación de datos de TikTok amenaza con permitir al Partido Comunista Chino el acceso a la información personal y de propiedad de los estadounidenses», escribió Trump en su orden ejecutiva. TikTok ha dicho que nunca ha compartido datos de usuarios con el gobierno chino y que no lo haría si se lo pidieran.

La mayoría de las reuniones grabadas se centran en la respuesta de TikTok a estas preocupaciones. La empresa está intentando redirigir sus tuberías para que ciertos datos «protegidos» no puedan salir de Estados Unidos y llegar a China, un esfuerzo conocido internamente como Proyecto Texas. En las grabaciones, la gran mayoría de las situaciones en las que el personal con sede en China accedía a los datos de los usuarios estadounidenses estaban al servicio del objetivo del Proyecto Texas de detener este acceso a los datos.

El Proyecto Texas es clave para un contrato que TikTok está negociando actualmente con el proveedor de servicios en la nube Oracle y el CFIUS. Según el acuerdo con el CFIUS, TikTok guardaría la información privada protegida de los usuarios estadounidenses, como los números de teléfono y los cumpleaños, exclusivamente en un centro de datos gestionado por Oracle en Texas (de ahí el nombre del proyecto). Estos datos sólo serían accesibles para empleados específicos de TikTok con sede en Estados Unidos. Todavía se está negociando qué datos se consideran «protegidos», pero las grabaciones indican que no se incluirán todos los datos públicos, incluidos los perfiles públicos de los usuarios y todo lo que publiquen. (Revelación: en una vida anterior, ocupé puestos de política en Facebook y Spotify). Oracle no respondió a una solicitud de comentarios. El CFIUS declinó hacer comentarios.

Poco antes de la publicación de esta historia, TikTok publicó una entrada en su blog anunciando que ha cambiado la «ubicación de almacenamiento por defecto de los datos de los usuarios de EE.UU.» y que hoy en día, «el 100% del tráfico de los usuarios de EE.UU. se dirige a la infraestructura de la nube de Oracle. Todavía utilizamos nuestros centros de datos de EE.UU. y Singapur para las copias de seguridad, pero a medida que continuamos nuestro trabajo esperamos eliminar los datos privados de los usuarios de EE.UU. de nuestros propios centros de datos y pivotar completamente a los servidores de la nube de Oracle ubicados en los EE.UU.»

El temor de los legisladores a que el gobierno chino pueda poner sus manos en los datos estadounidenses a través de ByteDance tiene su origen en la realidad de que las empresas chinas están sujetas a los caprichos del autoritario Partido Comunista Chino, que ha estado tomando medidas enérgicas contra sus gigantes tecnológicos nacionales durante el último año. El riesgo es que el gobierno pueda obligar a ByteDance a recopilar y entregar información como una forma de «espionaje de datos».

Sin embargo, existe otra preocupación: que el poder blando del gobierno chino pueda influir en la forma en que los ejecutivos de ByteDance dirigen a sus homólogos estadounidenses para ajustar las palancas del potente algoritmo «For You» de TikTok, que recomienda vídeos a sus más de mil millones de usuarios. El senador Ted Cruz, por ejemplo, ha calificado a TikTok de «caballo de Troya que el Partido Comunista Chino puede utilizar para influir en lo que los estadounidenses ven, oyen y, en última instancia, piensan.»

El estrecho enfoque del Proyecto Texas en la seguridad de una porción específica de datos de los usuarios estadounidenses, gran parte de los cuales el gobierno chino podría simplemente comprar a los corredores de datos si así lo desea, no aborda los temores de que China, a través de ByteDance, podría utilizar TikTok para influir en el comportamiento comercial, cultural o político de los estadounidenses.

TikTok ha dicho en sus blogs y declaraciones públicas que almacena físicamente todos los datos de sus usuarios estadounidenses en Estados Unidos, con copias de seguridad en Singapur. Esto mitiga algunos riesgos -la empresa dice que estos datos no están sujetos a la legislación china-, pero no aborda el hecho de que los empleados con sede en China puedan acceder a los datos, dicen los expertos.

«La ubicación física no importa si se puede seguir accediendo a los datos desde China», dijo a BuzzFeed News en un correo electrónico Adam Segal, director del Programa de Política Digital y Cibernética del Consejo de Relaciones Exteriores. Dijo que la «preocupación sería que los datos todavía terminaran en manos de la inteligencia china si la gente en China seguía accediendo.»

