La prohibición de TikTok debería preocupar a todas las empresas

Si bien la propuesta estadounidense de prohibir la aplicación de redes sociales TikTok puede parecer novedosa, en realidad solo se trata del incidente más reciente de una serie de casos en los que países prohíben productos o servicios por supuestos problemas de ciberseguridad. Los autores han estudiado más de 75 eventos de este tipo en los que participaron más de 31 países y que se remontan a casi 20 años. Sugieren que la tendencia actual debería preocupar a cualquier empresa con un alcance internacional y sugieren que los ejecutivos de empresa no solo deben seguir las mejores prácticas para mejorar la ciberseguridad de sus productos y servicios digitales, sino que también deben prepararse para los riesgos políticos. Los gerentes, así como los consumidores, pueden sufrir interrupciones extremas en el comercio internacional.

••• A principios de este verano, el gobierno de los Estados Unidos anunció que estaba considerando prohibir las aplicaciones de redes sociales chinas,[incluida la popular aplicación TikTok](https://www.washingtonpost.com/nation/2020/07/07/tiktok-ban-china-usa-pompeo/). En agosto, el presidente Trump firmó dos órdenes ejecutivas para bloquear las transacciones con ByteDance, la compañía madre de TikTok, y [Tencent](https://www.whitehouse.gov/presidential-actions/executive-order-addressing-threat-posed-wechat/), propietario del popular servicio de mensajería y plataforma comercial WeChat, y [otra orden ejecutiva](https://publicpool.kinja.com/subject-order-regarding-the-acquisition-of-musical-ly-1844732563) obligar a ByteDance a vender o escindir su negocio de TikTok en EE. UU. en un plazo de 90 días, así como a destruir todas las copias de los datos de TikTok adjuntas a los usuarios estadounidenses. Como empresas como Microsoft, Walmart y Oracle han expresado su interés en comprar la aplicación,[TikTok está demandando al gobierno de los EE. UU.](https://www.nytimes.com/2020/08/24/technology/tiktok-sues-us-government-over-trump-ban.html), acusando a la administración Trump de privarla del debido proceso. La prohibición propuesta, según la administración Trump, tiene por objeto salvaguardar la privacidad de los ciudadanos estadounidenses y proteger los datos sobre ellos (y los funcionarios del gobierno) del gobierno chino. La orden ejecutiva de Trump del 6 de agosto[afirma](https://www.vox.com/recode/2020/8/11/21363092/why-is-tiktok-national-security-threat-wechat-trump-ban) TikTok podría «permitir a China rastrear la ubicación de los empleados y contratistas federales, crear expedientes con información personal para chantajear y llevar a cabo espionaje corporativo». Pero, ¿es realmente TikTok una amenaza? Y si lo es, ¿cuáles son las posibles consecuencias de estas acciones de los Estados Unidos? Como investigadores que han estudiado prohibiciones de tecnologías similares, creemos que esta cadena de acontecimientos podría tener un impacto radical en la comunidad empresarial, que probablemente no se limite al sector tecnológico. ### ¿Cuál es la amenaza? Si la recopilación de datos por parte de una empresa con conexiones en el extranjero supone una amenaza, las hay por todas partes. Los datos que recopila TikTok palidecen en comparación con, por ejemplo, los que recopilan la mayoría de las empresas de tecnología estadounidenses (así como bancos, agencias de crédito y hoteles), tanto de forma visible como no. Muchas instituciones que recopilan datos confidenciales ya han sido hackeadas; se estima que[hay un ciberataque cada 39 segundos](https://www.cybintsolutions.com/cyber-security-facts-stats/#:~:text=A%20Clark%20School%20study%20at,give%20attackers%20more%20chance%20of) — y gran parte de esa información está a la venta en la Dark Web. Si el gobierno chino quisiera el tipo de información que TikTok puede recopilar, podría obtenerla de muchas otras formas. Lo que probablemente demuestre ser una amenaza más apremiante para los clientes estadounidenses es una tecnología mucho más discreta: sentar un precedente de prohibición de las tecnologías cotidianas podría salirse rápidamente de control y generar disrupción grave en casi todo el comercio internacional. ### Una tendencia creciente Si bien el caso contra TikTok puede parecer novedoso, en realidad solo se trata del incidente más reciente de una serie de casos en los que países prohíben productos o servicios por supuestos problemas de ciberseguridad. En nuestra investigación, hemos estudiado más de 75 eventos de este tipo en los que participaron más de 31 países y que se remontan a casi 20 años, aunque la mayoría se produjeron en los últimos cinco años. Por ejemplo,[en 2017, Alemania prohibió](https://www.snopes.com/news/2017/02/24/my-friend-cayla-doll-privacy-concerns/) Mi amiga Carly, una muñeca estadounidense con la que podría hablar, porque la conversación la procesaban servidores de EE. UU. En 2016, Rusia[bloqueó el acceso a