Ex empleados de TikTok dicen que la plataforma trabajó en estrecha colaboración con China pese a las afirmaciones de independencia

Casi cada 14 días, como parte del trabajo de Turner durante 2022, envió por correo electrónico hojas de cálculo llenas de datos de cientos de miles de usuarios estadounidenses a los trabajadores de ByteDance en Beijing. Esos datos incluían nombres, direcciones de correo electrónico, direcciones IP e información geográfica y demográfica de los usuarios de TikTok en EE. UU., dice. El objetivo era examinar la información para extraer ideas como las regiones geográficas donde los usuarios vieron la mayor cantidad de videos de un género en particular y decidir cómo la empresa debería invertir para alentar a los usuarios a ser más activos. Todo tuvo lugar después de que la compañía comenzara su iniciativa de mantener los datos confidenciales de los usuarios estadounidenses en los EEUU y solo disponibles para los trabajadores estadounidenses.

“Literalmente trabajé en un proyecto que proporcionaba datos de Estados Unidos a China”, dice Turner. “Fueron completamente cómplices de eso. Había estadounidenses que trabajaban en la alta dirección y eran completamente cómplices de esto”.

El proyecto de TikTok para dejar de compartir datos de usuarios con ByteDance fue parte de un esfuerzo por defenderse de los reguladores. La iniciativa, llamada Proyecto Texas, comenzó a principios de 2022 después de que el presidente Trump intentara prohibir TikTok, citando su amenaza a la seguridad nacional, seguido de que el presidente Biden prohibiera el servicio en dispositivos federales y planteara preocupaciones sobre su matriz con sede en Beijing. Como parte del Proyecto Texas de 1.500 millones de dólares, la operación estadounidense de TikTok trasladó los datos de sus usuarios estadounidenses a centros de datos con sede en Estados Unidos, según el sitio web del Proyecto Texas de TikTok. La empresa también creó un nuevo equipo para gestionar todas las funciones comerciales que requieren datos confidenciales del usuario, entre otras medidas de seguridad.

El expresidente estadounidense y precandidato electoral, Donald Trump. EFE/Erik S. Lesser

Dos años después, TikTok sigue en la mira. El 13 de marzo, la Cámara de Representantes en pleno votó 352-65 para prohibir TikTok a menos que ByteDance vendiera la aplicación a una empresa no china. El presidente Biden dijo que firmaría el proyecto de ley, pero el Senado aún tiene que decidir su próximo paso.

Los expertos en ciberseguridad difieren sobre la importancia del supuesto intercambio de datos de TikTok.

Anton Dahbura, director ejecutivo del Instituto de Seguridad de la Información Johns Hopkins y también codirector del Instituto para la Autonomía Asegurada de la escuela, dice que la supuesta transferencia de datos a China en los incidentes descritos por Turner es “muy preocupante”. “Aunque una hoja de cálculo probablemente represente un porcentaje muy pequeño de toda la información que recopila TikTok, puede ser extremadamente específica y muy dañina para ciertas personas”, afirma. Dahbura señaló que los datos geográficos se pueden utilizar para ataques de phishing. “Todo el mundo debería estar realmente preocupado”, afirma.

Mientras tanto, el profesor de ciberseguridad y privacidad de Georgia Tech, Jon Lindsay, atribuye la historia de Turner de enviar datos de usuarios estadounidenses a colegas chinos por correo electrónico a problemas crecientes y, por lo tanto, mucho menos graves. “Las empresas son empresas y las grandes burocracias son grandes burocracias; son estúpidos y tontos y hacen todo tipo de locuras; es difícil cambiar los propios hábitos”, dice Lindsay, que ha escrito dos libros sobre tecnología de la información y defensa nacional. “Si estás trasladando cosas a un lugar nuevo y tus amigos con experiencia están en otros lugares, entonces sí, ocasionalmente les enviarás cosas porque, tal vez, ellos pueden hacer cosas que tú no puedes hacer o No has contratado a las personas adecuadas o dejaste algunas máquinas allí”.

En otro ejemplo de posible intercambio de datos entre TikTok y ByteDance, Patrick Spaulding Ryan, quien fue el gerente principal del programa técnico de ingeniería de seguridad de TikTok hasta 2022, y otro ex empleado de TikTok con sede en EE. UU., citaron algunos de los sistemas de software internos de la compañía que, según dijeron, eran mantenido y monitoreado por equipos de ByteDance con sede en China. Lark, un sistema de mensajería interna similar a Slack que comparten ByteDance y TikTok, se encuentra entre los sistemas de software compartido más importantes utilizados por las dos empresas, dicen los ex empleados. Debido a que Lark está dirigido por ByteDance, los trabajadores de ByteDance podrían ver discusiones de los empleados de TikTok, incluidas aquellas sobre datos de usuarios estadounidenses.

