TikTok, la red social de origen chino para compartir videos cortos resolvió una vulnerabilidad en la plataforma que permitía evadir el sistema de autenticación en dos pasos.
La plataforma propiedad de ByteDance, cuenta con un sistema de autenticación por correo electrónico y número de teléfono con el que brinda la protección necesaria para evitar ataques y suplantaciones de identidad.
Ahora bien, HackerOne usuario de la plataforma mejor conocido como Lu3ky-13 descubrió que la versión de TikTok para Android registraba un fallo de seguridad que permitía a los usuarios evitar este sistema de seguridad.
TikTok comentó que "se descubrió que esta vulnerabilidad requería acceso al correo electrónico/contraseña o número de teléfono/código del usuario asociado con la cuenta" y que "se necesitarían múltiples intentos para eludir la fuerza bruta".
En particular, este error permitía el acceso a una específica cuenta de la plataforma tras forzar en reiteradas ocasiones el inicio de sesión.
Luego de completar el formulario de la página principal de TikTok, una ventana se abría en la que se solicitaba un código de inicio de usuario enviado al número de teléfono asociado a dicha cuenta.
En el caso de clickear la flecha para volver a la página anterior, volvía aparecer dicha interfaz con los campos de usuario y contraseña escritos y permitía repetir este proceso varias veces.
Después de varios intentos fallidos, dicho error en el sistema pasaba por alto la página de autenticación de dos factores y permitía el inicio de sesión sin pasar por este otro paso de seguridad.
Según 9to5Google, esta vulnerabilidad se informó en octubre de 2022 y se solucionó mediante un parche de seguridad en diciembre del mismo año.
TikTok se convirtió en una de las redes sociales más utilizadas, especialmente por las nuevas generaciones. Sin embargo, son ellos los que siempre están expuestos a ciberataques ya que tienden a confiar en los usuarios en línea y algunos de los ciberdelincuentes se aprovechan de esto para estafarlos.
En el blog oficial de ESET, especialistas en ciberseguridad, explicaron que TikTok se transformó en una de las plataformas preferidas para lanzar estafas informáticas.
"En una aplicación en la que los usuarios entran minuto a minuto, las estafas pueden pillar fácilmente a la gente desprevenida y hacerles perder dinero o su propia cuenta", añadió.
Las principales ciberestafas que lideran en TikTok, según la compañía de software especializada en ciberseguridad, son cinco.
En poco tiempo, el dinero virtual creció y cayó en picada muchas veces, generando mucha viralidad a su alrededor.
Todas estas estafas están en TikTok, al igual que las estafas ciptográficas que llegaron a otras apps como YouTube.
Un correo electrónico o SMS de phishing de TikTok es un mensaje que aparece aleatoriamente como un mensaje normal, pero con la esperanza de llegar a la bandeja de entrada de un TikToker.
Pueden intentar proporcionar una insignia verificada, más seguidores o incluso una referencia.
Cuando el objetivo hace clic en el enlace del mensaje, la víctima es redirigida a un sitio web que requiere credenciales de TikTok.
Si no se habilitó la autenticación de dos factores (2FA), una vez que se distribuyan estos datos, los ciberdelincuentes obtendrán el control de la cuenta e incluso pueden bloquear a los usuarios, o al propio propietario de la cuenta.
Desafortunadamente, TikTok todavía está plagado de cuentas bots que interactúan inteligentemente con los usuarios de manera que les hacen pensar que "chatean" con una persona real.
Estos bots podrán pedir a las víctimas información confidencial o incluso sugerir que sean redirigidos a un sitio web que en realidad es un sitio de phishing que intenta robar información o instalar software malicioso en el teléfono.
Algunas cuentas pueden intentar hacerse pasar por celebridades reales. Esto generalmente se hace simplemente copiando el contenido de la cuenta de una persona famosa.
Este es un intento de obtener la mayor cantidad de seguidores posible y, antes de que sean detectados y denunciados, pueden usar la plataforma para promover otras estafas, como las estafas de inversión en criptomonedas.
Las cuentas falsas de TikTok a veces anuncian aplicaciones descargables. El problema es que estas aplicaciones tampoco son reales.
Varias cuentas afirman que algunas aplicaciones pagas se pueden descargar de forma gratuita desde algunas tiendas de aplicaciones de terceros.
Sin embargo, en un intento de robar la información, estas aplicaciones instalarán malware o adware en el dispositivo.