En agosto de 2021, TikTok recibió una queja de una usuaria británica que denunció a un hombre que había estado “exhibiéndose y toqueteándose” en una transmisión en directo que ella organizó en la aplicación de video. También describió otros abusos que había experimentado.
Para atender la denuncia, los empleados de TikTok compartieron el incidente en una herramienta de mensajería y colaboración interna llamada Lark, según documentos de la compañía obtenidos por The New York Times. Los datos personales de la mujer británica —incluyendo su fotografía, país de residencia, dirección IP, dispositivo y nombre de usuario— también se publicaron en la plataforma, la cual es similar a las aplicaciones Slack y Teams de Microsoft.
Su información fue solo uno de muchos datos de usuarios de TikTok que se comparten en Lark, que usan todos los días miles de empleados de ByteDance, la empresa china propietaria de la aplicación, incluidos los que trabajan en China. Según documentos obtenidos por el Times, las licencias de manejo de los usuarios estadounidenses también estaban disponibles en la plataforma, al igual que el contenido posiblemente ilegal de algunos usuarios, como materiales de abuso sexual infantil. En muchos casos, la información estaba disponible en “grupos” de Lark —que en esencia son salas de chat para empleados— con miles de miembros.
La gran cantidad de datos de usuarios en Lark alarmó a algunos empleados de TikTok, en especial porque los trabajadores de ByteDance en China y en todo el mundo podían ver con facilidad el material, según informes internos, así como declaraciones de cuatro empleados actuales y anteriores. Al menos desde julio de 2021, varios empleados de seguridad han advertido a los ejecutivos de ByteDance y TikTok sobre los riesgos relacionados con la plataforma, según los documentos y los trabajadores.
“¿Los empleados en Pekín deberían tener el control de grupos que contienen [datos de usuarios] secretos?”, preguntó un empleado de TikTok en un informe interno de julio de 2022.
Los materiales sobre usuarios que fueron compartidos en Lark plantean cuestionamientos sobre las prácticas de TikTok en materia de datos y privacidad, y muestran cuán entrelazada está con ByteDance, justo cuando la aplicación de video enfrenta un escrutinio cada vez mayor sobre sus posibles riesgos de seguridad y sus nexos con China. La semana pasada, el gobernador de Montana promulgó una iniciativa de ley que prohibirá TikTok en el estado a partir del 1 de enero. La aplicación también ha sido prohibida en universidades y agencias gubernamentales, así como en el Ejército.
Durante años, TikTok ha estado bajo presión para proteger sus operaciones en Estados Unidos debido a la preocupación de que pueda proporcionar datos de usuarios estadounidenses a las autoridades chinas. Para poder continuar operando en Estados Unidos, el año pasado presentó un plan al gobierno de Joe Biden, llamado Proyecto Texas, el cual explica cómo almacenaría la información de los usuarios estadounidenses dentro del país y dejaría sin acceso a los datos a los empleados de ByteDance y TikTok fuera de Estados Unidos.
TikTok ha minimizado el acceso que sus trabajadores en China tienen a los datos de los usuarios de Estados Unidos. En marzo, en una audiencia en el Congreso, el director ejecutivo de TikTok, Shou Chew, comentó que esos datos casi siempre eran usados por ingenieros en China con “fines comerciales” y que la empresa tenía “protocolos rigurosos de acceso a datos” para proteger a los usuarios. Mencionó que gran parte de la información del usuario que estaba a disposición de los ingenieros ya era pública.
Los informes internos y las comunicaciones de Lark parecen contradecir las declaraciones de Chew. Los datos de TikTok que hay en Lark también se almacenaban en servidores chinos hasta finales del año pasado, según los cuatro empleados actuales y anteriores.
Los documentos revisados por el Times incluyen decenas de capturas de pantalla de informes, mensajes de chat y comentarios de empleados en Lark, así como video y audio de comunicaciones internas, que datan desde 2019 hasta 2022.
Alex Haurek, un vocero de TikTok, calificó los documentos revisados por el Times como “desactualizados” y disputó que contradijeran las declaraciones de Chew. Señaló que no representan con veracidad “cómo manejamos los datos protegidos de los usuarios estadounidenses ni los avances que hemos logrado con el Proyecto Texas”.
Y agregó que TikTok estaba en proceso de borrar los datos de los usuarios estadounidenses que recolectó antes de junio de 2022, cuando cambió la forma en que manejaba la información sobre usuarios de Estados Unidos y comenzó a enviar esos datos a servidores de terceros ubicados en territorio estadounidense en vez de usar los que son propiedad de TikTok o ByteDance.
La compañía no contestó las preguntas sobre si los datos de Lark se almacenaban en China. Se negó a responder a cuestionamientos sobre la participación de empleados ubicados en China al momento de crear y compartir datos de usuarios de TikTok en grupos de Lark, pero indicó que muchas de las salas de chat se “cerraron el año pasado tras analizar inquietudes internas”.
Alex Stamos, director del Observatorio de Internet de la Universidad de Stanford y exdirector de seguridad de la información de Facebook, opinó que proteger los datos de los usuarios en una organización era “el proyecto técnico más arduo” para el equipo de seguridad de una compañía de redes sociales. Y explicó que los problemas de TikTok son agravados porque forma parte de ByteDance.
