La prohibición del Reino Unido de instalar y usar la aplicación de redes sociales TikTok en dispositivos gubernamentales alinea la política de nuestro país con la de otras jurisdicciones, incluidos los Estados Unidos (EE. UU.) y los estados miembros de la Unión Europea (UE).
Anunciada ayer en la Cámara de los Comunes por Oliver Dowden, canciller del Ducado de Lancaster, la prohibición cubre dispositivos en departamentos ministeriales y no ministeriales, y es una medida de precaución que no se ha tomado en respuesta a ningún incidente o amenaza específica.
Es el paso más reciente en una disputa de larga data entre Occidente y China sobre problemas de privacidad de datos, que además de TikTok ha atraído a personas como Hikvision, un fabricante de cámaras de vigilancia IP, y el más famoso, el gigante de redes y comunicaciones Huawei, que encontró sí mismo prohibido de la infraestructura de comunicaciones central del Reino Unido en 2020.
Todos estos casos surgen de preocupaciones compartidas por Gran Bretaña, Estados Unidos y otros estados occidentales. En términos generales, estas preocupaciones se centran en la posibilidad de que el gobierno chino pueda extraer datos confidenciales de estas empresas con fines de espionaje.
China tiene una larga historia de espionaje industrial, y sus operaciones cibernéticas respaldadas por el estado son ampliamente reconocidas como una amenaza particularmente peligrosa, por lo que estas preocupaciones no son del todo injustificadas, y no es exagerado imaginar cómo Beijing podría explotar los datos personales del gobierno del Reino Unido. oficiales si cayera en sus manos. A la luz de esto, Chris Vaughan, vicepresidente de gestión técnica de cuentas de Tanium, dijo que no sorprende que Westminster siga los pasos de Bruselas y Washington DC.
“Las tácticas de inteligencia chinas generalmente se enfocan en objetivos a más largo plazo y están impulsadas por la recopilación sostenida de datos”, dijo. “La inmensa colección de datos de usuarios, que ahora incluye información comercial y de compras, combinada con biometría y seguimiento de actividades, alimenta inteligencia detallada a los departamentos estatales chinos.
“Estos datos también se pueden aprovechar para realizar operaciones psicológicas específicas, oportunas y, a menudo, personalizadas contra individuos o grupos de ciudadanos. Estas tácticas podrían usarse potencialmente durante los ciclos electorales y eventos políticamente cargados en los próximos años”.
Vaughan considera que la prohibición de TikTok en el Reino Unido habla de un tema más amplio sobre cuánta influencia china se considera aceptable en la infraestructura nacional y la vida cotidiana (problemas similares persiguieron a Huawei anteriormente).
“Hemos visto un aumento de las preocupaciones en Occidente en los últimos meses, con la restricción del uso de la tecnología de vigilancia china”, dijo. “También ha habido numerosos informes de los esfuerzos chinos para influir en los políticos mediante el cabildeo y las donaciones, y al público a través de las redes sociales y la difusión de desinformación”.
“Históricamente, Rusia ha sido el usuario más destacado de las operaciones de información, como vimos en sus actividades relacionadas con las elecciones estadounidenses de 2016 y el referéndum Brexit. China se ha centrado más en robar propiedad intelectual que luego puede usar para su propio beneficio. Sin embargo, hay indicios de que el PCCh [Chinese Communist Party] comenzará a centrarse más en las operaciones de información e influencia para lograr sus objetivos estratégicos, lo que se suma a las preocupaciones sobre el uso de tecnología como TikTok.
“Cualquier instancia de estas actividades debe ser enfrentada de frente por los líderes políticos occidentales, quienes deberían adoptar una postura firme contra esto a nivel gubernamental, en lugar de dejar la responsabilidad a las organizaciones individuales”.
Estándares dobles
En su respuesta a la declaración de Dowden ayer, la vicedirectora laborista, Angela Rayner, fue mordaz al acusar al gobierno de estar detrás de la curva y de hacer cambios repentinos en U, y para algunos en la comunidad de seguridad cibernética, hay algo claramente sospechoso en su decisión.
Matthew Hodgson, cofundador y director ejecutivo del proveedor de servicios de comunicaciones seguras Element, dijo que, de una manera importante, la prohibición es francamente hipócrita.
“El gobierno del Reino Unido que prohíbe a los funcionarios tener TikTok en sus teléfonos mientras impulsa la legislación que le dará acceso al gobierno del Reino Unido a todas las comunicaciones del Reino Unido grita de doble rasero”, dijo Hodgson.