LinkedIn](https://www.reuters.com/article/us-linkedin-russia-ban/linkedin-fails-to-agree-with-russia-on-restoring-access-to-site-idUSKBN16E20Q), en la que afirma que LinkedIn se negó a almacenar los datos personales de los usuarios rusos en Rusia. En 2017 [Estados Unidos bloqueó la empresa de seguridad rusa Kaspersky](https://en.wikipedia.org/wiki/Kaspersky_bans_and_allegations_of_Russian_government_ties) por sus supuestos vínculos con el gobierno ruso. Estos casos se basan en una tendencia de prohibiciones de alto perfil, como cuando[China bloqueó Facebook, Twitter y Google](https://www.businessinsider.com/major-us-tech-companies-blocked-from-operating-in-china-2019-5#google-2) (2009) y cuando prohibieron o amenazaron a BlackBerry [con prohibición en la India, Pakistán, Arabia Saudí y los Emiratos Árabes Unidos](https://thenextweb.com/me/2010/08/28/5-countries-that-will-or-have-banned-blackberry/) (2010). Como cualquier producto que contenga un ordenador o servicio que utilice un ordenador (hoy en día casi todo) puede introducir riesgos de ciberseguridad, la frecuencia y el impacto de estos eventos van en aumento. (Mi cepillo de dientes electrónico tiene un ordenador y está conectado a Internet.) Examinar los millones de líneas de software o firmware de estos productos y servicios no es factible actualmente, por lo que las decisiones se toman en función de los riesgos percibidos, que pueden verse afectados por factores como la confianza y la capacidad de gestionar los riesgos de ciberseguridad. Se han impuesto restricciones a productos y servicios tan diversos como: dispositivos médicos, servicios de videoconferencia, productos de software, software de seguridad, redes sociales, cámaras de seguridad, sistemas de TI bancarios, drones, teléfonos inteligentes, juguetes inteligentes, servicios de contenido en línea, comunicaciones por satélite, software de IA y servicios financieros como las transferencias internacionales de fondos y los sistemas de pago. Según la Organización de Cooperación y Desarrollo Económicos[Índice de restricciones de los servicios de comercio digital](https://stats.oecd.org/Index.aspx?DataSetCode=STRI_DIGITAL), 13 de las 46 economías mayoritarias tienen [aumentaron sus restricciones al comercio digital](https://qdd.oecd.org/subject.aspx?Subject=STRI_DIGITAL) entre 2014 y 2019, mientras que solo cuatro países redujeron sus restricciones. En general, hay cuatro estrategias para gestionar los riesgos: aceptar, evitar, mitigar y transferir. Hay[muchas opciones prácticas](/2019/01/what-countries-and-companies-can-do-when-trade-and-cybersecurity-overlap) que los países y las empresas pueden adoptar para gestionar los riesgos de ciberseguridad derivados de los productos o servicios digitales transfronterizos. Lamentablemente, prohibir productos es cada vez más común y no parece ser una estrategia particularmente sostenible. ### **Por qué esta vez es diferente** La prohibición propuesta refuerza una creciente[creencia](/2020/01/choke-points) que Estados Unidos ya no es el principal garante de los negocios mundiales, sino más bien una amenaza potencial para ellos, una idea que está remodelando profundamente la economía mundial y amenazando a las empresas estadounidenses. Tanto TikTok como WeChat tienen bases de usuarios enormes (800 millones y cerca de 1200 millones, respectivamente). Eliminar WeChat de la Apple Store podría provocar que las ventas de iPhone de Apple cayeran alrededor de un 30%[según un destacado analista](https://asiatimes.com/2020/08/wechat-ban-could-cost-apple-30-of-global-sales/). En [una llamada de agosto con funcionarios de la Casa Blanca](https://www.wsj.com/articles/corporate-america-worries-wechat-ban-could-be-bad-for-business-11597311003), más de una docena de las principales empresas multinacionales estadounidenses expresaron su preocupación de que la prohibición de WeChat pudiera socavar su competitividad en el mercado chino. El coste de segundo orden de sabotear el entorno empresarial internacional con estas políticas podría ser mucho mayor: el 86% de las empresas del Consejo Empresarial entre Estados Unidos y China[han denunciado](https://www.uschina.org/sites/default/files/uscbc_member_survey_2020.pdf) lo que está teniendo un impacto negativo en sus negocios con China. El mayor impacto fue la pérdida de ventas, ya que los clientes cambian de proveedor o de abastecimiento debido a la incertidumbre de la continuidad del suministro. Las empresas preocupadas por una prohibición estadounidense podrían simplemente iniciar un plan de «desamericanización» para retirar o sustituir los componentes estadounidenses de sus productos y cadenas de suministro. Por ejemplo, en febrero de 2019, WorldFirst, un servicio internacional de transferencias de dinero con sede en el Reino Unido en el que confiaban muchos grandes vendedores de Amazon,[cerró su actividad en EE. UU.](https://www.ft.com/content/8489b8fa-2484-11e9-8ce6-5db4543da632) como precursor de su adquisición por parte