Nnete Matima, que trabajó en desarrollo empresarial tanto en TikTok como en ByteDance en EEUU, vendió Lark a clientes corporativos desde julio de 2022 hasta agosto de 2023. En sus conversaciones de ventas, los clientes potenciales le preguntaban a Matima dónde almacenaba Lark los datos que los usuarios publicaban en la plataforma. Al tratar de encontrar la respuesta, Matima dijo que pasó mucho tiempo dando vueltas y nunca recibió una respuesta firme de la gerencia de TikTok y ByteDance. “Nunca se podrían obtener respuestas directas que pudieran ser lo suficientemente sólidas como para comunicárselas a su cliente y básicamente hacerle saber que se trata de una plataforma confiable y que sus datos estadounidenses están seguros”, recuerda. “No son transparentes hasta el punto de que tuve que perder un trato porque no pude responder las preguntas básicas de seguridad a las que la gente tiene derecho”.

Matima, que es negra, fue despedida de la empresa en agosto de 2023. Según su relato, la empresa despidió su empleo debido a problemas de desempeño, pero ella cree que fue despedida en represalia por expresar sus preocupaciones sobre el presunto trato racista que sufrió durante su mandato. en TikTok, según una denuncia que presentó tras su despido ante las Agencias de Prácticas Justas de Empleo y la Comisión de Igualdad de Oportunidades en el Empleo. Matima dice que ya habló con un investigador de la EEOC sobre la denuncia.

El año pasado, el New York Times informó que Lark almacenaba datos críticos en China. La compañía no respondió a las preguntas del Times sobre si los datos de Lark estaban almacenados en China y se negó a responder preguntas sobre los trabajadores con sede en China que comparten datos de usuarios de TikTok en Lark. Sin embargo, sí dijo que muchos grupos de chat de Lark se cerraron “después de que el servicio revisó” inquietudes internas “.

A Jacob Wallach, quien trabajó en la empresa desde junio de 2020 hasta agosto de 2022 en el equipo de soluciones comerciales globales de la empresa que gestiona las relaciones con clientes empresariales, no le preocupaba la presencia y supervisión de Lark por parte de ByteDance. “No me sentí incómodo con el hecho de que los trabajadores chinos tuvieran acceso… es como cualquier entidad global”, dice. Wallach cree que la posibilidad de vigilancia por parte de su antiguo empleador era igual a la de otras empresas para las que trabajó en los EE. UU. Señaló las interacciones poco frecuentes que tuvo con sus homólogos con sede en Beijing y dijo que un requisito de que se vendiera TikTok, como la Cámara respaldó recientemente , “no tiene ningún sentido”.

Otro servicio que comparten TikTok y ByteDance es Seal, una aplicación de autenticación y una red VPN que los empleados debían descargar en sus teléfonos del trabajo para proteger sus identidades, datos y sistemas de riesgos potenciales. A menudo, esos teléfonos eran dispositivos personales porque la empresa no proporcionaba teléfonos a los empleados, según Ryan, quien dice que dirigió el equipo central de seguridad de la aplicación TikTok de la empresa hasta su partida en 2022. El software le dio a ByteDance un punto de apoyo en los dispositivos personales de los empleados estadounidenses. , lo que los hizo vulnerables a la vigilancia por parte de los empleados de ByteDance con sede en Beijing, dice Ryan.

Seal, que estaba destinado a gestionar dispositivos móviles, seguía siendo “completamente desconocido para los empleados [de TikTok U.S.]”, dice Ryan, señalando que nadie sabía cómo funcionaba. Los miembros del equipo de I+D de App Security, la unidad principal de seguridad de aplicaciones de TikTok, no pudieron probar la tecnología, añade. Ryan, que posee decenas de miles de acciones de TikTok, presentó una queja ante la Junta Nacional de Relaciones Laborales alegando que la cláusula de no menosprecio de la compañía en su acuerdo de accionistas viola el derecho de los empleados a sindicalizarse, lo que constituye una práctica laboral injusta.

