Por Roland Cloutier, Director de Seguridad de la Información en TikTok

La construcción de defensas de seguridad tecnológica es un esfuerzo constante para anticipar, planificar y reaccionar. Lo que ha quedado claro desde que comencé este trabajo hace casi tres meses, es que el equipo de TikTok está totalmente comprometido con la protección de la privacidad de nuestros usuarios y brindar transparencia en nuestros esfuerzos generales de seguridad. Tal como lo escribí hace unas semanas, mi equipo de expertos en seguridad y yo estamos llevando a cabo una amplia revisión de nuestros procesos e infraestructura de seguridad. Con esto en mente, me gustaría poner al día a la comunidad sobre algunos acontecimientos recientes. 

Primero iniciaré con algunos antecedentes. A principios de este año, un informe señaló que muchas aplicaciones destacadas, incluyendo TikTok y otras importantes aplicaciones de entretenimiento y noticias, solicitaban acceso a los portapapeles de los usuarios. Hay muchas razones legítimas por las que podría ocurrir algo así. Por ejemplo, si copia texto de un sitio web en una aplicación y después abre un navegador, la mayoría de los navegadores le preguntarán si desea pegar el texto e ir directamente a la URL. Este es un ejemplo de cómo los navegadores intentan mejorar la experiencia de sus usuarios, pero requiere que la aplicación sepa que hay una URL en el portapapeles. Hay docenas de razones más por las que las aplicaciones pueden tratar de ver si hay información en el portapapeles de un usuario.

En el caso de TikTok, esta notificación se activó mediante la integración del SDK de Google Ads. Aunque este tipo de datos no se enviaron a TikTok, percibimos que este problema confundió a muchos usuarios y tal vez les hizo creer que TikTok estaba utilizando los datos con fines poco claros. Además, la naturaleza omnipresente de los programas publicitarios de terceros ayuda a explicar por qué tantas otras aplicaciones indicaron un comportamiento similar. Como respuesta, el 16 de abril actualizamos nuestra aplicación para que el programa publicitario no pudiera acceder a los portapapeles de los usuarios.

La semana pasada, después del lanzamiento de Beta iOS 14, los usuarios de TikTok vieron una notificación de iOS similar cuando intentaron escribir comentarios en un video. Los usuarios también vieron notificaciones en varias aplicaciones populares más. Aunque no puedo saber con certeza por qué los usuarios vieron las notificaciones de otras aplicaciones, puedo explicar por qué sucedió en TikTok, cómo ocurrió poco después tener de un problema similar y qué estamos haciendo para detenerlo nuevamente, dada la percepción de que este tipo de acciones podría comprometer la seguridad del usuario.

Constantemente estamos desarrollando nuevas funciones para mejorar la experiencia en TikTok. En este caso, hemos estado trabajando para resolver el problema del spam y los incidentes en los que los usuarios a veces publican los mismos comentarios en cientos de videos. Nuestra tecnología nos permitió identificar a los usuarios que copiaban comentarios y los pegaban una y otra vez en la sección de comentarios de diferentes videos. Tomamos esto como una señal de que el usuario tenía un plan para promocionarse y ganar seguidores, o captar a otros usuarios. 

Lanzamos una función anti-spam para poder detectar rápidamente el spam y mejorar la experiencia de nuestra comunidad. Esta función se agregó en la versión para iOS de la aplicación que lanzamos el 22 de mayo.

Desde un punto de vista técnico, esta tecnología de defensa antibots realizó una validación de coincidencias de cadenas desde el portapapeles. Su única función era validar si el texto coincidente que se introducía en la aplicación provenía del portapapeles. No hubo recopilación de datos en el portapapeles, simplemente se trató de una validación contra la entrada de datos en la aplicación, como la validación de hash.

Hablando en términos más sencillos, el programa anti-spam nunca envió los datos de los usuarios fuera de sus dispositivos. No obstante, entendemos que la notificación tuvo la consecuencia no deseada de aparentar que podríamos estar haciendo más con la función. La semana pasada enviamos una actualización a la App Store eliminando esta función, y se resolvió en la versión 16.6.1 de la aplicación de TikTok que apareció en la App Store de Apple el 27 de junio. Como siempre, sugerimos a todos nuestros usuarios que actualicen sus aplicaciones a la última versión.

La función anti-spam nunca se agregó a la versión de Android de la aplicación, y ahora estamos resolviendo el problema del spam en ambas versiones con ayuda de otra tecnología que no involucra el uso del portapapeles.

La función anti-spam que estuvo operativa del 22 de mayo al 27 de junio es similar a otros tipos de funciones que utilizan docenas, si no es que cientos, de aplicaciones diferentes que activan notificaciones desde iOS 14. Al mismo tiempo, percibimos que hubiera sido mejor no agregar una función que planteara dudas sobre el acceso de TikTok al portapapeles en cualquier escenario, en especial poco después de haber trabajado para eliminar este tipo de acceso para una función diferente.

También entendemos que, aunque muchas aplicaciones están activando este tipo de notificación, a menudo por razones inofensivas, los usuarios tienen preguntas legítimas sobre lo que las empresas hacen con sus datos. Lo aceptamos completamente y nos esforzamos por ser líderes en la industria, no solo trabajando todos los días para proteger la seguridad y privacidad de nuestros usuarios, sino que también siendo transparentes y directos sobre nuestras prácticas.

Con esto en mente, estoy implementando una iniciativa de sprint para llevar a cabo evaluaciones de seguridad, correcciones, verificaciones, pruebas previas a la implementación y esfuerzos de prevención de validación exhaustivas y continuas. Esta es la máxima prioridad para el equipo y contamos con todo el apoyo de nuestro equipo de dirección ejecutiva para hacer nuestro análisis e implementar medidas. Contaremos con un equipo de ingenieros completamente dedicado a este proyecto.

Además, estamos llevando a cabo una revisión de nuestros procesos de lanzamiento de funciones para limitar la posibilidad de que dichos problemas surjan en el futuro durante las implementaciones.

Como parte de esto, efectuamos una revisión completa de todos los problemas causados por el portapapeles, para tener en cuenta otros posibles escenarios en los que esto podría ocurrir. En particular, analizamos escenarios en los que podría haber cualquier tipo de acción de acceso al portapapeles que no haya sido iniciada directamente por el usuario. Por ejemplo, pegar información en TikTok sería una acción iniciada por el usuario y le aporta valor. En los próximos días, trabajaremos con nuestros socios externos para completar esa revisión y confirmar que no existen otros escenarios similares. En breve informaremos sobre nuestros hallazgos.

Estamos comprometidos en desarrollar una aplicación que respete la privacidad de nuestros usuarios y a ser más transparentes con nuestra comunidad. Seguiremos informándole sobre cómo estamos mejorando TikTok y, a finales de este año, abriremos nuestro Centro de Transparencia para proporcionar a los expertos una visión personalizada sobre cómo mantenemos seguros a nuestros usuarios y protegemos su privacidad. La seguridad es un trabajo que nunca termina, pero les aseguro que seguiremos construyendo agresivamente una experiencia que respete y proteja a nuestra comunidad.