Las redes y plataformas sociales reúnen a millones de personas y por ello están en el punto de mira de los ciberdelincuentes. La última afectada ha sido TikTok, la popular plataforma de videos, ha confirmado recientemente la existencia de un problema de seguridad que ha sido explotado para tomar control de cuentas de alto perfil en la plataforma, incluidas las de varias cuentas de personajes famosos. El ciberataque ha sido de zero-click.

Según informes de Semafor y Forbes, el incidente ha sido mediante una campaña de toma de control de cuenta mediante un ataque zero-click. Este ataque permite la propagación de malware a través de mensajes directos (DMs), comprometiendo las cuentas sin necesidad de que el usuario haga clic o interactúe de alguna manera con el mensaje. Esta vulnerabilidad explotó un fallo en el componente de mensajería de TikTok, permitiendo la ejecución de código malicioso tan pronto como se abre el mensaje.

Aunque no está claro cuántos usuarios han sido afectados, un portavoz de TikTok indicó que la compañía ha tomado medidas preventivas para detener el ataque y evitar futuras incidencias. Además, desde TikTok están trabajando directamente con las personas de cuentas afectadas para restaurar el acceso, señalando que solo un «número muy pequeño» de usuarios fue comprometido, sin proporcionar detalles específicos sobre la naturaleza del ataque o las técnicas de mitigación empleadas.  Lo que sí se sabe es que este incidente afectó a famosos y cuentas de marcas, incluidas Paris Hilton y CNN.

Contexto de vulnerabilidades anteriores

No es la primera vez que TikTok enfrenta problemas de seguridad. En enero de 2021, Check Point reveló un fallo en TikTok que podría haber permitido a un atacante construir una base de datos de los usuarios de la app y sus números de teléfono para actividades maliciosas futuras. En septiembre de 2022, Microsoft descubrió un exploit de un clic que afectaba a la app de TikTok para Android, que permitiría a los atacantes tomar control de las cuentas cuando las víctimas hicieran clic en un enlace especialmente diseñado.

Además, hace más de un año, Imperva divulgó otro problema que podría haber permitido a los atacantes monitorear la actividad de los usuarios y acceder a información sensible tanto en dispositivos móviles como de escritorio. «Al explotar esta vulnerabilidad, los atacantes podrían enviar mensajes maliciosos a la aplicación web de TikTok a través de la API PostMessage, eludiendo las medidas de seguridad,» indicó la compañía en ese momento.

TikTok en entredicho también por cuestiones de privacidad

Las preocupaciones sobre la seguridad de TikTok se extienden más allá de los aspectos técnicos y abordan cuestiones geopolíticas y de privacidad. La aplicación, originaria de China y propiedad de ByteDance, ha despertado preocupaciones en Estados Unidos y otros países occidentales sobre el potencial uso indebido de datos sensibles de los usuarios. Esto motivó a Estados Unidos a promulgar una legislación que exige la desvinculación de TikTok de su empresa matriz como condición para operar en el país.

En respuesta, TikTok ha interpuesto una demanda contra esta decisión, calificándola de violación a la libertad de expresión y alegando que las preocupaciones del gobierno no están basadas en evidencias concretas, sino en suposiciones. Este escenario ha llevado a varios países a tomar medidas restrictivas, desde prohibiciones totales hasta limitaciones en el uso de la aplicación en dispositivos gubernamentales, reflejando la creciente desconfianza global hacia la gestión de la privacidad y la seguridad en plataformas digitales ampliamente utilizadas.

 

Periodista especializada en ciberseguridad y tecnología. Mi enfoque se centra en analizar mundo de las aplicaciones y la seguridad especialmente en redes sociales. Con un interés constante en informar sobre avances, riesgos y sin olvidar la importancia de la prevención, busco compartir información precisa y comprensible para el usuario.

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre