Con más de mil millones de usuarios en todo el mundo, era solo cuestión de tiempo que la popularidad de TikTok atrajera la atención de actores malintencionados buscando explotar sus vulnerabilidades. En el último tiempo, expertos advierten a los usuarios que esta plataforma podría ser utilizada para “redirigir a las víctimas hacia una trampa de robo de credenciales”, según un informe citado por Forbes.
Este tipo de ataques no es nuevo en las plataformas sociales, pero el uso específico de TikTok para este fin es alarmante. La compañía de seguridad online Cofense destacó que “siempre ha habido un problema con la seguridad de los enlaces en las plataformas de redes sociales”, y esto lo ratificó su competidora Zimperium, que advirtió que el crecimiento exponencial de dispositivos móviles ha facilitado la explotación de la filtración de datos debido a “el acceso inapropiado de empleados a información sensible y confidencial en sus dispositivos móviles”. Esta tendencia ha sido aprovechada por delincuentes cibernéticos que “han reconocido la oportunidad en este entorno enfocado en teléfonos móviles”.
El ataque identificado por Cofense utiliza la plataforma de TikTok, que es exclusivamente para móviles, para difundir enlaces maliciosos a través de URLs que “redirigen al sitio que el titular del perfil elige”, informó Forbes. La confianza que muchos usuarios tienen en la plataforma los hace vulnerables, ya que los sitios de phishing son difíciles de identificar en pantallas pequeñas, donde la información significativa suele estar oculta.
Una vez que el usuario hace clic en el enlace, se activa un proceso que apunta a robar credenciales de cuentas, particularmente de Microsoft. Cofense ha observado que estos correos electrónicos de phishing intentan recolectar credenciales de Office 365 mediante un aviso engañoso que afirma falsamente que todos los mensajes del usuario serán eliminados. Esta táctica de miedo es común y busca que la víctima actúe rápidamente. Además, estos mensajes se presentan falsamente como alertas del departamento de IT de la empresa del usuario, con el objetivo de aumentar su credibilidad, aunque el formato no es tan pulido como debería.
A pesar de que estas campañas de phishing no siempre están completamente elaboradas, tienen un éxito notable, especialmente entre los usuarios más jóvenes de TikTok. “Una página de inicio de sesión de Microsoft aparentemente legítima con el logotipo de la empresa” puede convencer a muchos usuarios despistados, señaló Forbes. El sitio de phishing incluye incluso un número de teléfono de la empresa, pero todos los enlaces envían al usuario a una red de sitios y enlaces maliciosos.
Zimperium advirtió que “las aplicaciones personales descargadas de tiendas públicas pueden introducir malware o explotar vulnerabilidades de la plataforma, comprometiendo potencialmente aplicaciones empresariales y datos en aplicación”, una advertencia que reitera Cofense en el aumento de la sofisticación de los actores de amenazas que explotan plataformas de redes sociales para engañar a los receptores.
El uso de TikTok para campañas de phishing demuestra el creciente riesgo al que se enfrentan los usuarios de dispositivos móviles en la actualidad y subraya la importancia de estar alertas ante posibles fraudes, incluso en plataformas en las que se confía ampliamente.
