Cuentas de TikTok de celebridades comprometidas mediante un ataque de cero clic a través de mensajes directos

Luis Quiles
Luis Quiles
tiktok
Ataque cibernético, Seguridad en línea

La popular plataforma para compartir videos, TikTok, ha reconocido un problema de seguridad que ha sido explotado por actores malintencionados para tomar el control de cuentas de alto perfil en la plataforma.

El desarrollo fue reportado por primera vez por Semafor y Forbes, quienes detallaron una campaña de toma de control de cuentas mediante un ataque de cero clic que permite que el malware, propagado a través de mensajes directos, comprometa cuentas de marcas y celebridades sin necesidad de hacer clic o interactuar con él.

Se ha descubierto que el exploit aprovecha una vulnerabilidad de día cero en el componente de mensajería que permite la ejecución de código malicioso tan pronto como se abre el mensaje.

Actualmente, no está claro cuántos usuarios han sido afectados, aunque un portavoz de TikTok dijo que la empresa ha tomado medidas preventivas para detener el ataque y evitar que vuelva a ocurrir en el futuro.

La empresa también afirmó que está trabajando directamente con los titulares de las cuentas afectadas para restaurar el acceso y que el ataque solo logró comprometer a un «número muy pequeño» de usuarios. No proporcionó detalles específicos sobre la naturaleza del ataque o las técnicas de mitigación que había empleado.

Esta no es la primera vez que se descubren problemas de seguridad en este servicio ampliamente utilizado. En enero de 2021, Check Point detalló una falla en TikTok que podría haber permitido a un atacante crear una base de datos de los usuarios de la aplicación y sus números de teléfono asociados para futuras actividades maliciosas.

Luego, en septiembre de 2022, Microsoft descubrió un exploit de un clic que afectaba a la aplicación de TikTok para Android, el cual podría permitir a los atacantes tomar el control de las cuentas cuando las víctimas hacían clic en un enlace especialmente diseñado.

Otro problema divulgado por Imperva hace más de un año podría haber permitido a los atacantes monitorear la actividad de los usuarios y acceder a información sensible tanto en dispositivos móviles como de escritorio.

«Al explotar esta vulnerabilidad, los atacantes podrían enviar mensajes maliciosos a la aplicación web de TikTok a través de la API de PostMessage, eludiendo las medidas de seguridad,» señaló la empresa en ese momento. «El controlador de eventos de mensajes procesaría el mensaje malicioso como si proviniera de una fuente confiable, otorgando al atacante acceso a información sensible del usuario.»

Eso no es todo. Hasta 700,000 cuentas de TikTok en Turquía se encontraron comprometidas el año pasado, después de que surgieran informes de que el enrutamiento gris de mensajes SMS a través de canales inseguros permitió a los adversarios interceptar contraseñas de un solo uso y acceder a las cuentas de los usuarios de TikTok, inflando los likes y seguidores.

Los actores malintencionados también han capitalizado el Desafío Invisible de TikTok para distribuir malware que roba información, destacando los esfuerzos continuos por parte de los atacantes para propagar malware a través de medios no convencionales.

server

Las raíces chinas de TikTok han generado preocupaciones de que la aplicación podría ser utilizada como un conducto para recopilar información sensible sobre los usuarios estadounidenses y difundir propaganda, lo que eventualmente llevó a la aprobación de una ley que prohibiría la aplicación de videos en el país a menos que sea desinvertida de ByteDance.

El mes pasado, el gigante de las redes sociales presentó una demanda en los EE. UU. desafiando la ley, argumentando que es una «intrusión extraordinaria en los derechos de libertad de expresión» y que los EE. UU. solo habían presentado «preocupaciones especulativas» para justificar la prohibición.

India, Nepal, Senegal, Somalia y Kirguistán están entre las naciones que ya han impuesto prohibiciones similares a TikTok, y varios otros países, incluidos EE. UU., Reino Unido, Canadá, Australia y Nueva Zelanda, han prohibido el uso de la aplicación en dispositivos gubernamentales.

Actualización

El 7 de junio de 2024, TikTok confirmó a Axios que ha solucionado una vulnerabilidad que permitía atacar cuentas de alto perfil con mensajes cargados de malware para tomar el control de ellas. Todavía no está claro cuántas cuentas fueron afectadas por el ataque, quién estaba detrás del mismo ni cuál era su objetivo final.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Descubre los últimos artículos del blog sobre seguridad cibernética.