“Aparentemente, parece que se están tomando en serio la seguridad de los datos al evitar que China tenga una puerta trasera en los datos del Reino Unido, aunque actualmente solo para funcionarios gubernamentales. Sin embargo, el gobierno del Reino Unido está impulsando el proyecto de ley de seguridad en línea, que crea una puerta trasera muy similar en todas las plataformas de comunicación utilizadas por los ciudadanos del Reino Unido.
“Entonces, ¿no está bien que China acceda a las comunicaciones del gobierno, pero está bien proporcionar una ruta para que accedan a las comunicaciones de los ciudadanos a través de las debilidades del proyecto de ley de seguridad en línea? Necesitamos proteger la privacidad de los ciudadanos del Reino Unido hoy de los malos actores y los estados nacionales de todas las formas y tamaños”, dijo.
TikTok habla
Naturalmente, los pensamientos de Westminster no son compartidos por TikTok, que continúa enfatizando que el gobierno chino nunca le ha pedido que entregue datos, e insiste en que nunca lo haría si se lo pidieran.
En un comunicado posterior al anuncio de Dowden el 16 de marzo, un portavoz de TikTok dijo: “Estamos decepcionados con esta decisión. Creemos que estas prohibiciones se han basado en conceptos erróneos fundamentales y están impulsadas por una geopolítica más amplia, en la que TikTok y nuestros millones de usuarios en el Reino Unido no juegan ningún papel.
“Seguimos comprometidos a trabajar con el gobierno para abordar cualquier inquietud, pero debemos ser juzgados por los hechos y tratados por igual que nuestros competidores. Hemos comenzado a implementar un plan integral para proteger aún más nuestros datos de usuarios europeos, que incluye el almacenamiento de datos de usuarios del Reino Unido en nuestros centros de datos europeos y controles de acceso a datos más estrictos, incluida la supervisión independiente de nuestro enfoque por parte de terceros”.
La organización cree que es incorrecto describirla como de propiedad china, ya que su presencia europea está incorporada y regulada en el Reino Unido e Irlanda, y su empresa matriz, Bytedance, está incorporada fuera de China, por lo que no estaría sujeta a las leyes que exigen que entregar datos a Beijing si se le solicita.
La empresa anunció recientemente el Proyecto Clover, un “enclave” europeo seguro dedicado para albergar sus datos de usuario del Reino Unido y del Espacio Económico Europeo (EEE). El cumplimiento de este proyecto también hará que los datos de los usuarios del Reino Unido, actualmente almacenados en centros de datos en Singapur y los EE. UU., se muevan dentro de la jurisdicción europea.
También nombró a una empresa de seguridad cibernética de terceros para auditar sus controles y protecciones, monitorear los flujos de datos y verificar su cumplimiento con las leyes pertinentes, lo que cree que va más allá de lo que cualquier otra plataforma tecnológica está haciendo actualmente.
El director de tecnología de Venari Security, Simon Mullis, está de acuerdo en que la prohibición de TikTok tiene motivaciones políticas, hasta cierto punto. “Las preocupaciones están realmente arraigadas en la capacidad de asegurar la cadena de confianza de la protección de datos de principio a fin y en todos los pasos intermedios”, dijo. “Con TikTok, esto ha resultado ser extremadamente difícil por una variedad de razones técnicas y políticas.
“Para ser justos, la prohibición es tanto política como consecuencia del diseño técnico de la aplicación”, dijo Mullis. “¿El diseño y la arquitectura de TikTok son tan diferentes de otras aplicaciones de redes sociales de uso generalizado como para causar temores de seguridad masivos? La respuesta es probablemente no’.”
Mucho tiempo en llegar
Pero Jamie Moles, gerente técnico sénior de ExtraHop, dijo que dado lo que sabemos sobre cómo funciona TikTok y, lo que es más importante, lo que sabemos sobre los datos que solicita y a los que debe tener acceso para ejecutarse en un dispositivo, es desconcertante por qué. el gobierno del Reino Unido se ha entretenido durante tanto tiempo.
“Soy un experto en seguridad que descargó y usó TikTok cuando salió como tantos otros, incluidos los que trabajan en el gobierno del Reino Unido”, dijo. “Pero aquí está la diferencia: la eliminé tan pronto como quedó claro que la aplicación podía recopilar cualquier cosa de mi teléfono, incluidos contactos: datos de GPS, información de autenticación de otras aplicaciones, etc.
“Tener esta aplicación en su teléfono equivale a darle al gobierno chino las claves de nuestra economía”.
