TikTok ha confirmado la existencia de una vulnerabilidad de seguridad que permitió a ciberdelincuentes tomar control de cuentas sin necesidad de interacción del usuario.
La brecha, reportada inicialmente por Semafor y Forbes, involucró un ciberataque mediante malware propagado a través de mensajes directos y que afecta a varias celebridades y cuentas de marcas, incluidas Paris Hilton y CNN.
La aplicación de video social confirmó que la transmisión de CNN era una de una pequeña cantidad de cuentas de alto perfil que se habían visto afectadas después de que su equipo de seguridad fuera alertado sobre actores maliciosos que apuntaban al medio de noticias.
«Hemos estado colaborando estrechamente con CNN para restaurar el acceso a la cuenta e implementar medidas de seguridad mejoradas para salvaguardar su cuenta en el futuro», dijo un portavoz de TikTok.
También reveló que Hilton fue atacada, pero que la cuenta de la estrella no se había visto comprometida.
Aunque el número exacto de usuarios afectados no se ha especificado, un portavoz de TikTok indicó que la empresa ha implementado medidas preventivas para evitar futuros ataques. Además, la red social está trabajando directamente con los usuarios afectados para restaurar el acceso a sus cuentas, asegurando que el número de cuentas comprometidas ha sido «mínimo».
Esta no es la primera vez que TikTok tiene problemas de seguridad. En enero de 2021, Check Point descubrió una falla que podría haber permitido recopilar una base de datos de usuarios y sus números de teléfono. En septiembre de 2022, Microsoft reveló una vulnerabilidad en la aplicación de TikTok para Android que también facilitaba la toma de control de cuentas mediante enlaces maliciosos.
El problema se agravó cuando se descubrió que hasta 700000 cuentas de TikTok en Turquía habían sido comprometidas debido a que fueron interceptados mensajes SMS a través de canales inseguros. Este método permitió obtener contraseñas de un solo uso, acceder a cuentas y aumentar artificialmente los «me gusta» y seguidores.
Los atacantes también han explotado desafíos virales como el «Desafío Invisible» (Invisible Challenge) de TikTok para distribuir malware de robo de información, demostrando la persistente amenaza de ataques mediante técnicas no convencionales. Este consiste en aplicar un filtro conocido como Invisible Body que solo deja tras de sí una silueta del cuerpo de la persona.
Las preocupaciones sobre la seguridad de TikTok no se limitan a la tecnología. La procedencia China de esta conocida aplicación ha generado inquietudes de que pueda usarse para recopilar información sensible de usuarios estadounidenses y difundir mensajes persuasivos. Esto llevó a la aprobación de una ley que prohíbe TikTok en Estados Unidos a menos que se desvincule de su empresa matriz, ByteDance.
El mes pasado, TikTok presentó una demanda en Estados Unidos para desafiar esta ley, argumentando que es una «intrusión extraordinaria en los derechos de libertad de expresión» y que las preocupaciones del gobierno son meramente «especulativas».
Algunos países ya han prohibido TikTok, mientras que otros tan solo han restringido su uso en dispositivos gubernamentales.
Este caso subraya la importancia de la ciberseguridad y la necesidad de vigilancia continua para proteger datos de los usuarios en las plataformas de redes sociales, puesto que es cada vez más común la suplantación de perfil en redes.
Más información:
- https://www.forbes.com/sites/emilybaker-white/2024/06/04/a-zero-day-tiktok-hack-is-taking-over-celebrity-and-brand-accounts/?sh=5f577e8c6060
- https://www.semafor.com/newsletter/06/02/2024/an-expensive-way-to-gain-relevance
- https://thehackernews.com/2024/06/celebrity-tiktok-accounts-compromised.html
- https://www.theguardian.com/technology/article/2024/jun/05/tiktok-hackers-target-cnn-paris-hilton-cyber-attack
La entrada Ciberataque a TikTok a través de mensajes directos a cuentas de marcas y celebridades se publicó primero en Una al Día.