El propio TikTok reconoció su problema de acceso en una entrada del blog de 2020. «Nuestro objetivo es minimizar el acceso a los datos en todas las regiones para que, por ejemplo, los empleados de la región APAC, incluida China, tengan un acceso muy mínimo a los datos de los usuarios de la UE y Estados Unidos», escribió el director de seguridad de la información de TikTok, Roland Cloutier.

Se supone que el Proyecto Texas, una vez completado, cerrará esta laguna para una cantidad limitada de datos. Pero muchas de las grabaciones de audio revelan los retos a los que se han enfrentado los empleados para encontrar y cerrar los canales que permiten que los datos fluyan desde Estados Unidos a China.

«La ubicación física no importa si se puede seguir accediendo a los datos desde China».

Catorce de las grabaciones filtradas incluyen conversaciones con o sobre un equipo de consultores de Booz Allen Hamilton. Uno de los consultores dijo a los empleados de TikTok que fueron contratados en febrero de 2021 para ayudar a gestionar la migración de datos del Proyecto Texas, y un director de TikTok dijo a otros empleados de TikTok que los consultores informaban al jefe de defensa de datos de TikTok en Estados Unidos. En las grabaciones, los consultores investigan cómo fluyen los datos a través de las herramientas internas de TikTok y ByteDance, incluidas las utilizadas para la visualización de datos, la moderación de contenidos y la monetización.

En septiembre de 2021, uno de los consultores dijo a sus colegas: «Siento que con estas herramientas hay alguna puerta trasera para acceder a los datos de los usuarios en casi todas ellas, lo cual es agotador.»

Cuando se le pidió un comentario, la portavoz de Booz Allen Hamilton, Jessica Klenk, dijo que algo de la información anterior era incorrecta, pero se negó a especificar qué era. «En este momento no estoy en posición de discutir más o incluso confirmar/desmentir nuestra relación con ningún cliente. Pero puedo decirle que lo que usted afirma aquí es inexacto».

Además, cuatro de las grabaciones contienen conversaciones en las que los empleados responsables de ciertas herramientas internas no podían averiguar qué hacían algunas de ellas. En una reunión de noviembre de 2021, un científico de datos explicó que para muchas herramientas, «nadie ha documentado realmente, eh, como, un cómo. Y hay elementos dentro de las herramientas que nadie sabe para qué sirven».

La complejidad de los sistemas internos de la empresa y la forma en que permiten que los datos fluyan entre Estados Unidos y China subraya los retos a los que se enfrenta el equipo de Servicios Técnicos de Estados Unidos, un nuevo equipo de ingeniería dedicado que TikTok ha empezado a contratar como parte del Proyecto Texas.

«En realidad, no se permite la incorporación de ciudadanos chinos».
Para demostrar la independencia del equipo de USTS con respecto a ByteDance, de propiedad china, un miembro del equipo dijo a un colega en enero que «no todo el mundo puede unirse» al equipo. «En realidad, los ciudadanos chinos no pueden unirse», dijo. (Un antiguo empleado que habló con BuzzFeed News bajo condición de anonimato por temor a represalias corroboró este relato). Cuando se le pidió que comentara esta práctica, TikTok no respondió.

Pero aunque el mandato de este equipo es controlar y gestionar el acceso a los datos sensibles de Estados Unidos, el equipo de USTS depende de la dirección de ByteDance en China, como informó BuzzFeed News en marzo. En una reunión grabada en enero de 2022, un científico de datos dijo a un colega: «Recibo mis instrucciones de la oficina principal en Pekín».

El objetivo de TikTok para el Proyecto Texas es que todos los datos almacenados en el servidor de Oracle estén seguros y no sean accesibles desde China o cualquier otro lugar del mundo. Sin embargo, según siete grabaciones entre septiembre de 2021 y enero de 2022, el abogado que lidera las negociaciones de TikTok con el CFIUS y otros aclara que esto solo incluye los datos que no están disponibles públicamente en la app, como el contenido que está en forma de borrador, configurado como privado, o información como los números de teléfono y las fechas de nacimiento de los usuarios que se recopilan pero no son visibles en sus perfiles. Un consultor de Booz Allen Hamilton dijo a sus colegas en septiembre de 2021 que lo que contará exactamente como «datos protegidos» que se almacenarán en el servidor de Oracle «todavía se está limando desde una perspectiva legal.»