El director de seguridad de la información (CISO) de Arctic Wolf, Adam Marrè, dijo: “TikTok está recopilando cantidades masivas de información de los consumidores, como la ubicación del usuario, las huellas de voz, la información del calendario y otros datos confidenciales. El problema es que no sabemos para qué se utilizan estos datos, o si un gobierno extranjero tiene acceso a ellos.
“Con el auge de los corredores de datos que se ganan la vida vendiendo información de los usuarios, esta plataforma puede servir como un recipiente para que los actores malintencionados aprovechen. Luego pueden vender esta información, que se puede usar para dirigirse a personas a través de correos electrónicos de phishing, influir a través de propaganda o incluso controlar o acceder a dispositivos. Que esto sea un recordatorio de que nada es realmente ‘gratis’ y que todos debemos tener cuidado”.
Faaki Saadi, director de ventas de SOTI para el Reino Unido e Irlanda, dijo: “Cualquier aplicación que recopile los datos que ingresas debe tratarse con precaución. Especialmente para las personas a las que se les confía información confidencial de la empresa.
“La prohibición de TikTok en los dispositivos del gobierno del Reino Unido debería actuar como una llamada de atención para otras organizaciones: ¿tiene visibilidad completa de las aplicaciones que sus empleados tienen en sus dispositivos corporativos? Si no, tal vez ahora sea el momento de hacer un balance. Y no tiene por qué ser un trabajo pesado: hay soluciones disponibles que pueden hacer esto por usted y eliminar cualquier aplicación no deseada en un instante”.
seguridad en redes sociales
Marrè y Faadi hablan de un tema más amplio con las redes sociales en general. Otras plataformas de redes sociales, como el propietario de Facebook e Instagram, Meta, se han mostrado repetidamente muy indiferentes con respecto a sus datos de usuario y políticas de seguridad. Twitter, bajo el control del errático Elon Musk, se dirige en una dirección similar.
Y Robert Huber, director de seguridad de Tenable, dijo que centrarse solo en TikTok significa que corremos el riesgo de perder el bosque por los árboles. “Hay cientos de aplicaciones de software que se utilizan en las agencias gubernamentales todos los días que presentan riesgos, y las vulnerabilidades conocidas sin parches son la fuente más probable de violaciones de datos”, dijo.
“La clave es que los líderes de seguridad entiendan el perfil de riesgo único de su organización, descubran dónde existen vulnerabilidades y prioricen los esfuerzos de remediación para erradicar primero aquellos que podrían ser los más dañinos”.
¿Deberíamos todos prohibir TikTok?
Ismael Valenzuela, vicepresidente de investigación e inteligencia de amenazas de BlackBerry, dijo que ya está viendo que los CISO están considerando prohibir el uso de TikTok en los dispositivos de la empresa. Esto es particularmente relevante para aquellos que trabajan para organizaciones que operan en entornos altamente regulados, como el sector de servicios financieros, donde se espera que las empresas realicen sus propias pruebas de seguridad de productos y revisión legal de las posiciones de la política de privacidad para, como mínimo, limitar uso en dispositivos corporativos o por usuarios de alto valor.
“No hay duda de que las organizaciones con modelos de amenazas actualizados regularmente basados en inteligencia contextual, prácticas maduras de gestión de activos y soluciones de punto final de gestión integrada están mejor posicionadas para gestionar este riesgo en toda la empresa”, dijo Valenzuela.
“Subraya la importancia de administrar el riesgo en toda la organización y la necesidad de evaluar y, por lo tanto, controlar el impacto de la introducción de nuevos productos y tecnologías en la seguridad general de la organización. Esto incluye el uso de aplicaciones de chat y redes sociales aparentemente inocuas.
“Sospecho que solo un número limitado de CISO conocen la declaración de política de privacidad de TikTok”, continuó. “Si bien los ataques a la cadena de suministro son una preocupación real hoy en día, el riesgo de privacidad también debería ser una prioridad para los CISO de organizaciones de alto riesgo. Esto se debe a que los datos personales de los ejecutivos de la empresa y otras personas importantes pueden ser de gran valor en manos de atacantes motivados financieramente o del estado”.
En última instancia, la pregunta de si los líderes de seguridad deberían o no prohibir o restringir el uso de TikTok en dispositivos propiedad de la empresa es algo que solo ellos pueden responder. Pero dado el creciente número de prohibiciones gubernamentales que se proponen o promulgan, como mínimo, se requiere una evaluación de riesgos exhaustiva, junto con una auditoría más amplia de la actividad de las redes sociales corporativas.