Una vista muestra la oficina de TikTok después de que la Cámara de Representantes de EE. UU. aprobara abrumadoramente un proyecto de ley que le daría al propietario chino de TikTok, ByteDance, alrededor de seis meses para deshacerse de los activos estadounidenses de la aplicación de videos cortos o enfrentar una prohibición, en Culver City. California. REUTERS/Mike Blake/Foto de archivo

Lindsay, de Georgia Tech, describe las preocupaciones de los ex empleados sobre Seal y Lark como “paranoia”. Él cree que cualquier espionaje por parte de trabajadores con base en China que espíen a través de Lark y Seal sería muy improbable porque comprometería todo el negocio empresarial de ByteDance de vender el software, que ByteDance esperaba que alcanzara los 940 millones de dólares en ingresos globales para 2026. “Existe un riesgo tremendo. involucrado cuando se habla de poner puertas traseras genéricas en productos producidos en masa porque la probabilidad de que [las puertas traseras] sean descubiertas, comprometidas y mitigadas es muy alta, y luego perder una cantidad masiva de participación de mercado debido a esa única decisión, que proporciona nada para la empresa y beneficios de inteligencia muy débiles para el Estado”, dice Lindsay.

Por el contrario, Dahbura de Johns Hopkins cree que los vínculos son evidencia de que “ByteDance y sus asociados del gobierno chino no se han esforzado mucho en crear un verdadero cortafuegos entre su operación china y su operación estadounidense”. Dice que las acusaciones de los ex empleados sobre la conexión de Lark con China no son “sorprendentes”.

A finales de marzo, Politico informó que la Comisión Federal de Comercio había estado investigando a TikTok por supuestas “prácticas de seguridad y datos defectuosos”. La fuente de Politico dice que la FTC estaba investigando acusaciones de que la compañía engañó a los usuarios al negar que China tuviera acceso a sus datos y violar la ley de privacidad de los niños. La agencia podría llegar a un acuerdo o llevar a la empresa a los tribunales, en colaboración con el Departamento de Justicia. Los portavoces de la FTC, el DOJ y TikTok se negaron a comentar sobre la historia de Politico.

No todos los ex empleados critican el esfuerzo de TikTok y ByteDance por separar su recopilación de datos de usuarios. Otro exgerente de TikTok que comenzó en la empresa en 2020 y se fue recientemente, dijo que TikTok ha avanzado en la separación de los datos de los usuarios originalmente compartidos entre los dos. Dice que el Proyecto Clover, el equivalente del Proyecto Texas de la Unión Europea, así como el Proyecto Texas, han marcado una “diferencia significativa” a la hora de proteger los datos de los usuarios europeos y estadounidenses. “Cuando me uní, había menos delimitación entre TikTok y la empresa matriz. Ahora se ha trabajado mucho para delinearlo… No puedo hablar de decisiones de liderazgo, pero en términos de la pila de tecnología, se ha hecho mucho para delinearlas”.

Wallach, exgerente de ventas globales de TikTok, también desestimó las críticas sobre las prácticas de datos de TikTok. Sostuvo que TikTok enfrenta críticas indebidas como resultado de su matriz china y su popularidad en Estados Unidos. Wallach, que ha trabajado en empresas de tecnología y consultoría y estuvo en TikTok durante más de dos años, dice que las prácticas de recopilación de datos de Meta, Google y Amazon son mucho más preocupantes. “TikTok ha tenido que hacer cosas en el décimo u undécimo grado en comparación con lo que Meta o Google han tenido que hacer, únicamente porque son propiedad de una empresa china”, dice.

TikTok ignoró una lista detallada de preguntas enviadas por Fortune sobre las acusaciones de sus ex empleados. Más bien, un portavoz de TikTok respondió: “Estas son afirmaciones completamente infundadas presentadas por ex empleados descontentos. Es increíble que Fortune dependa únicamente de personas con motivos y agendas claras para difundir mentiras y distorsiones anónimas”.

Cuatro de los ex empleados entrevistados por Fortune fueron despedidos de la empresa, mientras que los otros siete salieron voluntariamente entre 2021 y 2023. Cuatro de los entrevistados han presentado quejas ante agencias gubernamentales relacionadas con su trato como empleados y accionistas de TikTok. Matima y Jöel Carter, ex director de políticas publicitarias, presentaron una queja conjunta ante la EEOC. Un tercer empleado se quejó ante la Junta Nacional de Relaciones Laborales y el Servicio de Impuestos Internos. El cuarto presentó una denuncia ante la Comisión de Bolsa y Valores.

En público, los ejecutivos de TikTok insisten en que TikTok ha cambiado sus prácticas con ByteDance. En un memorando interno de diciembre visto por el Wall Street Journal, la compañía les dijo a los trabajadores que planeaba proporcionar a los empleados del Proyecto Texas nuevas herramientas y dispositivos para compartir datos y comunicarse entre sí después de que los empleados expresaran su preocupación sobre el posible acceso de ByteDance a su hardware propiedad de ByteDance. y software.