En una reunión grabada en enero de 2022, el jefe de operaciones de productos y usuarios de la empresa anunció entre risas que los identificadores únicos (UID) no se considerarán información protegida según el acuerdo CFIUS: «La conversación sigue evolucionando», dijeron. «Hace poco descubrimos que los UID son cosas a las que podemos tener acceso, lo que cambia un poco el juego».

Lo que el jefe de operaciones de productos y usuarios quería decir con «UID» en esta circunstancia no está claro – podría referirse a un identificador para una cuenta específica de TikTok, o para un dispositivo. Las empresas de tecnología publicitaria, como Google y Facebook, suelen utilizar los UID de los dispositivos para relacionar el comportamiento de los usuarios con las aplicaciones, lo que los convierte en un identificador tan importante como el nombre.

Mientras TikTok sigue negociando qué datos se considerarán protegidos, las grabaciones dejan claro que muchos de los datos de los usuarios estadounidenses -incluidos los vídeos públicos, las biografías y los comentarios- no se almacenarán exclusivamente en el servidor de Oracle. En su lugar, estos datos se almacenarán en el centro de datos de la empresa en Virginia, al que se podrá seguir accediendo desde las oficinas de ByteDance en Pekín, incluso una vez finalizado el Proyecto Texas. Eso significa que los empleados de ByteDance con sede en China podrían seguir teniendo acceso a información sobre lo que les interesa a los usuarios estadounidenses de TikTok, desde vídeos de gatos hasta creencias políticas.

También parece que Oracle está dando a TikTok una flexibilidad considerable en cuanto a la forma de gestionar su centro de datos. En una conversación grabada a finales de enero, el jefe de ciberdefensa global de datos de TikTok dejó claro que, aunque Oracle proporcionaría el espacio físico de almacenamiento de datos para el Proyecto Texas, TikTok controlaría la capa de software: «Es casi incorrecto llamarlo Oracle Cloud, porque sólo nos están dando el metal desnudo, y luego estamos construyendo nuestras VMs [máquinas virtuales] en la parte superior». Oracle no respondió a una solicitud de comentarios.

Mientras tanto, el abogado de seguridad nacional de TikTok espera que la negociación tenga efectos en cadena en la industria tecnológica y más allá. «Va a haber una ley de seguridad nacional que salga del Departamento de Comercio», dijeron, refiriéndose al desarrollo de la administración Biden de regulaciones para gobernar las apps que podrían ser explotadas «por adversarios extranjeros para robar u obtener datos de otra manera.»

«La cuestión es si la empresa irá lo suficientemente lejos».
«La ley se promulgará y codificará probablemente en los próximos 18 meses, diría yo, y así es como todas las empresas chinas van a poder operar en EE.UU.», dijo el abogado.

Los esfuerzos de TikTok con el Proyecto Texas pueden acabar dando sus frutos. Según Graham Webster, investigador del Centro de Política Cibernética de Stanford, si TikTok se compromete a ser «transparente y de alta integridad, y los empleados con sede en China no podrán acceder a los datos de los usuarios», entonces «desde la perspectiva de la seguridad de los datos, debería ser posible convencer a los escépticos de buena fe de que han hecho lo suficiente».

«La cuestión es si la empresa irá lo suficientemente lejos y si las autoridades escépticas están realmente abiertas a ser convencidas», dijo a BuzzFeed News.

Los detalles del acuerdo entre el CFIUS, TikTok y Oracle seguían siendo objeto de debate a partir de enero de 2022, fecha en la que finalizan las grabaciones. Pero aunque el objetivo del Proyecto Texas es acordonar el acceso a los detalles más sensibles sobre los estadounidenses que existen en los servidores de TikTok, un empleado de la política tenía dudas de que eso vaya a impedir realmente que los empleados de ByteDance en China accedan a esos datos.

«Queda por ver si en algún momento el producto y la ingeniería todavía pueden averiguar cómo obtener acceso, porque al final del día, son sus herramientas», dijeron en una reunión de septiembre de 2021. «Las han construido todas en China».