En Washington, un ex gerente de TikTok está luchando en secreto contra la empresa china
Se reunió con investigadores del Congreso para compartir sus preocupaciones de que el plan de la compañía para proteger los datos de los usuarios de EEUU tiene fallas profundas
En una entrevista exclusiva con The Washington Post, el ex empleado, que trabajó durante seis meses en la división de Confianza y Seguridad de la empresa hasta principios de 2022, dijo que los problemas podrían dejar los datos de los más de 100 millones de usuarios estadounidenses de TikTok expuestos a los empleados con sede en China de su empresa matriz ByteDance, incluso cuando la empresa se apresura a implementar nuevas reglas de seguridad que bloquean la información de los usuarios domésticos.
Sus acusaciones amenazan con socavar este plan de reestructuración de 1.500 millones de dólares, conocido como Proyecto Texas, que TikTok ha promovido ampliamente en Washington como una forma de neutralizar el riesgo de robo o uso indebido de datos por parte del gobierno chino.
También podrían alimentar la especulación de que la popular aplicación de videos cortos sigue siendo vulnerable a que su algoritmo de recomendación de videos y los datos de los usuarios se distorsionen con fines propagandísticos o de espionaje. Las autoridades estadounidenses no han compartido pruebas de que el gobierno chino haya accedido a los datos o el código de TikTok.
Los funcionarios de TikTok y ByteDance han estado negociando desde 2019 con un grupo de funcionarios federales, conocido como el Comité de Inversión Extranjera en los Estados Unidos (CFIUS, por sus siglas en inglés), sobre qué estándares de privacidad y garantías técnicas deberían adoptar para satisfacer las preocupaciones de seguridad nacional de los Estados Unidos. La empresa finalizó su propuesta en agosto y la presentó a CFIUS, pero aún no se ha aprobado y los funcionarios de CFIUS se han negado a explicar por qué.
El ex empleado, que habló bajo condición de anonimato por temor a represalias, les dijo a los investigadores del Congreso que el Proyecto Texas no va lo suficientemente lejos y que un arreglo verdaderamente a prueba de filtraciones para los datos de los estadounidenses requeriría una “reingeniería completa” de cómo se ejecuta TikTok.
Como prueba, compartió con The Post un fragmento de código que, según dijo, mostraba que TikTok podía conectarse con sistemas vinculados a Toutiao, una popular aplicación de noticias china administrada por ByteDance. Esa conexión, dijo, podría permitir una interferencia subrepticia en el flujo de datos estadounidenses.
Los funcionarios de TikTok dijeron que el ex empleado malinterpretó el plan y que su despido, meses antes de que se finalizara, significa que “no tendría conocimiento del estado actual del Proyecto Texas y los muchos hitos importantes que la iniciativa ha alcanzado durante el último año”.
Su acusación de Toutiao era “infundada”, dijeron, y el fragmento de código que compartió no indicaba ninguna correlación o conectividad entre las dos aplicaciones. El código Toutiao, dijeron, no se vincula con China y “no es más que una convención de nomenclatura y una reliquia técnica” que se remonta a la primera aplicación exitosa de ByteDance.
Los funcionarios también dijeron que ya adoptaron una promesa clave del Proyecto Texas al transferir datos de usuarios de EEUU y otro código crítico a servidores administrados por el gigante tecnológico estadounidense Oracle, una medida, dijeron, que socavaría aún más la afirmación de que los funcionarios de Toutiao podrían tener alguna influencia en el contenido o las operaciones de TikTok en EEUU.
La capacidad del ex empleado para asegurar reuniones con el personal de senadores clave refuerza el interés expansivo de Washington en una aplicación querida por los jóvenes, mejor conocida por sus bailes y desafíos virales. El director ejecutivo de TikTok, Shou Zi Chew, probablemente será interrogado sobre el Proyecto Texas y la posibilidad de influencia china durante una audiencia en el Congreso a finales de este mes.
Sus visitas a Washington también están programadas para acelerar la preocupación por TikTok, incluidas dos iniciativas legislativas recientes que podrían conducir a una prohibición de aplicaciones sin precedentes en todo el país. El ex empleado dijo que se había reunido con el personal en las oficinas de los senadores Charles E. Grassley y Mark R. Warner. Los representantes de ambas oficinas confirmaron las reuniones, pero declinaron hacer más comentarios.
El senador Warner y un grupo bipartidista de senadores propusieron el martes un proyecto de ley que le daría al Departamento de Comercio un camino directo para prohibir TikTok y otras aplicaciones con propietarios extranjeros luego de una evaluación “basada en el riesgo”. Otro proyecto de ley presentado por el Comité de Asuntos Exteriores de la Cámara la semana pasada permitiría al presidente Biden prohibir TikTok por completo.
La Casa Blanca dijo el miércoles que apoyaba el proyecto de ley de Warner, pero que también esperaba que concluyeran las negociaciones de CFIUS. Más de dos docenas de estados han aprobado medidas que prohíben TikTok en dispositivos propiedad del gobierno, pero un fallo de un tribunal federal de 2020, y un grupo creciente de activistas por las libertades civiles y demócratas del Congreso, han argumentado que una prohibición a nivel nacional violaría las protecciones de la Primera Enmienda de los estadounidenses contra cualquier ley gubernamental que limite la libertad de expresión.
El ex empleado trabajaba como jefe de una unidad dentro del equipo de Operaciones de Seguridad de TikTok, que supervisaba la gestión de riesgos técnicos y los problemas de cumplimiento, incluidos los empleados que tenían acceso a las herramientas de la empresa y los datos de los usuarios, según documentos que compartió con The Post.