En enero de este año y marzo de 2023, el director ejecutivo de TikTok, Chew, reiteró ante el Congreso que la empresa es independiente. Enfatizó que tres de los cinco miembros de la junta directiva de ByteDance son estadounidenses (los otros dos son chinos) y que el servicio ha pasado los últimos dos años construyendo un “cortafuegos” que sella “los datos protegidos de los usuarios estadounidenses contra el acceso extranjero no autorizado”, refiriéndose al Proyecto Texas. “La conclusión es que estos datos estadounidenses son almacenados en suelo estadounidense por una empresa estadounidense supervisada por personal estadounidense”, dijo durante el testimonio del año pasado.

Los logotipos de Tik Tok se ven en teléfonos inteligentes frente a un logotipo de ByteDance en esta ilustración. REUTERS/Dado Ruvic/Illustration/File Photo

Katie Puris, exdirectora de marketing empresarial global de TikTok, demandó a la empresa en febrero por discriminación, diciendo que sus jefes con sede en Beijing esperaban que ella fuera recatada y que eso la llevó a despedirla en el otoño de 2022. En su denuncia, ella También reveló detalles sobre la supuesta participación de ByteDance en el negocio de TikTok.

A partir de 2020, Puris dijo en su denuncia, presentada ante el Tribunal de Distrito de Estados Unidos en el Distrito Sur de Nueva York, que los ejecutivos de ByteDance comenzaron a ejercer un mayor control sobre las operaciones diarias de TikTok, en contra de lo que TikTok decía en público. Lo hicieron organizando reuniones bimestrales dirigidas por el presidente de ByteDance, Lidong Zhang, para que ejecutivos como Puris pudieran hablar sobre sus logros y formar planes para los siguientes dos meses con los altos funcionarios de ByteDance. “A pesar de sus intentos de parecer independiente, la gestión diaria y las decisiones comerciales de TikTok provinieron directamente de la dirección de alto nivel de ByteDance en China”, dice la demanda.

A través de su abogado, Puris no respondió a las solicitudes de entrevista de Fortune. TikTok no ha comentado sobre la demanda.

La participación de ByteDance en las operaciones de TikTok en Estados Unidos se ha documentado en varias otras publicaciones. El año pasado, un trabajador de ByteDance en China le dijo al Wall Street Journal que el gobierno chino había accedido a los datos de los usuarios de TikTok en 2018 para espiar a los manifestantes prodemocracia de Hong Kong, incluida su información de red, identificaciones de tarjetas SIM y direcciones IP. Una portavoz de TikTok le dijo al Journal que estas acusaciones eran “afirmaciones infundadas” de un empleado que no había hablado en los cinco años posteriores a su despido en 2018 y que ahora estaba demandando a la compañía para “atraer la atención de los medios”.

Además, en 2022, Buzzfeed News informó que los empleados de ByteDance en China accedieron repetidamente a datos de usuarios estadounidenses. Un portavoz de TikTok negó la acusación a BuzzFeed y dijo que “nuestro objetivo es eliminar cualquier duda sobre la seguridad de los datos de los usuarios estadounidenses” y “trabajar continuamente para validar” los estándares de seguridad incorporando a “terceros independientes y acreditados para probar [sus] defensas”. «

Forbes también descubrió que el personal de ByteDance y TikTok, incluido el personal en China, tiene acceso a los contactos más cercanos de los principales políticos y celebridades en la aplicación y que TikTok almacenó datos en China de muchos de los principales usuarios globales. En respuesta, un portavoz de TikTok dijo a Forbes que era imposible responder a las preguntas de la publicación sin el nombre de la “herramienta específica en cuestión” y afirmó que seguía “confiando en la exactitud” del testimonio del CEO Chew ante el Congreso en marzo. Durante el testimonio, Chew dijo que el “cortafuegos protegía los datos estadounidenses del acceso extranjero no deseado”, y señaló que una vez que la compañía terminara de eliminar los datos heredados almacenados en servidores en Virginia y Singapur, “todos los datos estadounidenses protegidos estarán bajo la protección de las leyes estadounidenses y bajo el control del equipo de seguridad liderado por Estados Unidos”.

TikTok ha tratado de mitigar cualquier daño causado por los trabajadores que hablan con los periodistas sobre China. Un ex trabajador de TikTok que se fue en 2021, por ejemplo, dice que TikTok le dio temas de conversación para ayudarlo a negar vínculos con China, si le preguntaban sobre el tema.

Las críticas externas a China también fueron un tema importante dentro de la empresa. Otro ex empleado senior, que se fue en 2022, recuerda haber tenido que calmar los temores internos de toda la fuerza laboral de TikTok sobre su dependencia de ByteDance. “Diría cosas que simplemente no eran así”, dice, admitiendo que sentía que era parte de su trabajo restar importancia ante sus colegas a los vínculos con ByteDance. “Socavó mi credibilidad ante la empresa, ante los empleados de los que era amigo y todo lo demás”.