TikTok se ha convertido en una de las apps más utilizadas en el mercado español, con aproximadamente tres millones de usuarios activos mensuales. Cifra que ha atraído la atención de grandes marcas que han visto un buen nicho de mercado sobre el que operar. Sin embargo, detrás de esta visión de oportunidad de mercado y alcance de un mayor público, también se esconde una de las redes sociales que más ciberriesgos presenta en su uso. En especial por poseer una política de privacidad laxa y con vacíos legales. La compañía, propiedad de la tecnológica china Bytedance, ha sido (en no pocas ocasiones) acusada de violar la protección de datos de los usuarios para venderlos a terceros de otros sectores.
¿Qué tipo de información recopila TikTok de nuestra identidad digital?
En la propia política de privacidad de TikTok viene especificado que al hacer uso de la app se recopila información sobre los usuarios. El tipo de información que obtiene varía desde la extracción de la base de datos de la lista de contactos, información de calendarios, hasta la geolocalización de los dispositivos. A diferencia por ejemplo de WhatsApp, TikTok no cuenta con un sistema de cifrado en la mensajería interna de la plataforma por lo que también tiene acceso a estas conversaciones de su chat interno.
“TikTok tiene acceso prácticamente a detalles muy personales de nuestra vida dependiendo del uso y contenido que generemos para esta red social” se refiere Hervé Lambert, Global Consumer Operations Manager de Panda Security sobre la recolección de datos que obtiene la plataforma a través del análisis a partir de la identificación de objetos y escenarios que aparezcan en el contenido generado. “Y es más, tiene herramientas de reconocimiento fácil y de voz, o sea, nuestros datos biométricos”, finaliza.
Todos estos procesos para la obtención de información muy específica de cada usuario permiten bucear, inclusive, entre los datos de sitios web que la persona realiza a través de su navegador interno. “Esta información es valiosísima para terceros y negocios para poder enfocar una publicidad muy segmentada y directa al consumidor”, explica Lambert.
¿En qué momentos TikTok puede convertirse en la puerta de entrada para una ciberamenaza?
- Los perfiles de empresas con gran reconocimiento y número de seguidores en la red social pueden ser susceptibles de continuos fraudes y hackeos. “Esto no solo ocurre directamente al consumidor particular, los ciberdelincuentes saben que hay mucho dinero que se mueve en redes sociales y hay negocios que tienen vinculado una tarjeta al perfil si utilizan ads, por ejemplo”, matiza Hervé Lambert, Global Consumer Operations Manager de Panda Security.
Otro tipo de ataques que se han registrado a empresas a partir de TikTok son, no solo la suplantación o uso de marca para cuentas falsas que intentan atraer a gente para estafar a favor de sus intereses ocultos; sino también de otras cuentas falsas maquilladas con un gran número de seguidores que se presentan a la marca como potencial embajador de la misma para luego dar una imagen errónea de su negocio y perjudica la reputación de esta entre el público de sus redes sociales. “En otras situaciones estos supuestos influencers o suscriptores se aprovechan de trabajar con una marca para conseguir más público afín a la misma y luego vender otros servicios ilícitos de manera unilateral y deshonesta”, explica Lambert.
- Ciberfraudes a través de criptomonedas. La actividad criminal en el mundo de las criptomonedas ha encontrado en esta red social un altavoz idóneo para atraer a inversores de estos activos digitales. “Normalmente se trata de ciberdelincuentes que prometen grandes beneficios y rendimientos de una criptomoneda que dicen está a punto de salir al mercado”, comenta Lambert sobre lo especialmente peligroso que resulta teniendo en cuenta que es un plataforma muy usada por menores y jóvenes que recientemente han cumplido la mayoría de edad y “lo ven como una oportunidad de generar dinero fácil y rápido”.
- Falsos sorteos y concursos. “Un viejo truco manido e infalible”, asegura el ciberexperto, “desconfiar de todo tipo de información que le acompañe el adjetivo “gratis”, ya que en Internet la adquisición de los productos o servicios parece tan fácil de alcanzar que no se tiene en cuenta el riesgo real”, finaliza. Normalmente este tipo de contenido está vinculado a una estrategia de ingeniería social basada en la técnica del phishing redirigiendo a enlaces fraudulentos para robar datos y contraseñas bancarias.
“A pesar de las quejas de diferentes gobiernos y sectores muy especializados sobre la política de privacidad de esta red social no se han aplicado políticas reales de protección al usuario. En este caso, la población más vulnerable es la más jóven, quien necesita las herramientas necesarias para enfrentarse a ataques que vulneran su derecho a la privacidad e intimidad y no tiene otro acceso, hoy por hoy, a este tipo de protección si no viene de la mano de una cultura de educación digital”, reflexiona Hervé Lambert, Global Consumer Operations Manager de Panda Security.