“Lark te muestra que todos los procesos del área de administración son supervisados por ByteDance”, dijo Stamos. “TikTok es una fina capa que cubre a ByteDance”.
ByteDance presentó Lark en 2017. La herramienta, que tiene un equivalente solo en chino conocido como Feishu, es utilizada por todas las filiales de ByteDance, incluida TikTok y sus 7000 empleados estadounidenses. Lark cuenta con una plataforma de chat, videoconferencia, gestión de tareas y funciones de colaboración documental. Cuando se le preguntó a Chew sobre Lark en la audiencia de marzo, dijo que era como “cualquier otra herramienta de mensajería instantánea” para empresas y la comparó con Slack.
Lark se ha usado para manejar problemas de cuentas individuales de TikTok y compartir documentos que contienen información de identificación personal desde al menos 2019, según los documentos obtenidos por el Times.
En junio de 2019, un empleado de TikTok compartió una imagen en Lark de la licencia de conducir de una mujer de Massachusetts. La mujer había enviado a TikTok la imagen para verificar su identidad. La imagen —que incluía su dirección, fecha de nacimiento, foto y número de licencia de manejo— se publicó en un grupo interno de Lark con más de 1100 personas que gestionaba la exclusión y reincorporación de cuentas.
El año pasado, la licencia, así como pasaportes y documentos de identidad de personas de países como Australia y Arabia Saudita, eran accesibles en Lark según los documentos vistos por el Times.
Lark también expuso materiales de abuso sexual infantil de los usuarios. En una conversación de octubre de 2019, los empleados de TikTok discutieron la prohibición de algunas cuentas que habían compartido contenido de niñas mayores de 3 años que estaban en topless. Los trabajadores también publicaron las imágenes en Lark.
Haurek, portavoz de TikTok, dijo que se instruyó a los empleados para que nunca compartieran dicho contenido e informaran a un equipo interno especializado en seguridad infantil.
Los empleados de TikTok han planteado dudas sobre este tipo de incidentes. En un informe interno del pasado mes de julio, un trabajador preguntó si había normas para manejar los datos de los usuarios en Lark. Will Farrell, responsable interino de seguridad de los datos estadounidenses de TikTok, que supervisará los datos de los usuarios estadounidenses como parte del Proyecto Texas, dijo: “No hay ninguna política en este momento”.
Un ingeniero de seguridad sénior de TikTok también dijo el otoño pasado que podría haber miles de grupos de Lark manejando mal los datos de los usuarios. En una grabación, que el Times obtuvo, el ingeniero dijo que TikTok debería mover los datos “fuera de China y administrar Lark desde Singapur”. TikTok tiene sedes en Singapur y Los Ángeles.
Haurek calificó los comentarios del ingeniero como “inexactos” y dijo que TikTok analizó los casos en los que los grupos de Lark estaban manejando mal los datos de los usuarios y tomó medidas para solucionarlos. Dijo que la compañía tiene un nuevo proceso para el manejo de contenido sensible y estableció nuevos límites en el tamaño de los grupos en Lark.
La división de privacidad y seguridad de TikTok ha sufrido reorganizaciones y salidas en el último año, que algunos empleados dijeron que habían ralentizado o dejado de lado los proyectos de privacidad y seguridad en un momento crítico.
Roland Cloutier, experto en ciberseguridad y veterano de las Fuerzas Aéreas de EE. UU., renunció el año pasado como jefe de la organización de seguridad global de TikTok. Una parte de su unidad se colocó en un equipo centrado en la privacidad dirigido por Yujun Chen, conocido por sus colegas como Woody, un ejecutivo residente en China que ha trabajado en ByteDance durante años, dijeron tres empleados actuales y antiguos. Antes, Chen se dedicaba al control de calidad del software.
Haurek dijo que Chen tenía “profundos conocimientos técnicos, de datos y de ingeniería de producto” y que su equipo le reportaba a un ejecutivo en California. También afirmó que TikTok tiene múltiples equipos trabajando en privacidad y seguridad, incluyendo más de 1500 trabajadores en su equipo de Seguridad de Datos de EE. UU., y que había invertido más de 1500 millones de dólares para implementar el Proyecto Texas.
ByteDance y TikTok no han dicho cuándo estará listo el Proyecto Texas. Cuando lo esté, dijo TikTok, las comunicaciones que involucren datos de usuarios estadounidenses se llevarán a cabo en otra “herramienta de colaboración interna”.
Aaron Krolikcolaboró en este reportaje. Alain Delaquérière colaboró en la investigación.
Sapna Maheshwari es una reportera de negocios que cubre TikTok y compañías de medios emergentes. Anteriormente, informó sobre comercio minorista y publicidad. La puedes contactar en sapna@nytimes.com @sapna • Facebook
Ryan Mac es un reportero de tecnología que se enfoca en la responsabilidad de las empresas del sector tecnológico mundial. Ganó un premio George Polk en 2020 por su cobertura de Facebook y vive en Los Ángeles. @RMac18