HISTORIA EN BREVE
- Aplicaciones como Instagram, TikTok y Facebook utilizan el código JavaScript en sitios web de terceros que generan riesgos potenciales sobre seguridad y privacidad.
- Sin su consentimiento, cuando da clic en un enlace a un sitio web externo desde una aplicación, se puede insertar un código que le permite a la aplicación monitorear cada botón o enlace que toca, el texto que selecciona, las capturas de pantalla que toma y todo lo que pone en el sitio.
- Al comparar varias aplicaciones de iOS, incluyendo Amazon, Facebook Messenger y Robinhood, solo TikTok se nego a ofrecerles los usuarios la opción de cambiar de la navegación en la aplicación al uso de un navegador externo al ver sitios de terceros.
- La empresa matriz de TikTok es ByteDance, que tiene vínculos con el Partido Comunista Chino, lo que significa que las capacidades de vigilancia de la aplicación podrían usarse con fines de espionaje industrial.
- No importa qué aplicación use, debe asumir que alguien, o alguna entidad, puede estar observándolo.
Por el Dr. Mercola
Puede asumir que su privacidad está en riesgo cuando brinda información en línea, pero incluso navegar podría representar un riesgo de seguridad, según Felix Krause, quien es ingeniero de software e investigador de seguridad. 1
Esto es muy cierto cuando se desplaza por una aplicación en su teléfono celular, ya que los navegadores de la aplicación pueden estar monitoreando casi todo lo que está haciendo, incluyendo las pulsaciones de teclas, información de tarjetas de crédito, contraseñas y otros datos confidenciales.
La navegación en la aplicación ocurre cuando navega por sitios de terceros que se abren en la aplicación en lugar de un navegador separado. Krause descubrió que la navegación de inicio en la aplicación de TikTok incluye un código Java Script que le permite al gigante de las redes sociales rastrear cada toque de pantalla y texto.
¿Sera posible que las aplicaciones de redes sociales registren sus pulsaciones de teclas?
Krause, fundador de Fastlane, una herramienta de código abierto para desarrolladores de iOS y Android, publicó un informe en agosto de 2022 donde advertía sobre los riesgos de las aplicaciones móviles que utilizan navegadores integrados en la aplicación. Dijo que las aplicaciones de Instagram y Facebook “inyectan código JavaScript en sitios web de terceros que causan riesgos potenciales sobre la seguridad y privacidad del usuario”.2 Krause explica:3
“La aplicación iOS de Instagram y Facebook reproduce los enlaces y anuncios de terceros dentro de su aplicación con la ayuda de un navegador personalizado en la aplicación. Esto causa varios riesgos para el usuario, ya que la aplicación host puede rastrear cada interacción con sitios web externos, todo lo que ingresa como contraseñas y direcciones, hasta cada tecla que toca”.
Lo que esto significa es que, sin su consentimiento, cuando da clic en un enlace a un sitio web externo, por ejemplo, la aplicación de Instagram, Instagram inyecta un código JavaScript que les permite monitorear cada botón o enlace que toca, el texto que selecciona, capturas de pantalla que toma y todo lo que ingresa en el sitio. Esto también ocurre si da clic en un anuncio de la aplicación. 4 Según Krause:5
“Ya que Instagram tiene mil millones de usuarios activos, la cantidad de datos que Instagram puede recopilar al inyectar el código de rastreo en cada sitio web de terceros desde la aplicación de Instagram y Facebook es una cantidad impresionante. Y debido a que el navegador web y el iOS agregan más y más controles de privacidad en las manos del usuario, queda claro por qué Instagram está interesado en monitorear todo el tráfico de sitios externos”.
En un informe actualizado, Krause también advierte que TikTok está monitoreando todas las entradas y todo lo que ingresa, abre y toca desde su aplicación:6
“Cuando abre cualquier enlace en la aplicación de TikTok iOS, se abre dentro de su navegador en la aplicación. Mientras interactúa con el sitio web, TikTok registra todas las entradas del teclado (incluidas las contraseñas, la información de la tarjeta de crédito, etc.) y cada vez que toca la pantalla, como los botones y enlaces que abre.