Argumenta que una prohibición a nivel nacional sería innecesaria para resolver las preocupaciones técnicas, que dijo que podrían solucionarse con soluciones “factibles y factibles” que irían más allá de los protocolos del Proyecto Texas. Dijo que trabajó para abordar los problemas de privacidad de datos internamente, pero fue despedido después de plantear sus preocupaciones.
En una carta de diciembre al CEO de TikTok, Chew, que compartió con The Post, el ex empleado escribió que los altos directivos eran “responsables del fraude interno relacionado con la implementación del Proyecto Texas”, que dijo que los involucraba “mintiendo intencionalmente” al gobierno de EEUU funcionarios acerca de cómo se habían probado y verificado sus controles.
“Varios ejecutivos de TikTok me presionaron indebidamente para que firmara el Proyecto Texas como si fuera algo que se logró hace mucho tiempo”, escribió. Exigió una “investigación interna rápida para garantizar una verdadera gestión de riesgos y mi reincorporación”.
El jefe de cumplimiento legal global de ByteDance reconoció haber recibido su carta de inquietudes y dijo que la compañía las “revisaría con prontitud”, según una copia del correo electrónico revisado por The Post. La compañía, dijo, no ha ofrecido ninguna actualización desde entonces.
El ex empleado dijo que aún no ha presentado una denuncia oficial ante la SEC y que sus afirmaciones no han sido corroboradas por una investigación oficial.
Dijo que también está separado de un presunto denunciante al que se hace referencia en una carta del martes que el senador Josh Hawley envió al Departamento del Tesoro, reportada por primera vez por Axios. Esa persona dijo que los controles de acceso a datos de TikTok eran “superficiales” y que los ingenieros con sede en China podían usar herramientas para acceder a datos de EEUU con “el clic de un botón”, escribió Hawley, uno de los mayores críticos de TikTok en el Congreso. Esas afirmaciones tampoco han sido verificadas.
Los funcionarios de TikTok dijeron en un comunicado el miércoles que las “herramientas analíticas” no otorgaron acceso directo a los datos y que la información estadounidense protegida ahora se almacena en servidores Oracle a los que se puede acceder solo en “circunstancias limitadas y monitoreadas”.
El Proyecto Texas aislaría las operaciones de TikTok en EEUU en una nueva subsidiaria, TikTok US Data Security, cuyos líderes serían investigados por el gobierno de EEUU e informarían a CFIUS, según los informes que la compañía ha brindado a investigadores, periodistas y miembros del Congreso.
Todos los datos de los usuarios de EEUU se almacenarían en silos en un sistema con puertas de enlace monitoreadas para uso autorizado, según el plan, y los ingenieros de Oracle revisarían el código y los algoritmos de recomendación de TikTok, quienes podrían alertar a los reguladores de EEUU sobre posibles preocupaciones.
Algunos informados sobre el plan elogiaron su rigor, incluido Samm Sacks, miembro principal del Centro Paul Tsai China de la Facultad de Derecho de Yale, quien dijo que reflejaba un esfuerzo serio que le daría al gobierno de EEUU un nivel sin precedentes de supervisión y control sobre cómo la empresa obra.
“Si no funciona, si hay una fuga de datos o un contenido problemático, TikTok estaría sujeto a más supervisión que cualquier otra empresa de redes sociales que opere en Estados Unidos”, dijo.
Pero los escépticos han argumentado que ninguna salvaguarda técnica puede proteger de la propiedad de ByteDance, lo que, según dicen, podría presionar a los administradores de TikTok para que censuren temas inconvenientes, impulsen mensajes a favor del gobierno o introduzcan vulnerabilidades a través de líneas de código. Los empleados de TikTok le dijeron a The Post el año pasado que los equipos de ByteDance en Beijing trabajaron en herramientas de diseño, ingeniería y software en las que confiaban para las operaciones diarias.
Si se rechaza el Proyecto Texas, algunos miembros del Congreso han argumentado que la única solución sería obligar a ByteDance a vender TikTok a un comprador estadounidense, una idea, planteada por primera vez por la administración Trump, que los partidarios de TikTok han comparado con la toma de rehenes. Las autoridades gubernamentales de Beijing utilizaron las leyes de exportación para bloquear la propuesta de Trump en 2020 y podrían volver a hacerlo.
TikTok puede recopilar una gran variedad de datos de los usuarios, incluidos los historiales de visualización de videos, direcciones de correo electrónico y contactos, aunque los gigantes tecnológicos estadounidenses como Facebook y Google recopilan aún más, incluidas ubicaciones GPS precisas, detalles biográficos extensos e historiales de navegación web, según una revisión realizada por The Post el mes pasado.
Las autoridades del gobierno chino pueden, por ley, obligar a las empresas tecnológicas a entregar los datos de los usuarios para apoyar el trabajo de “inteligencia nacional”. TikTok ha argumentado que la información de los estadounidenses no estaría sujeta a esa ley porque se almacena en servidores en EEUU y Singapur.
Los críticos de una prohibición han argumentado que violaría los derechos de libertad de expresión de los estadounidenses y no abordaría la mayor necesidad de una ley nacional que restrinja la forma en que todas las aplicaciones, no solo TikTok, recopilan datos personales. El grupo de derechos digitales Fight for the Future dijo en un comunicado el mes pasado que la propuesta de prohibición equivalía a “exhibición xenófoba que no hace exactamente nada para proteger a nadie”.
Las afirmaciones del ex empleado coinciden con las de una fuente que compartió horas de grabaciones de reuniones internas, informadas por primera vez por BuzzFeed el año pasado, en las que los empleados de la compañía dijeron que estaban trabajando para cerrar las formas en que los empleados en China podrían acceder a los datos de EEUU con su propuesta CFIUS.