La publicidad en TikTok es la opción obvia para cualquier empresa que intente llegar a un mercado joven, y especialmente si se trata de una empresa de viajes, ya que el 44% de la Generación Z estadounidense dice que utiliza la plataforma para planificar sus vacaciones. Pero un mercado de viajes en línea dirigido a jóvenes turistas con anuncios en la popular plataforma para compartir videos violó las reglas del RGPD cuando un socio externo configuró mal un píxel de TikTok en uno de sus sitios regionales. Un intrigante nuevo estudio de caso revela cómo la empresa de seguridad cibernética que descubrió el problema evitó que una filtración de datos se convirtiera en una costosa inundación.
Para el estudio de caso completo, haga clic aquí.
Peligros cerca de casa
Los ciberataques suelen aparecer en los titulares porque la piratería atrae la atención de forma natural. Los grupos detrás de los ataques parecen salteadores de caminos modernos, figuras oscuras que pueden robar a innumerables víctimas detrás de una máscara de anonimato. Delincuentes anónimos como estos siempre captarán la atención de los lectores y, si bien esto es comprensible, haríamos bien en prestar atención a algunos de los riesgos de seguridad menos dramáticos que pueden ser igual de dañinos.
Se ha dicho que si los medios de comunicación se centraran en informar sobre las mayores amenazas a nuestras vidas, entonces todas las noticias cubrirían las enfermedades cardíacas y cómo prevenirlas, porque mata muchas veces más personas que los eventos como guerras y accidentes automovilísticos. Lo mismo ocurre con las amenazas cibernéticas. Si bien los grandes ataques nos hacen sentarnos y tomar nota, muchas infracciones son causadas por fallas simples y mundanas de “limpieza”, y eso es lo que le sucedió a la empresa que aparece en este nuevo estudio de caso descargable.
¿Qué pasó?
Si bien no vamos a nombrar el mercado de viajes global involucrado (para evitarle vergüenza), la empresa de ciberseguridad que detectó el problema se llama Reflectiz. Su producto principal es una plataforma con alguna tecnología de monitoreo innovadora que presenta sus hallazgos en un tablero claro e intuitivo. Debajo del capó escanea sitios web usando un navegador propietario que imita el comportamiento del usuario. Mapea cada aplicación web de terceros o fragmento de código que está conectado con el sitio, incluidos los objetos incrustados en marcos flotantespor lo que si algún código actúa de manera sospechosa o envía datos a algún lugar que no debería, Reflectiz lo nota y alerta al usuario.
El estudio de caso detalla cómo uno de sus escaneos reveló un píxel de TikTok mal configurado. TikTok tiene 1.600 millones de usuarios, por lo que probablemente hayas oído el nombre. Si no lo has hecho, es una plataforma de redes sociales para compartir vídeos con sede en China que es muy popular entre los jóvenes. Cuando la empresa de viajes empezó a utilizar Reflectiz, descubrió que el píxel recopilaba y enviaba datos confidenciales de los usuarios a los servidores chinos de TikTok sin su permiso, porque no se había implementado correctamente.
Si bien no parece que haya habido ninguna intención maliciosa en este caso, la gran conclusión para las empresas de cualquier tamaño debería ser que esto no cambia el resultado. Las empresas en línea que divulguen datos de clientes sin el permiso expreso de los usuarios seguirán infringiendo regulaciones de privacidad de datos como GDPR y el regulador puede considerar oportuno sancionarlos.
Para el estudio de caso completo, haga clic aquí.
El costo del incumplimiento
Incumplimiento de RGPD (el Reglamento General de Protección de Datos) puede dar lugar a sanciones importantes:
- Multas: hasta 20 millones de euros o el 4% de la facturación global anual, lo que sea mayor. La cantidad exacta depende de la naturaleza de la infracción y del tamaño de la organización.
- Daño reputacional: El incumplimiento puede dañar la reputación de una organización, provocando la pérdida de la confianza del cliente y posibles oportunidades comerciales.
- Órdenes para cesar el procesamiento: Las autoridades reguladoras pueden ordenar a la empresa que deje de procesar datos personales, lo que puede interrumpir las operaciones comerciales.
- Reclamaciones de Compensación: Las personas afectadas por el incumplimiento podrán presentar reclamaciones por daños y perjuicios.
- Mayor escrutinio: Las organizaciones que no cumplan pueden recibir más atención por parte de los reguladores y podrían estar sujetas a auditorías.
- Costos Legales: defenderse de reclamaciones o multas puede generar importantes gastos legales.
Si bien todo esto puede parecer un poco hipotético, los reguladores han estado tomando medidas. En un ejemplo recientea partir de junio de 2024, la Agencia Sueca de Protección de Datos (IMY) multó a una farmacia en línea con 15 millones de coronas suecas (aproximadamente 1,45 millones de dólares) por utilizar incorrectamente el píxel de Facebook. La farmacia activó las funciones de Coincidencia avanzada automática (AAM) y Eventos automáticos (AE) de Facebook Pixel “por error”, lo que resultó en la transferencia de datos personales confidenciales a Facebook/Meta. Esta infracción involuntaria afectó a entre 500.000 y un millón de personas entre 2019 y 2021.
Para el estudio de caso completo, haga clic aquí.
La solución
Si bien no conocemos la escala exacta de la infracción en el estudio de caso de la empresa de viajes, sí sabemos que Reflectiz detectó la mala configuración de TikTok antes de que pudiera causar más daño, lo que probablemente le ahorró a la empresa una fortuna en multas y pérdida de reputación.
A pesar de ser tan potente, Reflectiz no requiere instalación. Sólo hay un proceso de incorporación sencillo que comienza con un escaneo remoto para mapear todo el ecosistema web. Después de eso, monitorea continuamente todas las páginas web confidenciales y detectará y señalará cualquier actividad sospechosa por parte de cualquier componente web.
La solución puede identificar componentes web de terceros que rastrean las actividades de los clientes sin su consentimiento, incluidos intentos de capturar sus ubicaciones geográficas o usar sus cámaras y micrófonos sin consentimiento. Con tanto en juego, ninguna empresa puede permitirse el lujo de verse sorprendida por algo tan evitable como una mala configuración del píxel de seguimiento.
Para conocer la historia completa de esta advertencia, descargue el archivo completo. estudio de caso aquí.