En pandemia global de coronavirus COVID-19 generó un crecimiento exponencial del uso de las redes sociales.
En ese contexto, la plataforma asiática TikTok, una de las de mayor avance en 2020, quedó en el ojo de la tormenta y preocupó a miles de usuarios alrededor del planeta.
¿Qué pasó? Trascendió una vulnerabilidad en el sistema de seguridad que permite a los ciberdelincuentes acceder al número de teléfono, nombre, foto de perfil, avatar, identificaciones únicas, y la configuración del perfil.
Investigadores de Check Point Research, la División de Inteligencia de Amenazas de Check Point Software Technologies Ltd, proveedor especializado en ciberseguridad a nivel mundial, descubrieron una vulnerabilidad crítica en TikTok, una aplicación móvil con más de 1 billón de usuarios en más de 150 países.
El fallo de seguridad se encuentra en la función "Encontrar amigos", a través de la cual un ciberdelincuente podía acceder a la información del perfil del usuario (número de teléfono, nombre, foto de perfil, avatar, identificaciones únicas e incluso configuración del perfil) lo que permite crear una base de datos que posteriormente podría utilizarse para actividades maliciosas.
TikTok es una de las aplicaciones que más rápido creció en los últimos tiempos (de hecho, fue la app más descargada en España en 2020), y encuentra en los jóvenes su principal público.
Este servicio permite a sus usuarios crear y guardar videos privados suyos y de sus seres queridos (que pueden tener contenido muy sensible).
Sin embargo, estas aplicaciones entrañan muchos riesgos para la privacidad, ya que en enero de 2020 Check Point alertó de un fallo de seguridad que permitía a los ciberdelincuentes manipular datos (añadir/eliminar vídeos), alterar la privacidad del usuario (cambiar la configuración de la privacidad de los vídeos de privada a pública) y acceder y extraer datos personales (nombre completo, dirección de correo electrónico, cumpleaños, etc.) guardados en estas cuentas.
En esta ocasión, la vulnerabilidad se explota de la siguiente manera:
El ciberdelincuente crea una lista de dispositivos (IDs de dispositivos) que se utilizarán para consultar los servidores de TikTok.
Permite crear una lista de tokens de sesión (cada token de sesión es válido durante 60 días) que se utilizarán para consultar los servidores de TikTok.
Permite evitar el mecanismo de firma de mensajes HTTP de TikTok utilizando su propio servicio de firma ejecutado en segundo plano.
Une todos estos elementos para modificar las peticiones HTTP, reasignarlas y utilizar varios tokens de sesión e IDs de dispositivos para saltarse los mecanismos de protección de TikTok.
"En esta ocasión, el estudio que hemos llevado a cabo sobre esta aplicación tenía como objetivo explorar la privacidad de TikTok y saber si la plataforma podía utilizarse para obtener datos privados de los usuarios. Descubrimos que, efectivamente, es posible, ya que hemos podido eludir múltiples mecanismos de protección de TikTok", resaltó Oded Vanunu, Jefe de Investigación de Vulnerabilidad de Productos de Check Point.
"La vulnerabilidad podría haber permitido a un atacante crear una base de datos con información de los usuarios y sus respectivos números de teléfono, gracias a la cual un ciberdelincuente podría realizar una serie de actividades maliciosas, como el spear phishing. Por este motivo, desde Check Point aconsejamos a los usuarios de TikTok que eviten compartir sus datos personales, y que actualicen su sistema operativo y sus aplicaciones con las últimas versiones para estar protegidos frente a este fallo de seguridad", destacó Vanunu.
Check Point compartió su descubrimiento con ByteDance, empresa responsable de TikTok, y ofreció una serie de recomendaciones para solventar esta vulnerabilidad y permitir a los usuarios de la app seguir disfrutando del servicio de forma segura.
Asimismo, este nuevo caso pone de manifiesto la necesidad de dotar a los smartphones de medidas de seguridad que garanticen la privacidad del usuario.
Check Point, por su parte, cuenta con SandBlast Mobile, una solución contra amenazas móviles avanzadas con infraestructura On-device Network Protection.
Al revisar y controlar todo el tráfico de red del dispositivo, SandBlast Mobile evita los ataques de robo de información en todas las aplicaciones, correo electrónico, SMS, iMessage y aplicaciones de mensajería instantánea.
Esta solución, además, evita tanto el acceso a sitios web maliciosos como el acceso y comunicación del dispositivo con botnets, para lo cual valida el tráfico en el propio dispositivo sin enrutar los datos a través de un gateway corporativo.
Check Point Research proporciona inteligencia sobre amenazas ciberamenazas a los clientes de Check Point Software y a la comunidad de inteligencia.
El equipo de investigación recoge y analiza los datos de ciberataques globales almacenados en ThreatCloud para mantener a los hackers a raya, al tiempo que se asegura de que todos los productos de Check Point están actualizados con las últimas protecciones.
El equipo de investigación está formado por más de 100 analistas e investigadores que cooperan con otros proveedores de seguridad, con las fuerzas del orden y con varios CERTs.
Check Point Software Technologies Ltd., en tanto, es un proveedor líder de soluciones de ciberseguridad para gobiernos y empresas a nivel mundial.
Sus soluciones protegen a sus clientes de los ciberataques con una tasa de captura de malware, ransomware y otros tipos de ataque líder en el mercado.
Check Point ofrece una arquitectura de seguridad multinivel que protege la información de las empresas almacenada en la nube, en la red y en los dispositivos móviles, además del sistema de gestión de la seguridad más completo e intuitivo.
Actualmente, Check Point protege a más de 100.000 organizaciones de todos los tamaños.