TikTok iOS registra cada pulsación de tecla (entradas de texto) que ocurre en sitios web de terceros que están dentro de la aplicación de TikTok. Esto puede incluir contraseñas, información de tarjetas de crédito y otros datos confidenciales... No podemos saber para qué TikTok usa la suscripción, pero desde un punto de vista técnico, esto es el equivalente a instalar un keylogger en sitios web de terceros.
TikTok iOS registra cada pulsación, enlace, imagen u otro componente en los sitios web dentro de la aplicación TikTok. TikTok iOS usa una función de JavaScript para obtener detalles sobre el elemento que abrio, como una imagen”.
'Un riesgo muy grande para todos los usuarios'
En una respuesta a Forbes, TikTok confirmó que su condigo tiene funciones para rastrear a los usuarios, aunque negaron haberlas utilizado. 7 Krause también señala que, el hecho de que una aplicación coloque el código en sitios web externos no significa que esté haciendo algo malicioso con él. “No hay forma de que sepamos los detalles completos sobre qué tipo de datos recopila cada navegador en la aplicación, o cómo transfieren o utilizan los datos”, dice. 8
En una entrevista con The Guardian, TikTok volvió a negar cualquier irregularidad con su código JavaScript invasivo y, afirmó: "Al contrario de las afirmaciones del informe, no recopilamos entradas de texto o pulsaciones de teclas a través de este código, solo lo utilizamos para depurar, solucionar problemas y monitorear la funcionalidad".9
Aun así, el simple hecho de tener un código es una señal de advertencia que sugiere la enorme cantidad de datos que se podría recopilar sobre usted cada vez que navega por la web. Krause dice:10
"Instalar un keylogger es algo descabellado... según TikTok está deshabilitado en este momento. El problema es que tienen la infraestructura y los sistemas para poder rastrear todas estas pulsaciones de teclas... eso lo hace un problema. El hecho de que ya tengan este sistema es un gran riesgo para todos los usuarios".
Al comparar varias aplicaciones de iOS, incluyendo Amazon, Facebook Messenger y Robinhood, solo TikTok se olvidó de ofrecerles a los usuarios la opción de cambiar de la navegación en la aplicación al uso de un navegador externo cuando visita otros sitios. En general, Uri Gal, profesor de sistemas de información empresarial en la Universidad de Sydney, dijo para The Guardian:11
“TikTok tenía las capacidades de vigilancia más amplias. Muchas personas que usan la aplicación desconocen que les estan robando su privacidad. La base de usuarios de TikTok aún no es tan grande como la Facebook e Instagram... eso los hace mucho más vulnerables”.
Gal también señaló que la empresa matriz de TikTok, ByteDance, que tiene vínculos con el Partido Comunista Chino. Esto significa que las capacidades de vigilancia de la aplicación podrían "recopilar la mayor cantidad de información posible con fines de espionaje industrial y moldear la opinión pública para favorecer sus intereses".12
Un informe de la empresa de ciberseguridad Internet 2.0 confirmó la "recopilación excesiva de datos" de TikTok y que la aplicación "se conecta a la infraestructura con sede en China continental".13 Si bien Instagram y Facebook también son responsables de recopilar datos, Gal señaló que TikTok también representa una amenaza única para la seguridad nacional debido a sus vínculos con China.
“Su motivación principal [de Instagram y Facebook] es más comercial y financiero”, dijo, “mientras que con TikTok, hay un elemento de seguridad nacional que no creo que sea el caso con otras aplicaciones”.14
¿Facebook recopila datos de salud confidenciales?
