El ingenio de los ciberdelincuentes se agudiza conforme cuentan con más herramientas para generar un mayor impacto, tanto económico como mediático. En las últimas semanas, TikTok ha notificado a sus usuarios sobre la existencia de diferentes vulnerabilidades, las cuales han acabado afectando a determinadas marcas o incluso personalidades, como Paris Hilton.
A fecha de marzo de 2024, la plataforma de anuncios de TikTok contaba con un alcance potencial de 1.582 millones de usuarios mayores de 18 años. Las estadísticas prueban que, pese a su crecimiento vertiginoso y creciente popularidad, aún se encuentra lejos de las redes sociales con mayor número de usuarios en el mundo.
Ciberataques través de mensajes directos en TikTok
En las últimas horas, TikTok ha confirmado la exitencia de una vulnerabildiad de seguridad, que permitió a los ciberdelincuentes tomar el control de diferentes cuentas sin necesidad de interacción del usuario. El ataque perpetrado se efectuó mediante malware propagado por mensajes directos dirigidos a varias celebridades y marcas como Paris Hilton y CNN.
Inmediatamente, la red social china colaboró estrechamente con CNN para restaurar el acceso a la cuenta e implementar medidas de seguridad mejoradas de cara al futuro. Pese a que se desconoce el número exacto de usuarios afectados, las medidas preventivas directas son fundamentales para evitar que las cuentas comprometidas dejen de ser mínimas.
Este ataque se produce precisamente cuando la empresa matriz, ByteDance, ha impugnado una ley que le exige vender TikTok antes de enero de 2025 o enfrentarse a una prohibición en EEUU.
Desde la compañía argumentan que una prohibición general privará a sus 170 millones de usuarios estadounidenses de TikTok de sus derechos de libertad de expresión, recogidos en la Primera Enmienda. Además, verían un enfrentamiento con los creadores, los cuales dependen directamente de la aplicación para generar ingresos.
Recordar que algunos países ya han prohibido TikTok, mientras que otros tan solo han restringido su uso en dispositivos gubernamentales.
Anteriores ciberataques a TikTok
No es la primera vez que TikTok ve afectada la vulnerabilidad de su seguridad. En enero de 2021, la empresa Check Point detectó una falla que podría haber permitido recopilar datos de miles de usuarios, así como sus números de teléfono.
En septiembre de 2022, Microsoft reveló también una vulnerabilidad en la aplicación para Android, la cual facilitaba la toma de control de cuentas a través de enlaces maliciosos. En aquella ocasión, un total de 700.000 cuentas en Turquía habían sido comprometidas al ser interceptados mensajes a través de canales inseguros. Así, los atacantes pudieron obtener contraseñas de un solo uso, acceder a cuentas y aumentar artificialmente su número de ‘me gusta’ y de seguidores.
Otro ataque a destacar es el del ‘Desafío Invisible’. Con él, se distribuye un malware de robo de información generando una persistente amenaza mediante técnicas no convencionales. Para ello, se aplica un filtro denominado Invisible Body, que no deja rastro.
Falsas ofertas de empleo
Los expertos aseguran que ha surgido una nueva estafa de phishing consistente en promover ofertas laborales falsas, empleando como gancho promesas de elevadas retribuciones monetarias.
Lo que buscan los ciberdelincuentes que se esconden tras TikTok es sustraer y usar información de sus víctimas para perpetrar otras actividades delictivas. Y es que las estafas de phishing continúan siendo una gran preocupación entre los usuarios, debido fundamentalmente a que los ciberdelincuentes buscan nuevas formas de llegar hasta sus víctimas.
Con esta tipología, se lograron efectuar 709.590.011 intentos de ataque (según datos aportados por Kaspersky en su último análisis anual sobre spam y phishing). Esto supone un 40% que durante el año anterior.
Solo en España, la red social dispone de más de 18 millones de usuarios, por lo que los ciberdelincuentes lo ven como una oportunidad para ofrecer ganancias que van desde los 100 a los 1.000 euros por una o dos horas de trabajo diarias. Según el mensaje difundido en las redes sociales, se buscaba reclutar a 5.000 personas para un trabajo sencillo desde casa.
En la ‘falsa oferta’ se recoge que solo es necesario el uso de un smarphone para ponerse en contacto con el personal de TikTok. Una vez se hace clic, el usuario introducirá toda su información personal para concurrir a una supuesta vacante disponible. A partir de ese momento, los ciberdelincuentes toman sus datos y los utilizan para actividades delictivas. En este caso, la estafa se inicia con una notificación que simula proceder de WhatsApp.
Medidas preventivas eficaces
Los expertos recomiendan, en el caso de campañas como ofertas de empleo atractivas por TikTok, desconfiar en todo momento y no acceder a enlaces que no sean de la propia red social. Además, aconsejan comprobar la ortografía de la URL de la web, ya que en caso de que sea falsa, puede contener errores como utilizar un 1 en vez de una ‘I’ o un 0 en lugar de una ‘O’.
Aunque parezca prácticamente evidente, no habrá mejor defensa que utilizar una solución de seguridad para navegar por Internet, capaz de detectar y bloquear campañas de spam y phishing. Y es que tanto el sentido común como la desconfianza se convierten en las mejores estrategias para evitar caer en fraudes o estafas cibernéticas.