de Ant Financial, con sede en China. Se consideró que esta era la única manera de evitar que los reguladores estadounidenses bloquearan el acuerdo por motivos de seguridad nacional. Por otro lado, la empresa china Hikvision[encontró alternativas](https://asia.nikkei.com/Business/China-tech/Hikvision-launched-de-Americanization-plan-before-blacklist) a la mayoría de sus componentes estadounidenses, por lo que su inclusión en la lista negra comercial de EE. UU. tuvo un impacto limitado en su negocio. ### Sopesando los riesgos políticos Los ejecutivos de empresa deben darse cuenta de que, además de seguir las mejores prácticas para reducir los riesgos de ciberseguridad percibidos en sus productos o servicios digitales, también es necesario prepararse para los riesgos políticos. TikTok[implementó varias prácticas](https://foreignpolicy.com/2020/07/24/trump-cant-ban-tiktok-free-chinese-apps/) para mitigar los riesgos, entre ellos: almacenar los datos de los usuarios estadounidenses en los EE. UU. y hacer copias de seguridad en los servidores singapurenses, bloquear el acceso a sus datos desde su empresa matriz ByteDance, contratar a un CEO y un equipo de operaciones estadounidenses, reforzar su equipo de cabildeo, retirarse de Hong Kong por la preocupación por la nueva ley de seguridad nacional de China, lanzar una[«centro de transparencia»](https://newsroom.tiktok.com/en-us/tiktok-to-launch-transparency-center-for-moderation-and-data-practices) para prácticas de moderación y datos en Los Ángeles,[prohibir la publicidad política y de promoción](https://www.nbcnews.com/tech/social-media/tiktok-bans-political-advocacy-advertising-its-platform-n1062221) desde su plataforma y la creación de una plataforma global[sede](https://www.wsj.com/articles/tiktok-searches-for-global-headquarters-outside-of-china-11577097150) fuera de China. TikTok y sus empleados se preparan para luchar contra la prohibición[en demandas separadas](https://www.cbsnews.com/news/tiktok-employees-trump-lawsuits/). Aunque estas prácticas aún no han ayudado a TikTok a anular la prohibición, probablemente sí[argumentos principales](https://www.nytimes.com/2020/08/22/technology/tiktok-lawsuit-trump-executive-order.html) en su demanda contra los EE. UU. Además, estas prácticas pueden ser instrucciones importantes que todas las empresas deberían seguir para hacer negocios internacionales en la nueva normalidad, a fin de abordar las preocupaciones sobre los riesgos de ciberseguridad. En realidad, es más probable que prohibir aumente —no reduzca— el riesgo, ya que genera desconfianza entre los países y las empresas. Otros países podrían tomar represalias prohibiendo las empresas estadounidenses y la situación podría agravarse rápidamente. En los últimos años, los gobiernos han intentado aumentar su capacidad de acceso a los datos contenidos en estos dispositivos y servicios. Por ejemplo, WhatsApp anuncia que «protege sus conversaciones con un cifrado de extremo a extremo, lo que significa que sus mensajes y actualizaciones de estado permanecen entre usted y las personas que elija». Sin embargo, varias veces, la más reciente en octubre de 2019, EE. UU., el Reino Unido y Australia presionaron a Facebook para[crear puertas traseras](https://www.theguardian.com/technology/2019/oct/03/facebook-surveillance-us-uk-australia-backdoor-encryption) eso permitiría el acceso al contenido cifrado de los mensajes. Hasta ahora, Facebook y WhatsApp tienen[se negó](https://www.medianama.com/2019/12/223-no-backdoor-whatsapp-facebook-to-usa-uk-australia/). Si esas puertas traseras están permitidas y se convierten en algo común, entonces todos los dispositivos conectados a Internet serán básicamente un dispositivo de espionaje y es probable que estén prohibidos en todos los demás países. El abuso de la «amenaza a la seguridad nacional» se está acumulando como una bola de nieve y llevando a una guerra comercial cada vez mayor que podría generar disrupción en el comercio mundial. Vimos una situación similar causada por el[Tarifas de Smoot-Hawley](https://en.wikipedia.org/wiki/Smoot%E2%80%93Hawley_Tariff_Act) en la década de 1930. El objetivo era proteger a los agricultores y otras industrias estadounidenses que estaban sufriendo durante la Gran Depresión aumentando los aranceles y desalentando la importación de productos de otros países. Pero no es sorprendente que casi todos los socios comerciales de EE. UU. hayan tomado represalias y hayan subido sus aranceles. Esto provocó que las importaciones estadounidenses disminuyeran un 66% y las exportaciones un 61%, lo que agravó mucho la «Gran Depresión». En general, rara vez hay ganadores en las guerras comerciales y probablemente no en las ciberguerras comerciales. _Reconocimiento: Esta investigación se financió, en parte, con fondos de los miembros del consorcio Ciberseguridad del MIT Sloan (CAMS) y de la Iniciativa de Política de Investigación de Internet del MIT. Ambos autores contribuyeron por igual._