Suceden muchas cosas cuando navega por la web, incluso cuando asume que se encuentra en un área más protegida, como el sitio web de un hospital o un portal de información de salud protegido por contraseña como MyChart. 15 Facebook, por ejemplo, puede recopilar datos de salud confidenciales a través de píxeles, que pueden instalarse en los sitios web que visita sin su conocimiento.
Pueden recopilar la información que ingresa mientras navega, incluso si no tiene una cuenta de Facebook. El Meta Pixel es una pieza de código JavaScript que los desarrolladores pueden agregar a su sitio web para rastrear la actividad de los visitantes. 16Según Meta:17
“este código carga una pequeña biblioteca de funciones que puede utilizar cada vez que un usuario del sitio realiza una acción (que se denomina evento) que desea rastrear (que se denomina conversión). Las conversiones que rastrea se registran en el Administrador de Anuncios, donde se pueden utilizar para medir la efectividad de sus anuncios, para definir audiencias personalizadas para anuncios específicos, para campañas de anuncios dinámicos y para analizar la efectividad de los embudos de conversión de su sitio web”.
Una investigación realizada por The Markup analizo los sitios web de los 100 principales hospitales de Estados Unidos segun la lista de Newsweek. El píxel de Meta de Facebook se encontró en 33 sitios web de hospitales, y se trata de un código que envía información a Facebook a través de la dirección IP, que identifica computadoras personales y puede rastrear personas y lugares.
El píxel no solo rastrea la dirección IP de la computadora que se está utilizando, sino también las búsquedas de médicos y otros términos que se relacionan con la salud que se ingresan en los cuadros de búsqueda o se seleccionan de los menús desplegables. The Markup informó:18
“por ejemplo, en el sitio web de University Hospitals Cleveland Medical Center al dar clic en el botón “Programar cita” en la página de un médico, el píxel de Meta envió a Facebook el texto que se ingresa, el nombre del médico y el término de búsqueda que se utiliza para encontrarlo: "interrumpir embarazo".
Al hacer clic en el botón "Programar cita" para un médico en el sitio web del Hospital Froedtert en Wisconsin, el píxel de Meta envió a Facebook el texto que se ingresa, el nombre del médico y la enfermedad que seleccionamos de un menú desplegable: "Alzheimer".
Los datos a los que accede cuando utiliza portales de pacientes protegidos con contraseña también pueden enviarse a Facebook a través de píxeles. The Markup encontró el píxel de Meta en los portales de pacientes de siete sistemas de salud, que incluyeron Edward-Elmhurst Health, FastMed, Novant Health y Community Health Network.
Se recopilaron datos como el nombre de los medicamentos que tomaban los pacientes, las descripciones de sus reacciones alérgicas y sus próximas citas médicas. 19 Novant Health, que eliminó el píxel después de ser contactado por The Markup, declaró: “Le damos las gracias por habernos avisado sobre esto. La implementación de metapíxeles fue administrada por un proveedor externo y ya la eliminamos. Seguiremos investigando este asunto”.20
Tenga cuidado con YouTube y TikTok
La lección que debe aprender es que no importa qué aplicación use, debe asumir que alguien, o alguna entidad, está observándolo. Es importante recordar que el Internet fue construido por el gobierno como una herramienta para espiar a los ciudadanos. Si está interesado en aprender más sobre los comienzos poco conocidos del Internet, lo invito a leer el libro "Surveillance Valley: The Secret Military History of the Internet", de Yasha Levine. 21
Levine, un periodista de investigación, revela que Internet comenzó en la era de Vietnam y se usó para espiar a los guerrilleros y a los manifestantes contra la guerra, “un proyecto militar de redes informáticas que imaginó un sistema global de vigilancia y predicción”, no obstante, los objetivos de vigilancia militar que sustentaron el desarrollo de Internet siguen vigentes en la actualidad. 22
La conclusión es que, a medida que la sociedad se vuelve cada vez más digitalizada, es difícil mantener su privacidad en línea, sin importar qué sitio web o aplicación use. Sin embargo, parece haber algunos criminales muy atroces, entre ellos TikTok y YouTube. La investigación por URL Genius23 analizó 200 aplicaciones de 20 categorías diferentes, lo que reveló un amplio seguimiento de datos de la mayoría de las aplicaciones, incluso con un uso muy limitado de la aplicación.
Además, el seguimiento puede continuar en otros sitios, incluso aunque no esté usando la aplicación. 24La cantidad promedio de contactos de red por aplicación fue de 6, pero con YouTube y TikTok aumentó a 14, aunque es probable que las cifras reales sean aún mayores para los usuarios que iniciaron sesión en las aplicaciones.
De los rastreadores de YouTube, cuatro eran de dominios de terceros: partes externas que recopilan información y actividades de los usuarios. En TikTok, 13 de los 14 contactos de la red eran de terceros. 25 Como lo indico URL Genius:26
“Los usuarios que no hayan otorgado permiso para ser rastreados se sorprenderán si supieran la cantidad de redes de terceros que visitan, independientemente del tiempo que usen la aplicacion. Los usuarios no pueden ver qué datos se comparten con redes de terceros o cómo se utilizarán sus datos... Los usuarios no tienen la capacidad de deshabilitar los rastreadores potenciales; sus opciones son usar la aplicación o no”.
Krause desarrolló una herramienta de seguridad, InAppBrowser.com,27 para ayudar a determinar qué aplicaciones lo rastrean cuando usa sus navegadores integrados en la aplicación,28 pero puede asumir que son muchas. Para recuperar parte de su privacidad en línea, tanto para usted como para sus hijos, puede evitar YouTube y TikTok por completo, y mejor optar por estos consejos
1. Eliminar Gmail. Si tiene una cuenta de Gmail, puede probar un servicio de correo electrónico que no sea de Google, como ProtonMail, un servicio de correo electrónico cifrado con sede en Suiza.
2. Desinstalar Google Chrome y mejor use Brave que está disponible para todas las computadoras y dispositivos móviles. Bloquea los anuncios y protege su privacidad.
3. Cambiar los motores de búsqueda. Mejor utilice el motor de búsqueda Brave
4. Evitar el sistema Android. Los teléfonos de Google y los que utilizan el sistema operativo de Android rastrean todo lo que hace y además no protegen su privacidad. Para no utilizar google en su celular compre un teléfono Android que no tenga un sistema operativo de Google, pero necesitará encontrar una persona de TI que pueda formatear el disco duro de su teléfono celular.
5. Evitar los dispositivos de Google Home. Si tiene altavoces inteligentes Google Home o la aplicación para teléfonos inteligentes de Asistente de Google, existe la posibilidad de que las personas escuchen no solo lo que solicita, sino todo lo que dice.
6. Limpiar los cachés y cookies. Esto ayudará a eliminar los códigos informáticos invasivos que rastrean todo lo que hace en línea.
7. Utilizar un proxy o red privada virtual (VPN). Este servicio crea una barrera entre usted e Internet, "lo que engaña a muchas de las empresas de vigilancia para que piensen que usted no es usted".
Fuentes y Referencias
- 1, 10, 28 ABC.net.au August 21, 2022
- 2, 6, 8 Felix Krause August 18, 2022
- 3, 4, 5 Felix Krause August 10, 2022
- 7 Forbes August 18, 2022
- 9, 11, 12, 14 The Guardian August 24, 2022
- 13 Internet 2.0, It’s Their Word Against Their Source Code — TikTok Report
- 15, 18, 19, 20 The Markup June 16, 2022
- 16, 17 Meta for Developers, Meta Pixel
- 21, 22 SurveillanceValley.com
- 23 URL Genius January 20, 2022
- 24, 25 CNBC February 8, 2022
- 26 URL Genius January 20, 2022, Why it Matters
- 27 InAppBrowser.com
- 29 Medium March 17, 2017